Syslog y Windows Event Log

¿Por qué administrar logs?

Administración de log – Pre-requisito para garantizar la seguridad de la red

Logs proporcionan información de primera mano sobre las actividades de la red. La administración de logs garantiza que los datos de actividad de la red ocultos en logs se conviertan en información de seguridad útil y accionable. La administración de logs es un requisito previo para que el administrador de red y seguridad pueda mantener la red asegurada.

La administración de logs incluye la recolección, almacenamiento seguro normalización, análisis, generación de informes y alertas.

Recolección de logs

• La recolección de logs debe ser no intrusiva.
• Logs deben recolectarse de un grupo diverso de dispositivos, servidores y aplicaciones disponibles en la red.
• La recolección de logs debe realizarse preferiblemente sin agentes.En algunos entornos de red, la recolección de logs usando agentes debe estar disponible como opción.

Almacenamiento seguro

• Los datos de log deben ser almacenados en archivo para análisis forense y requisitos de conformidad regulatoria.
• El almacenamiento de datos log debe ser seguro (por ejemplo, encriptación)
• Además, el mismo almacenamiento debe ser a prueba de alteraciones.
• La duración de la retención debe ser flexible (preferiblemente configurable por el usuario)
• La ubicación y medios de almacenamiento también deben ser flexibles (medios de solo lectura, sistema de almacenamiento masivo, etc.)

Normalización de log

Logs de fuentes heterogéneas debe normalizarse para que tengan un formato común, lo cual se requiere para analizar y correlacionar.

Análisis de log

Logs deben analizarse para obtener un panorama completo de los eventos de seguridad de red.

generación de informes y alertas

Logs se analizan para generar informes y alertas:

• Deben existir informes predefinidos, personalizables, personalizados y programables en diferente formatos y distribuibles.
• Las alertas deben notificarse en tiempo real. Deben implementarse otros mecanismos de notificación e incluso debe ejecutarse otro programa para llevar a cabo medidas remediales. La administración de logs es una parte integral del monitoreo de la seguridad de red.