HCIP ANÁLISIS DE LOGS EN LOS DISPOSTIVIOS DE SEGURIDAD

Última respuesta ag. 19, 2019 15:40:10 29 1 1 0

Buena tarde.


El siguiente tema refiere ahora a la parte de los logs, un tema esencial dentro del análisi de la seguridad, en directo y post mortem.


ANÁLISIS DE LOGS DE LOS DISPOSITIVOS DE SEGURIDAD DENTRO DE LA RED.

¿Por qué es necesario un analizador de logs?

 

Los logos pueden ser generados en el mismo equipo o en el servidor de un tercero. Con el crecimiento de la red, va creciendo la cantidad de logs generados y por lo tanto la administración de estos logs se vuelve más difícil.

 

·        Cada vez, más y más empresas implementas sistemas de TI en sus redes, la seguridad de estos sistemas se ha convertido en prioridad, por ejemplo:

 

§  Los logs son distribuidos en varias fuentes en la red, y estos no pueden ser administrados de manera centralizada

§  Cuando el sistema sufre algún ataque, se genera gran cantidad de logs. Como resultado, se complica el análisis de estos, al estar revisando todas las líneas

§  En una red heterogénea, es difícil analizar los logs generados de diferentes fuentes

§  Debido a las limitación del tiempo y aunado a las limitantes de espacio en los dispositivos de almacenamiento,  los logs se eliminan de forma automática. Y como resultado, el administrador de la red no puede obtener el resultado del comportamiento de uso de una manera pronta y concreta

 

·        El sistema LOGCENTER puede resolver los problemas expuestos con anterioridad al administrar de manera centralizada los logs de diferentes dispositivos.

 

§  De manera central, administra los logs a través de recolección proactiva o recepción pasiva

§  Provee una refinada selección de búsqueda, esto ayuda a que el administrador realice un filtrado rápido de aquella información que le resulte útil con base a configuraciones dadas

§  Recolecta los logs de diferentes fuentes en múltiples dimensiones, clasifica los logs para su almacenamiento, y provee una entrada unificada para su posterior análisis

§  Soporta el almacenamiento en línea, volcado y respaldo, por lo que se evita el problema de la necesidad de borrar los logs por falta de espacio. La tecnología de compresión de datos es usada para almacenar a una gran cantidad de datos y eficientar el procesamiento de la información almacenada.


LOG CENTER

 

§  HUAWEI LOG CENTER es un sistema de administración de logs unificado que integra un gran desempeño y confiabilidad. Basado en HUAWEI B/S, una plataforma de administración de la seguridad, LOG CENTER provee administración de logs, servicios de análisis de la seguridad y funciones de auditoría

§  Las características del LOG CENTER lo hacen un sistema comprensivo, preciso y centralizado

§  La red de una empresa regularmente tiene una gran cantidad de hosts, bases de datos, y otras aplicaciones al igual que gran cantidad de dispositivos, ruteadores, switches y firewalls. Esto trae consigo muchos problemas. Por ejemplo, los logs se presentan en diferentes formatos, y hace que su lectura se pobre y además, dificulta su administración y almacenamiento y esto desemboca en un riesgo mayor en la seguridad, pues es más difícil cubrir estos huecos

§  Las empresas, gubernamentales o de la industria privada  implementar cada vez mas control aplicando sistemas propios o estándares internacionales. Esto hace que se tengan requerimientos estrictos a la hora de administrar los sistemas de información, pues deben ser precisos e íntegro, y sobretodo deben garantizar su operación efectiva.

 

En concreto el LOG CENTER habilita la administración unificada de los logs así como su análisis, tazas NAT en línea y el análisis del comportamiento de consumo por parte de los usuarios proveyendo una plataforma para recolectar, almacenar y auditar una gran cantidad de logs de múltiples tipos

 

 

PRINCIPIOS DEL SERVICIO DE ANÁLISIS DE LOG CENTER

 

·        El LOG CENTER utiliza un analizador y un recolector

142942szt1ofkhmnxobrt1.png?image.png

En la imagen: esquema de operación del LOG CENTER




·        Los principios de operación se describen a continuación:

 

Ø MODULO DE RECEPCION (log receiving module): recibe o recolecta loslogs de las diferentes fuentes y los envía hacia el módulo de análisis

 

Ø MODULO DE ANÁLISIS (log parsing module): analiza los logs recibidos, extrae los campos importantes de estos y después analiza la información extraida para colocarlos en una base de datos de contenido jifp para que su interpretación sea fácil y estandarizada. Posterioemnete, este modulo envía los daros analizados hacia el sistema de almacenamiento, a la par manda la información al sistema estadísticos de datos , esto para realizar una análisis de las armas presentadas.

 

 

Ø MODULO DE ALMACENAMIENTO (log storage module): almacena los logs, analizados y como se reciviweron de forma original.

 

Ø MODULO DE ESTADISTICAS (log statistics module): colecta información de valor dentro de los logs y envía un reporte al analizador. El analizador guarda las estadísticas en la base de datos para después generar reporte.

 

 

Ø MODULO DE ANÁLISIS DE ALARMAS (alarm analysis module): recibe las reglas de las alarmas entregadas por el LOG CENTER y realiza un reporte de la información de estas alarmas cuando recibe alarmas que coinciden con las reglas previamente especificadas. La información de las alarma se guarda eb la base de datos


Ø MODULO DE CONSULTA (log query module): recibe las condiciones en las que se realizan las consultas del analizador, busca en el módulo de almacenamiento aquellos logs que cumplan con las condiciones, y reporte los resultados de esta consulta hacia el analizador



Hsta aquí concluye este tema, recuerda comentar y compartir, si te ha parecido útil, no olvides dejar tu ♥.

  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2019-8-19 15:40:10 Útil(0) Útil(0)
Esta herramienta facilita el análisis de los logs para detectar algún problema y corregirlo en un menor tiempo. Gracias por compartir esta información. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje