Con el fin de disminuir las potenciales fallas de seguridad y permitir el compliance en la administración de logs, Ipswitch, desarrolladora de la suite de soluciones para la administración IT, WhatsUp Gold, recomienda la definición de políticas de auditoría y consolidación centralizada de logs.
La gestión de logs de eventos Windows es un componente clave para las iniciativas de cumplimiento de normas, dado que permite monitorear, generar informes acerca del acceso a archivos o actividades no autorizadas realizadas por los usuarios, e incluso habilita a realizar importantes cambios en términos de roles organizacionales.
Para llevar a cabo una administración de logs segura y confiable, Ipswitch recomienda las siguientes cinco prácticas:
1.- Definir categorías para las políticas de auditoría: el término política de auditoría, en el léxico de Microsoft Windows, refiere simplemente a los tipos de eventos de seguridad que se quieran grabar en los logs de eventos de seguridad de los servidores o estaciones de trabajo.
2.- Consolidar automáticamente todos los logs en forma centralizada: cuando se seleccione una solución ELM hay que tener en mente que la automatización, el tipo de almacenamiento y la compresión debieran ser las consideraciones claves.
3.- Monitoreo de eventos, alertas en tiempo real y políticas de notificación: la mayoría de las organizaciones tienen entornos IT heterogéneos, con una amplia mezcla de sistemas operativos, sistemas y dispositivos. El soporte Syslog es importante para tener no sólo routers, switches, IDS y firewalls, sino también sistemas UNIX o LINUX.
4.- Generar informes para públicos claves: auditores, agentes de compliance o seguridad y equipos de management: reportar es un área que provee datos significativos acerca de tendencias de seguridad y demuestra su cumplimiento. Además, ayuda a sustentar la necesidad de cambiar las políticas de seguridad basadas en eventos que pudieran resultar o hubieran resultado comprometedoras en términos de seguridad.
5.- Auditar datos de logs: es recomendable contar con una solución con capacidades de investigación y filtros predefinidos y configurables, para evitar interpretar manualmente vastas cantidades de datos de eventos diarios para localizar la información relevante.
Para hacer frente a la gestión de logs Windows, Ipswitch lanzó WhatsUp Event Log Management Suite. La solución es un grupo modular de aplicaciones que pueden automáticamente almacenar, analizar y reportar en archivos de Windows Event y Syslog para la detección y respuesta de seguridad en tiempo real, y asegurar el cumplimiento de normas de seguridad.
WhatsUp Event Log Management Suite está compuesto por Event Archiver (automatiza los procesos de recolección y almacenamiento de logs de Windows y también proporciona los medios para la limpieza de datos y gestión a largo plazo), Event Alarm (monitorea continuamente los datos de registro recogidos de Windows y ayuda a identificar potenciales amenazas, notificándolas a los equipos de operación a través de acciones concretas de alarma), Event Analyst (permite el filtrado automatizado, la presentación de informes y traducciones de información de logs archivados.) y Event Rover (apoya la revisión y el análisis de los datos de registro de alto volumen para minería de datos y análisis de rutina).
