Gestión de registro

Registro de eventos de Syslog y Windows

¿Por qué registrar la gestión?

Gestión de registros: requisito previo para garantizar la seguridad de la red

Los registros le brindan información de primera mano sobre las actividades de su red. La gestión de registros garantiza que los datos de actividad de red ocultos en los registros se conviertan en información de seguridad significativa y procesable. La administración de registros es un requisito previo para que el administrador de red y seguridad mantenga segura la red.

La gestión de registros se compone de recopilación de registros , almacenamiento seguro , normalización, análisis, informes y generación de alertas .

Colección Log

  • La recolección de registros debe ser discreta.
  • Los registros deben recopilarse de diversos conjuntos de dispositivos, servidores y aplicaciones disponibles en la red.
  • La recolección de registros debe ser preferiblemente sin un agente . En algunos entornos de red, la recopilación de registros mediante el agente debería estar disponible como opción.

Almacenamiento seguro

  • Los datos de registro deben almacenarse en el archivo para el análisis forense y los requisitos de cumplimiento normativo.
  • El almacenamiento de datos de registro debe ser seguro (por ejemplo, cifrado)
  • Además, el almacenamiento debe ser a prueba de manipulaciones
  • La duración de la retención debe ser flexible (preferiblemente configurable por el usuario)
  • La ubicación de almacenamiento, los medios también deben ser flexibles (solo lectura de medios, sistema de almacenamiento masivo, etc.)

Normalización de registro

Los registros de fuentes heterogéneas deben normalizarse para tener un formato común. Esto es necesario para analizar y correlacionar.

Análisis de Log

Los registros deben analizarse para obtener una imagen completa de los eventos de seguridad de la red

Informe y generación de alerta

Los registros se analizan para generar informes y alertas

  • Debería haber informes enlatados, personalizables, personalizados y programados en diferentes formatos y distribuibles.
  • Las alertas se deben notificar en tiempo real. Debería haber más mecanismos de notificación e incluso otro programa debería ejecutarse para llevar a cabo medidas correctivas

La gestión de registros es una parte integral de la supervisión de la seguridad de la red