WhitePaper Sobre la importancia de la administracion de eventos

1. Resumen
La administración de log de eventos, es decir, el monitoreo, la recopilación, la consolidación y
el análisis de archivos de log, se ha convertido en una carga necesaria y creciente para los
profesionales de seguridad de redes y administradores de IT.
Tener varios servidores con diferentes sistemas operativos y varios tipos de logs en cada
equipo genera una gran cantidad de datos de archivos de log. Cuando se agregan routers,
firewalls y otros dispositivos como concentradores de VPN, crece el volumen de datos que
debe ser de fácil acceso. De hecho, un único registro de eventos en un servidor con Microsoft
Windows es capaz de generar alrededor de 1 GB de datos de log en apenas 24 horas.
Multipliquemos este número por la cantidad de servidores en una organización, y a
continuación, por la cantidad de tiempo que deben almacenarse los archivos de log: la tarea
de mantenimiento de eventos se vuelve inmanejable. Agreguemos a esta ecuación firewalls,
redes VPN, routers, aplicaciones en base web, el nuevo formato de log EVTX y la creciente
presencia de teletrabajadores en el espacio público: en teoría, el sistema parece
desequilibrado, al punto de fallar.
Introducción
Los logs de eventos permiten a los administradores que revisen el historial reciente de un
servidor o de un dispositivo de red y observar tendencias, fallas, sucesos y otra información
crítica para la organización. En tiempo real pueden brindan indicadores de infecciones por
troyanos y malware en equipos y redes. Los logs de eventos también almacenan pruebas
potencialmente valiosas para el análisis forense. Tras un incidente de seguridad en la red, los
logs de eventos almacenan toda la información sobre dicho incidente: como sucedió, cuando,
y en último caso, las claves para prevenir que vuelva a ocurrir.
Dado que puede brindar tanto una defensa de primera línea, como los elementos necesarios
para un análisis forense, el log de eventos es un componente clave de la seguridad de red en
la actualidad. Muchas organizaciones no tienen más elección que implementar una estrategia
de administración de logs ya que el cumplimiento de normas y regulaciones como SOX o
HIPAA dependen de ello.
Identificar los problemas y las soluciones
El poder monitorear los logs de eventos les da a los administradores una ventaja considerable
para la identificación temprana de amenazas, algo que es mejor que investigar los hechos
cuando suceden. Una estrategia sólida de registro de eventos es la clave para tener un
panorama completo del plan de seguridad de red en cualquier organización. La presencia de
monitoreo de eventos en la estrategia de logs ayuda a distinguir un plan proactivo de uno
reactivo.
Los profesionales de seguridad de red consideran que las amenazas más serias a la
seguridad de la red son internas y por lo general se originan en el mismo edificio, incluso en el
mismo piso o al otro lado del pasillo. La causa puede ser un empleado molesto, un empleado
de liquidación de sueldos curioso o un representante de ventas aburrido.
Cuando es externo, probablemente se trate también de los mismos gusanos o virus que
atacan una pc hogareña. No nos equivoquemos, los equipos de hardware que combaten las
amenazas de malware siguen siendo de ayuda. Sin embargo, un software de administración
de logs de eventos más sencillo y económico puede ser tan o incluso más efectivo para

2. defender la red. De hecho, una estrategia de administración de eventos es más efectiva para
combatir ataques internos. Rastrear los ingresos equivocados de contraseña, los accesos a
archivos y carpetas, y comparar los inicios y cierres de sesión exitosos contra los fallidos,
todas estas funciones pueden manejarse con facilidad mediante una estrategia de
mantenimiento de logs integral.
Pero muchos no ven que tan efectiva puede ser la administración de eventos cuando se
administran los ataques externos de alto perfil. Por ejemplo, un escenario de seguridad sólido
podría incluir la presencia de un router de filtrado. Las listas de control de acceso en estos
dispositivos permiten el paso de determinado tráfico de IP a un firewall donde los paquetes se
inspeccionan y se verifican con otras reglas y listas de control de acceso. Una vez que el
tráfico ha pasado por estas capas, pasa a los servidores donde se encuentra la aplicación o el
servicio que está en uso. La actividad se registra entonces en uno de los logs de eventos del
servidor.
Además de registrar eventos desde la aplicación o servicio, durante el paso a través de
routers y firewalls, también se generan logs. Es claro que la posibilidad de visualizar, buscar, y
recibir alertas de determinados eventos que se generan en estos dispositivos, aplicaciones y
servicios es invaluable. Sin embargo, todavía hay una gran cantidad de eventos no peligrosos
(“ruido”) que se genera durante el tráfico de red de rutina, que se repite innumerables veces
por día. Por lo tanto, contar con una capacidad de monitoreo de logs que pueda discernir es
esencial. La automatización del monitoreo de eventos (que fija los parámetros de los eventos
relevantes) permite a los administradores actuar con rapidez, y, lo que es más importante,
temprano.
En el ambiente actual de “malware del mes”, la capacidad de poder distinguir y diferenciar
automáticamente a través de los eventos en tiempo real puede determinar que redes
sobrevivirán.
Conclusión
La defensa perimetral con firewalls y routers de filtrado es la primera línea de defensa en el
panorama completo de la seguridad de la red, pero una solución sólida y minuciosa de
administración de logs de eventos le brinda a los administradores de red y al personal de
seguridad de red una herramienta esencial para la resolución de problemas, el diagnóstico y la
corrección de posibles problemas, así como para desafíos más cercanos como troyanos,
código malicioso y virus.
A medida que la infraestructura de las organizaciones continúa creciendo y evolucionando en
complejidad, la necesidad de contar con un sistema racional de análisis de datos es
fundamental para las operaciones diarias. El personal de IT recibe información y exigencias de
cualquier punto de la organización, y los problemas no desaparecen solos. Darle al
departamento de IT una herramienta que le permita diagnosticar y resolver problemas es
esencial.
También beneficia a la alta gerencia, a quién se le exige auditabilidad y responsabilidad. Y si
el pasado indica tendencias futuras, estas exigencias serán cada vez mayores.
Resumen – Administración de eventos de log de WhatsUp
La suite de administración WhatsUp Event Log Management es un conjunto modular de
aplicaciones que puede recolectar, almacenar, analizar e informar automáticamente sobre los
archivos de eventos de Windows y Syslogs para detectar eventos de seguridad en tiempo real

3. y responder ante ellos; así como para garantizar el garantizar el cumplimiento normativo y
análisis forense histórico.
Archivo de eventos (Event Archiver): Automatiza la recolección de logs, el almacenamiento,
el resguardo y la consolidación. Soporta auditoría, cumplimiento regulatorio y actividades
forenses de log.
Alarma de eventos (Event Alarm): Monitorea los archivos de log y recibe alertas y
notificaciones en tiempo real. Reacciona con rapidez e inicia procesos de respuesta rápida a
caídas de red o amenazas de seguridad.
Análisis de eventos (Event Analyst): Analiza e informa sobre datos y tendencias de los logs.
Distribuye informes automáticamente a la gerencia, jefes de seguridad, auditores y otros
interesados.
Explorador de eventos (Event Rover): Consola única para visualizar y extraer datos de logs
de todos los equipos, sean estaciones de trabajo o servidores. Soporta análisis forense con
fines específicos en base a la tecnología Log Healer, para administrar y reparar archivos de
log EVTX de Microsoft potencialmente corruptos.