Gestión de logs

GESTIÓN DE LOGS

Gestión de logs

Antecedentes

Los sistemas registran la actividad de los usuarios y de sus procesos internos (login/logout, origen, tiempo de actividad, acciones, conexiones,…) en registros de eventos o logs. La información de estos registros es esencial para elaborar informes de gestión y para monitorización.

Entre los eventos que los distintos sistemas registran están por ejemplo: el inicio/fin de sesión, el acceso y modificación de ficheros y directorios, cambios en las configuraciones principales, lanzamientos de programas, etc.

Los registros de actividad de los distintos sistemas y equipos son los datos a partir de los cuales es posible no sólo detectar fallos de rendimiento o mal funcionamiento, sino también detectar errores e intrusiones. Con ellos se alimentan sistemas de monitorización que convenientemente configurados pueden generar alertas en tiempo real. Por otra parte, facilitan el análisis forense para el diagnóstico de las causas que originan los incidentes. Por último, son necesarios para verificar el cumplimiento de ciertos requisitos legales o contractuales durante las auditorías.

Objetivos

Determinar los eventos más significativos dentro de nuestros sistemas de información que han de ser registrados, y en qué modo ha de efectuarse dicho registro.

Establecer mecanismos de monitorización que permitan la detección de intrusioneserrores y situaciones anómalas o potencialmente peligrosas.

Puntos clave

Los puntos clave de esta política son:

  • Qué actividad debe ser registrada. Para obtener la información crítica sobre el funcionamiento de nuestros activos de información, analizaremos la actividad relevante que nos interesa registrar. Podríamos considerar registrar, entre otros, los siguientes eventos: 

    • acceso, creación, borrado y actualización de información confidencial; 

    • inicio y fin de conexión en la red corporativa; 

    • inicio y fin de ejecución de aplicaciones y sistemas; 

    • inicio y fin de sesión de usuario en aplicaciones y sistemas; intentos de inicio de sesión fallidos; 

    • cambios en las configuraciones de los sistemas y aplicativos más importantes; 

    • modificaciones en los permisos de acceso; 

    • funcionamiento o finalización anómalos de aplicativos; 

    • aproximación a los límites de uso de ciertos recursos físicos: 

      • capacidad de disco; 

      • memoria; 

      • ancho de banda de red; 

      • uso de CPU; 

    • indicios de actividad sospechosa detectada por antivirus, Sistemas de Detección de Intrusos (IDS), etc.; 

    • transacciones relevantes dentro de los aplicativos. 

  • Información relevante incluida en el registro. Detallaremos los elementos de información más útiles que deben ser incluidos en los distintos registros. Los más habituales son:  

    • identificador del usuario que realiza la acción; 

    • identificación del elemento sobre el que se realiza la acción (ficheros, bases de datos, equipos, etc.); 

    • identificación de dispositivos, ya sea a través de sus direcciones IP, direcciones MAC, etc.; 

    • identificación de protocolos; 

    • fecha y hora de ocurrencia del evento; 

    • tipología del evento. 

  • Formato de la información registrada. Conviene tener un formato de registro que ayude en la medida de lo posible a posteriores lecturas y análisis. 

  • Elección del mecanismo de registro. Tendremos que elegir un sistema de gestión de logs apropiado a nuestra política. Posteriormente será necesario disponer y configurar las herramientas de monitorización y registro adecuadas para implantarlo. 

  • Protección y almacenamiento. Nos aseguraremos de que la información de registro esta convenientemente almacenada para protegerla de accesos indebidos. Es conveniente incorporar esta información a nuestros sistemas de copia de seguridad para poderla recuperar en caso de pérdida. 

  • Sincronización del reloj. Debemos asegurarnos de que todos nuestros sistemas están sincronizados correctamente, de este modo garantizaremos el correcto registro temporal de los eventos más relevantes. 

  • Sistemas de monitorización y alerta. Paralelamente al registro de los eventos más significativos, utilizaremos los sistemas de monitorización para que nos alerten en tiempo real de posibles errores y comportamientos anómalos, tales como: 

    • proximidad de alcanzar los límites en la utilización de los recursos físicos hardware; 

    • finalización o comportamientos anómalos de programas; 

    • comportamientos anómalos en la red; 

    • cambios en configuraciones críticas; 

    • picos de rendimiento anómalos en los sistemas y redes. 

 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.