Auditoría de los registros de eventos de un sistema

Existe una gran cantidad de software por este motivo. Y parte de ella puede ser administrada por una sola persona, o por todo un equipo de personas. El principio principal de esto es:

1. Identifica lo que estarás registrando.
2. Identifique qué tipo de información necesita (operativa o de seguridad)
3. identificar los casos de uso; el usuario malicioso inicia sesión, alguien inicia sesión en horas impares, alguien que no debe permitir que inicie sesión.
4. Identifique con la infraestructura dada cómo recopilar estos eventos.
5. Cree las alertas, conecte su correo electrónico y espere hasta que suceda algo.

Este tipo de herramienta que está buscando es para fines de seguridad de la información, aunque otras herramientas desde el punto de vista operativo han comenzado a crearse como operadores SIEM. ¿Qué es un SIEM? (gracias a wiki)

  

La información de seguridad y la gestión de eventos (SIEM) es un término para servicios de software y productos que combina la gestión de información de seguridad (SIM) y la gestión de eventos de seguridad (SEM). La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas por el hardware y las aplicaciones de la red.

No estoy afiliado a ninguna de estas herramientas de desarrollo de estas herramientas, ni trabajo para ninguna de las compañías que las venden (aunque sí trabajo CON las herramientas mismas).

Voy a desglosar esto como una base de costos. Desde Gratis (ish) hasta Costoso, y también le brinda información sobre cómo identificar el tipo de información que está buscando dentro de ellos. Estos le permitirán colocar todos los datos en un lugar y recibir un correo electrónico cuando ocurra algo en lugar de leer el Registro de eventos todo el día (BLEH!).

1. OSSIM

  

OSSIM proporciona todas las características que necesita un profesional de seguridad   de una oferta de SIEM: recopilación de eventos , normalización y    correlación . Establecido y lanzado por ingenieros de seguridad fuera de   Necesariamente, OSSIM fue creado con un entendimiento de la realidad que muchos   Los profesionales de seguridad se enfrentan: un SIEM es inútil sin el básico   controles de seguridad necesarios para la visibilidad de seguridad.

Este producto proporciona una buena base con la capacidad de recibir Registro de eventos, Syslog y otros tipos de eventos, crear reglas y recibir alertas cuando sucede algo que no desea. Esto es gratuito y, junto con los datos de Threat Intelligence.

1. Splunk enlace

Este es un software operativo de seguridad desaparecido. Hace algunas de las características más básicas de la correlación, las reglas son fáciles de hacer y se ven llamativas. Es fácil de usar y fácil de configurar. Mucha gente usa esta versión gratuita, aunque en la versión gratuita faltan alertas.

1. Nitro (McAfee)

Este es uno de los costosos que requerirán de 8 a 10 meses de configuración y tiempo de construcción para que un solo usuario pueda manejarlo.

1. ArcSight (HP)

El bohemio que es ArcSight de HP, tan hermoso y sorprendente como es, requiere mucho trabajo para mantenerlo en funcionamiento. Aunque es uno de los mejores productos, es realmente caro y probablemente no vale la pena comprarlo para su caso de uso.

- Espero que esto te ayude a identificar que no es difícil configurar algo como esto y simplemente esperar a recibir correos electrónicos sobre alertas.

Yo mismo soy un auditor de TI. Mi respuesta viene de la experiencia.

  

¿Me equivoco al pensar que es irrazonable e improductivo estar examinando?   estos registros?

Sí, su creencia es errónea e irrazonable. Los registros de auditoría, si están diseñados correctamente para capturar la información más relevante, son una herramienta invaluable para ayudar a la detección de fraude / datos incumplimiento / incumplimiento del empleado. La información útil incluiría, por ejemplo:

• Fecha / hora de un evento
• ID de usuario asociado
• Tipo de evento
• sistema fuente

Un beneficio adicional de este sistema es la responsabilidad del usuario. Como ejemplo, si una persona no autorizada accede a una cuenta, un registro debe ser para capturar la fecha y hora de inicio de sesión junto con el ID de usuario único de la persona que cometió la infracción. Sin esta información, es muy difícil, si no imposible, demostrar que no hay repudio, ya que un usuario puede negar fácilmente sus acciones.

  

Como parece que puedo estar enganchado si se descubriera un incidente no denunciado, ¿cómo puedo analizar la abrumadora cantidad de información que he recibido sin cambiar el título de mi trabajo a 'Event Log Reader'?

Si la estructura de su empresa podría permitirle ser responsable de incidentes no reportados, entonces la política de su compañía viola el principio de seguridad de la Segregación de obligaciones. La segregación de funciones está diseñada para evitar precisamente que una situación tan hipotética evite ocurriendo En esencia, se debe evitar que los empleados con responsabilidades de supervisión, como usted, accedan a la aplicación subyacente desde la cual se generaron los registros. Si no tuvo acceso, no se le puede responsabilizar por incidentes no reportados.

Finalmente, si la cantidad de información registrada es difícil de revisar, entonces su técnica de registro es defectuosa. Registrar cada evento trivial es el equivalente a no registrar nada. Evita que la información crítica se note en un mar de ruido.