¿Qué características busca en una solución de Enterprise Log Management?

Navega tus respuestas
8

Esta pregunta es para profesionales de TI y personas que administran la infraestructura de una empresa. Los desarrolladores deben ver esta respuesta relacionada para las herramientas diseñadas para ellos.

¿Cuáles son sus requisitos para dicha solución de gestión de registro de eventos? ¿Qué espera actualmente o espera obtener de dicho sistema?

Más información:

Encontré una pregunta relacionada que se centra en cómo una aplicación debería guardar para el registro de eventos, pero esta pregunta es ortogonal a eso. Aquí me gustaría saber qué herramientas, informes y alertas circundantes desea de un sistema que agregue y analice los archivos de registro.

En una configuración de empresa, esto sin duda incluiría: registros de eventos de Windows, firewall, registros de enrutador, syslog, etc.

    
pregunta random65537 22.11.2010 - 19:37
fuente

2 respuestas

10

Aquí hay algunas características diferentes que debe considerar, tenga en cuenta que es posible que no necesite todas estas y que una no sea mejor que la otra, pero son puntos a considerar:

  • cobertura:
    • Registro de eventos de Windows en servidores, todas las versiones actuales
    • Registro de eventos de Windows en clientes, todas las versiones de su organización (se sorprendería de cuántas Win98 todavía hay ...)
    • syslog en servidores Linux / Unix según sus sabores
    • syslog en estaciones de trabajo Linux / Unix (si tiene) de acuerdo con los sabores comunes en uso
    • capturas SNMP genéricas
    • Otros sistemas operativos que puedas tener ...
    • Equipo de red (si es donde quiere llevarlo): cortafuegos, enrutadores, puertas de enlace, proxies, WAF, IDS / IPS, etc.
    • Registros del servidor de aplicaciones / web: por ejemplo, IIS, Apache, WebSphere, WebLogic, etc., cualquier otra cosa que tenga
    • Bases de datos
    • servidores de correo
    • Servidores MQ si los tiene y son críticos
    • AD / directory / IdM servers
    • servidores de seguridad y control, por ejemplo, puerta de enlace de filtrado de contenido, HPOV, MS SMS, etc.
    • etc. cualquier otra infraestructura que encuentre crítica
    • registros de aplicaciones! Como dije en mi comentario arriba, esto es de importancia crítica, pero a menudo se descuidan. Si bien no existe un formato común real (hay algunas estructuras pero nada de datos específicos), el producto / solución SIEM debería:
      a. ser capaz de recibir y analizar genéricamente una variedad de formatos y archivos, por ejemplo, CSV, XML, archivos planos, etc.
      segundo. lo ideal sería poder definir formatos específicos y reconocer los datos
  • Agente contra agente (también conocido como empujar contra tirar)
    • Hay ventajas para cada uno, lo que es mejor depende realmente de su entorno específico.
    • Lo mejor sería el soporte de ambos modelos, y usar cada uno donde sea apropiado
    • Aún mejor es el soporte de una API incorporada para iniciar sesión directamente en ella.
  • Agregación y consolidación
  • Correlación: es decir, vincula diferentes eventos de diferentes fuentes para formar un solo incidente significativo. Lo ideal sería utilizar una variedad de técnicas
  • Informes y paneles de control: deben ser de tipo BI, tanto para el análisis de tendencias como para la investigación de incidentes / usuarios específicos
  • Análisis automatizado y alertas activas, según la configuración. Debe ser lo suficientemente flexible para adaptarse a sus necesidades y expectativas. Los motores analíticos deben poder identificar ciertas clases de uso indebido / fraude / ataques en (casi) tiempo real.
  • Datos históricos, e informes / análisis / correlación en el tiempo
  • Si es relevante, algunos productos ofrecen paquetes de "Cumplimiento" para ayudar a cumplir con los requisitos reglamentarios específicos.
  • alta disponibilidad
  • Amplia protección de los datos de registro, tanto su confidencialidad como su integridad, mediante la combinación de cifrado, control de acceso, registro automático, etc.
  • Gestión remota (de forma segura, por supuesto)
  • Posibilidad de conectarse al SOC si / cuando llegues
respondido por el AviD 23.11.2010 - 20:20
fuente

Lea otras preguntas en las etiquetas

¿La forma correcta de protegerse contra XSS, cuando la salida está directamente en JS no en HTML? ¿Es suficiente mirar la dirección de correo electrónico del remitente?