Conoce todo lo que puedes hacer con herramientas de registro y gestión de eventos

Conoce todo lo que puedes hacer con herramientas de registro y gestión de eventos

Escrito por: Redacción    16 noviembre 2018     5 minutos

SIEM utiliza selección de datos relevantes, así como adhesión, normalización y retención de registros, incluyendo recopilación de datos y generación de informes

Las herramientas de información de seguridad y gestión de eventos (SIEM) fueron creadas a finales de los años 90. Hoy en día, el SIEM se basa en la selección de datos relevantes, así como en la adhesión, la normalización y la retención de registros. También incluye la recopilación de datos de contexto; la correlación, el análisis y el establecimiento de prioridades; la presentación de informes, al igual que el flujo de trabajo respectivo con el contenido de seguridad. La utilización de SIEM se centra en la seguridad de la red, de la información, de la normativa y de los datos.

Mientras, los programas de gestión de registros incluyen una recopilación total de los registros, así como la adhesión y la retención de los registros completamente originales sin ninguna modificación. Estos sistemas realizan análisis de textos de datos, la presentación de la información a través de búsqueda o de informes, muestra el flujo de los contenidos y de trabajo. La utilización de la gestión de registros es muy amplia, ya que se basa en el uso de datos de registro a través de tecnología de la información (TI).

Funciones principales de los programas SIEM

  • Recopilación de registros y de datos de contexto: Esta es una función que incluye la recopilación de datos de contexto y de registros, al igual que los resultados de evaluación de vulnerabilidad o la información de identidad, con la utilización de una composición de métodos basados en agente y sin agente.
  • Clasificación y normalización: Esta característica comprende la transformación de los registros originales seleccionados a un formato universal para su utilización en el producto de SIEM. También los eventos se clasifican en diferentes bandejas útiles, como “Acceso a archivos”, “Ataque de desbordamiento de buffer” o “Cambio de configuración”.
  • Correlación: Abarca la correlación en reglas, algorítmica o estadística, y los demás métodos que incorpora la relación de datos de contexto, diversos eventos entre sí y entre eventos. La correlación puede realizarse en tiempo real, sin embargo, todas las herramientas no son compatibles con este tipo de correlación, por lo que la acción se centra en datos históricos de las bases de datos.
  • Alertas y notificaciones: La activación de alertas o notificaciones para los gerentes y los operadores es otra de las funciones que destaca a las herramientas SIEM. Entre los sistemas de alerta más comunes se encuentran el servicio de mensajes cortos por medio de SMS, el correo electrónico y los mensajes de Protocolo Simple de Administración de Red (SNMP).
  • Establecimiento de prioridades: Entre otras de las características es que destaca aquellos eventos importantes de las actividades de seguridad que tienen menor prioridad. Esto lo consigue por medio de la correlación de datos de vulnerabilidad y de eventos de seguridad, conjuntamente con otra información de activos.
  • Vistas en tiempo real: Esta es una función adecuada para mostrar en las pantallas de supervisión de los analistas toda la información compilada y los resultados de la correlación en tiempo real. La información archivada y los datos históricos también se pueden observar con este método. Uno de los sistemas que administra eventos y registros, al igual que ejecuta la correlación de actividades en tiempo real es Log Event Manager, que es un software de SolarWinds.
  • Flujo de trabajo con seguridad: Esta particularidad incluye las funciones de gestión de incidencias, como la ejecución de tareas de investigación, la apertura de casos, así como la realización semiautomática y automática de tareas típicas en procedimientos de seguridad.

Características principales de las herramientas de gestión de registros

  • Compilación de datos de registros: Esta función incorpora la compilación de todos los registros a través de métodos basados en agente, sin agente o en una combinación de ambos.
  • Retención eficaz: Esta función se basa en recopilar gigabytes y terabytes de los datos de registro de una manera eficaz, para retenerlos a la hora que se proporciona una búsqueda y un acceso rápido a ellos. Una gran cantidad de normativas incluyen habilidades específicas acerca de la retención de los datos de registros, habitualmente para períodos de varios años, por lo que es una necesidad esencial en una herramienta de gestión de registros.
  • Búsqueda: Esta es la manera para acceder a la información en cada uno de los registros, incluso los originarios de aplicaciones personalizadas. La búsqueda es indispensable para la utilización de los registros en investigación, la localización de fallos y el análisis forense de los registros. Es primordial contar con una interfaz de búsqueda fiable, limpia e interactiva.
  • Indexación o análisis de registros: Estos son los elementos clave de un software de gestión de registros, ya que la indexación puede aumentar la velocidad de las búsquedas. Esta tecnología de indexación genera una estructura de datos llamada índice, que permite efectuar búsquedas booleanas y por palabra clave de una forma rápida en el almacén de registros. En algunas ocasiones, se usa la indexación para proveer otras técnicas de análisis de texto completo.
  • Informes básicos o programados: Estas funciones incluyen los datos recopilados por el sistema de gestión de registros y son semejantes a los informes de SIEM. Estos comunicados deben ser personalizados, rápidos y muy fáciles de utilizar con una amplia variedad de propósitos. Las búsquedas se diferencian de los informes en que se producen en cada uno de los registros disponibles, compilados en bruto y en formato original, mientras que los informes trabajan en los registros organizados en una base de datos.


Comentarios cerrados