Registros de seguridad en Linux, Solaris y Windows

Navega tus respuestas
3

Como departamento de seguridad de la compañía, nuestros administradores de sistemas nos preguntan qué necesitan para iniciar sesión en SIEM (Seguridad de incidentes y gestión de eventos). No tenemos ningún documento preparado y estamos buscando algo que combine la sabiduría combinada de COBIT, PCI, etc. de una manera que podamos presentar a otros departamentos.

    
pregunta AviD 08.08.2011 - 17:04
fuente

2 respuestas

3

Esta es una pregunta alucinante. Lo que necesita para iniciar sesión es una necesidad comercial específica. Por lo general, desea registrar los inicios de sesión y los cambios administrativos. Pero aún eso es bastante básico. Lo que necesita es una mejor comprensión de las personas que dirigen su organización sobre qué sistemas son importantes. Un buen plan de continuidad comercial con algunas evaluaciones de riesgo lo llevará lejos.

Soy realista, y sé que conseguirlo probablemente no sea para empezar. Entonces, ¿puedo ofrecer esto? Si está tratando de ajustar su producto SIEM, no se limite a golpear todo al mismo tiempo. Elija algo, como Conmutadores de red y obtenga los registros de envío y ajuste antes de pasar a lo siguiente, digamos Controladores de dominio.

Desea que su SIEM solo le avise de un problema, si está inundado con 400 alertas por día, su herramienta SIEM casi no vale nada y debería haber implementado un servidor de syslog y haber ahorrado un montón de dinero.

    
respondido por el M15K 08.08.2011 - 23:42
fuente
3

Aquí hay una respuesta simple: Registrar todo .

Todo lo que se puede capturar, envíelo a su servidor SIEM. Debe centrarse en seleccionar e implementar un servidor SIEM que pueda manejar ese volumen de datos y que pueda usarse para alertas e informes que proporcionen información significativa relacionada con la seguridad sin demasiados falsos positivos.

No debes centrarte en determinar qué es o qué no es importante y silenciar los mensajes en la fuente. Si está equivocado, cuando necesite los datos, se irán o se dispersarán en los puntos finales, con las únicas copias en las máquinas posiblemente comprometidas.

Si reúne todo en su SIEM central, entonces tiene una copia forense en caso de que una máquina de punto final esté comprometida. Donde hubiera tenido que ajustar qué registros enviar, ahora solo tiene que ajustar qué registros se procesarán para sus alertas e informes. Y si resulta que necesitaba algo que no creía importante, entonces lo tiene, justo allí y listo para la búsqueda centralizada que proporciona SIEM.

Las desventajas son:

  • Requisitos de espacio en disco para mantener todos esos registros
  • el software SIEM es lo suficientemente rápido como para manejar una enorme base de datos de registro
  • El software SIEM es lo suficientemente inteligente como para admitir consultas concisas

Las ventajas son:

  • Tendrá todos los registros que necesita, incluso los que no creía que necesitaría
  • Su guía para los administradores del sistema se vuelve completamente sencilla
respondido por el gowenfawr 09.08.2011 - 04:18
fuente

Lea otras preguntas en las etiquetas

¿Tiene que pedir permiso un sitio web para acceder al micrófono y la cámara web? ¿Es posible hackear un dispositivo a través del puerto USB en un avión?