Gestión de registros ( LM ) comprende un enfoque para tratar con grandes volúmenes de ordenador -generated registrar mensajes (también conocido como registros de auditoría , pistas de auditoría , eventos-logs , etc.).
La gestión de registros generalmente cubre: [1]
- Recolección de registros
- Agregación de registros centralizada
- Almacenamiento y retención de registros a largo plazo
- Rotación de registros
- Análisis de registros (en tiempo real y a granel después del almacenamiento)
- Búsqueda de registros e informes.
Descripción general
Los principales impulsores de las implementaciones de administración de registros son las preocupaciones sobre la seguridad , [2] las operaciones del sistema y la red (como la administración del sistema o de la red ) y el cumplimiento normativo. Los registros son generados por casi todos los dispositivos informáticos y, a menudo, pueden dirigirse a diferentes ubicaciones tanto en un sistema de archivos local como en un sistema remoto.
El análisis eficaz de grandes volúmenes de registros diversos puede plantear muchos desafíos, como:
- Volumen: los datos de registro pueden alcanzar cientos de gigabytes de datos por día para una gran organización . Simplemente recopilar, centralizar y almacenar datos en este volumen puede ser un desafío.
- Normalización: los registros se producen en múltiples formatos. El proceso de normalización está diseñado para proporcionar un resultado común para el análisis de diversas fuentes.
- Velocidad: la velocidad a la que se producen los registros desde los dispositivos puede dificultar la recopilación y agregación
- Veracidad: los eventos de registro pueden no ser precisos. Esto es especialmente problemático en los sistemas que realizan detección, como los sistemas de detección de intrusos .
Los usuarios y los usuarios potenciales de la gestión de registros pueden adquirir herramientas comerciales completas o crear sus propias herramientas de inteligencia y gestión de registros, ensamblar la funcionalidad de varios componentes de código abierto o adquirir (sub) sistemas de proveedores comerciales. La gestión de registros es un proceso complicado y las organizaciones a menudo cometen errores al abordarlo. [3]
El registro puede producir información técnica utilizable para el mantenimiento de aplicaciones o sitios web. Puede servir:
- para definir si un error informado es realmente un error
- para ayudar a analizar, reproducir y resolver errores
- para ayudar a probar nuevas funciones en una etapa de desarrollo
Terminología
¿Se hicieron sugerencias [ por quién? ] para cambiar la definición de registro. Este cambio mantendría las cosas más puras y más fáciles de mantener:
- El registro se definiría entonces como todos los datos descartables instantáneamente sobre el proceso técnico de una aplicación o sitio web, ya que representa y procesa los datos y la entrada del usuario.
- La auditoría , entonces, involucraría datos que no son descartables de inmediato. En otras palabras: los datos que se ensamblan en el proceso de auditoría, se almacenan de manera persistente, están protegidos por esquemas de autorización y, siempre, están conectados a algún requisito funcional del usuario final.
Ciclo de vida de la implementación
Una vista [ cita requerida ] de evaluar la madurez de una organización en términos de implementación de herramientas de administración de registros podría usar [ ¿investigación original? ] niveles sucesivos como:
- en las etapas iniciales, las organizaciones utilizan diferentes analizadores de registros para analizar los registros en los dispositivos en el perímetro de seguridad. Su objetivo es identificar los patrones de ataque a la infraestructura perimetral de la organización.
- Con un mayor uso de la informática integrada, las organizaciones exigen registros para identificar el acceso y el uso de datos confidenciales dentro del perímetro de seguridad.
- En el siguiente nivel de madurez, el analizador de registros puede rastrear y monitorear el rendimiento y la disponibilidad de los sistemas a nivel de la empresa , especialmente de aquellos activos de información cuya disponibilidad las organizaciones consideran vitales.
- Las organizaciones integran los registros de diversas aplicaciones comerciales en un administrador de registros empresariales para ofrecer una mejor propuesta de valor .
- Las organizaciones fusionan la supervisión del acceso físico y la supervisión del acceso lógico en una sola vista.
Ver también
- Pista de auditoría
- Evento base común
- Formato de registro común
- Proyectos DARPA PRODIGAL y Detección de anomalías a múltiples escalas (ADAMS).
- Registro de datos
- Análisis de registros
- Base de conocimientos de gestión de registros
- Gestión de eventos e información de seguridad
- Registro del servidor
- Syslog
- Contador web
- Software de análisis de registros web
Referencias
- ↑ (NIST), Autor: Karen Kent; (NIST), Autor: Murugiah Souppaya. "SP 800-92, Guía para la administración de registros de seguridad informática" (PDF) . csrc.nist.gov .
- ^ "Aprovechamiento de los datos de registro para una mejor seguridad" . EventTracker SIEM, seguridad de TI, cumplimiento, gestión de registros . Archivado desde el original el 28 de diciembre de 2014 . Consultado el 12 de agosto de 2015 .
- ^ "Top 5 Log errores - Segunda edición" . Docstoc.com . Consultado el 12 de agosto de 2015 .
- Chris MacKinnon: "LMI en la empresa". Processor 18 de noviembre de 2005, Vol.27 Issue 46, page 33. Online en http://www.processor.com/editorial/article.asp?article=articles%2Fp2746%2F09p46%2F09p46.asp , consultado 2007-09- 10
- MITRE: Estándar de registro propuesto de Common Event Expression (CEE). En línea en http://cee.mitre.org , consultado el 3 de marzo de 2010
- NIST 800-92: Guía para la administración de registros de seguridad. En línea en http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf , consultado el 3 de marzo de 2010.