Buenas prácticas para la implementación de un correlacionador de logs en una organización

Abstract

Una de las grandes preocupaciones de las organizaciones al implementar herramientas y/o estrategias de seguridad es que costo y cuan traumático sería el ajustar sus actuales aplicaciones, por lo cual en algunas ocasiones se prefiere asumir el riesgo de no implementarlas. Pero si la solución no implica cambios en los sistemas actuales y por lo contrario parte de la solución está contenida en los recursos con los que ya se cuentan, convirtiéndose estos en la fuente primaria que permita la detección de intrusos. Por tal razón en este documento se da a conocer como a través de un análisis de logs y/o correlación de eventos se puede consolidar gran cantidad de datos extrayendo la información realmente relevante y eliminando la redundancia de todo el conjunto de actividades registradas con el fin de encontrar patrones de eventos que evidencien una intrusión a los sistemas y con ello proporcionar los datos necesarios para la adecuada reacción y la prevención a futuros ataques.

One of the major concerns of the organizations to implement tools and / or security strategies is that cost and how traumatic it would be adjusting their existing applications, which sometimes is preferred to take the risk of not implementing them. But if the solution does not involve changes in current systems and the opposite part of the solution is contained in the resources they already have, making these the primary source that allows the detection of intruders. For this reason, herein disclosed as through a log analysis and / or event correlation can consolidate large data extracting really relevant information and eliminating redundancy of the entire set of recorded activities to find patterns of events that demonstrate an intrusion systems and thereby provide the data necessary for adequate reaction and prevent future attacks .