Ipswitch, desarrolladora de la suite de soluciones para la administración IT, WhatsUp Gold, presentó un estudio sobre las mejores prácticas para la gestión de logs Windows con el fin de disminuir las potenciales fallas de seguridad y permitir el compliance.
La gestión de logs de eventos Windows es un componente clave para las iniciativas de cumplimiento de normas, dado que permite monitorear, generar informes acerca del acceso a archivos o actividades no autorizadas realizadas por los usuarios, e incluso habilita a realizar importantes cambios en términos de roles organizacionales.
Un log es un registro oficial de eventos durante un período de tiempo determinado y se utiliza para registrar datos sobre quién, qué, cuándo, dónde y por qué un evento ocurre para un dispositivo o aplicación en particular.
Los sistemas para Windows tienen diversos logs de eventos que deben ser monitoreados constantemente, especialmente los de seguridad. Éstos proveen información clave acerca de quién se encuentra logueado en la red y qué es lo que está haciendo. Estos logs son importantes para que el personal del área pueda entender si existen vulnerabilidades en la implementación de seguridad.
Las mejores prácticas de la gestión de logs de eventos Windows
Los estándares regulatorios le proveen a las empresas un programa para los programas de seguridad interna y estrategia de gestión de logs. A continuación, se detallan cinco prácticas a tener en cuenta:
1. Defina categorías para sus políticas de auditoría: el término política de auditoría, en el léxico de Microsoft Windows, refiere simplemente a los tipos de eventos de seguridad que se quieran grabar en los logs de eventos de seguridad de los servidores o estaciones de trabajo.
2. Consolide automáticamente todos los logs en forma centralizada: cuando se seleccione una solución ELM hay que tener en mente que la automatización, el tipo de almacenamiento y la compresión debieran ser las consideraciones claves. Automatización significa que la solución se configura una vez y se debe revisar sólo cuando sea absolutamente necesario
3. Monitoreo de eventos, alertas en tiempo real y políticas de notificación: la mayoría de las organizaciones tienen entornos IT heterogéneos, con una amplia mezcla de sistemas operativos, sistemas y dispositivos. A pesar de que su entorno quizás tienda hacia Windows desktop y servidor OSs, tal vez se quiera también tener la opción de elegir más que sólo monitoreo de logs de eventos de Windows. El soporte Syslog es importante para tener no sólo routers, switches, IDS y firewalls, sino también sistemas UNIX o LINUX.
4. Generar informes para públicos claves: auditores, agentes de compliance o seguridad y equipos de management: reportar es un área que provee datos significativos acerca de tendencias de seguridad y demuestra su cumplimiento. Además, ayuda a sustentar la necesidad de cambiar las políticas de seguridad basadas en eventos que pudieran resultar o hubieran resultado comprometedoras en términos de seguridad.
5. Auditar datos de logs: es recomendable contar con una solución con capacidades de investigación y filtros predefinidos y configurables, para evitar interpretar manualmente vastas cantidades de datos de eventos diarios para localizar la información relevante.
Para hacer frente a la gestión de logs Windows, componente clave para las empresas, Ipswitch lanzó WhatsUp Event Log Management Suite. La solución es un grupo modular de aplicaciones que pueden automáticamente almacenar, analizar y reportar en archivos de Windows Event y Syslog para la detección y respuesta de seguridad en tiempo real, y asegurar el cumplimiento de normas de seguridad.
Se compone de cuatro productos individuales que pueden funcionar independientemente o en conjunto:
• Event Archiver: automatiza los procesos de recolección y almacenamiento de logs (registros) de Windows y también proporciona los medios para la limpieza de datos y gestión a largo plazo.
• Event Alarm: monitorea continuamente los datos de registro recogidos de Windows y ayuda a identificar potenciales amenazas, notificándolas a los equipos de operación a través de acciones concretas de alarma.
• Event Analyst: permite el filtrado automatizado, la presentación de informes y traducciones de información de logs archivados.
• Event Rover: apoya la revisión y el análisis de los datos de registro de alto volumen para minería de datos y análisis de rutina.
“La gestión de logs de eventos es especialmente importante en las empresas que tienen que cumplir con una determinada regulación, sea interna o gubernamental. Tal información es de gran ayuda para las empresas a la hora de localizar, identificar y tomar acciones relativas a eventos, de forma que el control de seguridad no sea comprometido”, expresó Alessandro Porro, Director Internacional de Ventas, División de Network Management de Ipswitch.