Buena tarde.
El siguiente tema refiere ahora a la parte de los logs, un tema esencial dentro del análisis de la seguridad, en directo y post mortem.
ANÁLISIS DE LOGS DE LOS DISPOSITIVOS DE SEGURIDAD DENTRO DE LA RED.
¿Por qué es necesario un analizador de logs?
Los logs o hostoricos pueden ser generados en el mismo equipo o en el servidor de un tercero. Con el crecimiento de la red, va creciendo la cantidad de logs generados y por lo tanto la administración de estos logs se vuelve más difícil.
· Cada vez, más y más empresas implementas sistemas de TI en sus redes, la seguridad de estos sistemas se ha convertido en prioridad, por ejemplo:
§ Los logs son distribuidos en varias fuentes en la red, y estos no pueden ser administrados de manera centralizada
§ Cuando el sistema sufre algún ataque, se genera gran cantidad de logs. Como resultado, se complica el análisis de estos, al estar revisando todas las líneas
§ En una red heterogénea, es difícil analizar los logs generados de diferentes fuentes
§ Debido a las limitación del tiempo y aunado a las limitantes de espacio en los dispositivos de almacenamiento, los logs se eliminan de forma automática. Y como resultado, el administrador de la red no puede obtener el resultado del comportamiento de uso de una manera pronta y concreta
· El sistema LOGCENTER puede resolver los problemas expuestos con anterioridad al administrar de manera centralizada los logs de diferentes dispositivos.
§ De manera central, administra los logs a través de recolección proactiva o recepción pasiva
§ Provee una refinada selección de búsqueda, esto ayuda a que el administrador realice un filtrado rápido de aquella información que le resulte útil con base a configuraciones dadas
§ Recolecta los logs de diferentes fuentes en múltiples dimensiones, clasifica los logs para su almacenamiento, y provee una entrada unificada para su posterior análisis
§ Soporta el almacenamiento en línea, volcado y respaldo, por lo que se evita el problema de la necesidad de borrar los logs por falta de espacio. La tecnología de compresión de datos es usada para almacenar a una gran cantidad de datos y eficientar el procesamiento de la información almacenada.
LOG CENTER
§ HUAWEI LOG CENTER es un sistema de administración de logs unificado que integra un gran desempeño y confiabilidad. Basado en HUAWEI B/S, una plataforma de administración de la seguridad, LOG CENTER provee administración de logs, servicios de análisis de la seguridad y funciones de auditoría
§ Las características del LOG CENTER lo hacen un sistema comprensivo, preciso y centralizado
§ La red de una empresa regularmente tiene una gran cantidad de hosts, bases de datos, y otras aplicaciones al igual que gran cantidad de dispositivos, ruteadores, switches y firewalls. Esto trae consigo muchos problemas. Por ejemplo, los logs se presentan en diferentes formatos, y hace que su lectura se pobre y además, dificulta su administración y almacenamiento y esto desemboca en un riesgo mayor en la seguridad, pues es más difícil cubrir estos huecos
§ Las empresas gubernamentales o de la industria privada implementar cada vez mas control aplicando sistemas propios o estándares internacionales. Esto hace que se tengan requerimientos estrictos a la hora de administrar los sistemas de información, pues deben ser precisos e íntegro, y sobretodo deben garantizar su operación efectiva.
En concreto el LOG CENTER habilita la administración unificada de los logs así como su análisis, tazas NAT en línea y el análisis del comportamiento de consumo por parte de los usuarios proveyendo una plataforma para recolectar, almacenar y auditar una gran cantidad de logs de múltiples tipos
PRINCIPIOS DEL SERVICIO DE ANÁLISIS DE LOG CENTER
· El LOG CENTER utiliza un analizador y un recolector
En la imagen: esquema de operación del LOG CENTER
· Los principios de operación se describen a continuación:
Ø MODULO DE RECEPCION (log receiving module): recibe o recolecta los logs de las diferentes fuentes y los envía hacia el módulo de análisis
Ø MODULO DE ANÁLISIS (log parsing module): analiza los logs recibidos, extrae los campos importantes de estos y después analiza la información extraida para colocarlos en una base de datos de contenido jifp para que su interpretación sea fácil y estandarizada. Posterioemnete, este modulo envía los datos analizados hacia el sistema de almacenamiento, a la par manda la información al sistema estadísticos de datos , esto para realizar una análisis de las alarmas presentadas.
Ø MODULO DE ALMACENAMIENTO (log storage module): almacena los logs, analizados y como se recibieron de forma original.
Ø MODULO DE ESTADISTICAS (log statistics module): colecta información de valor dentro de los logs y envía un reporte al analizador. El analizador guarda las estadísticas en la base de datos para después generar reporte.
Ø MODULO DE ANÁLISIS DE ALARMAS (alarm analysis module): recibe las reglas de las alarmas entregadas por el LOG CENTER y realiza un reporte de la información de estas alarmas cuando recibe alarmas que coinciden con las reglas previamente especificadas. La información de las alarma se guarda eb la base de datos
Ø MODULO DE CONSULTA (log query module): recibe las condiciones en las que se realizan las consultas del analizador, busca en el módulo de almacenamiento aquellos logs que cumplan con las condiciones, y reporte los resultados de esta consulta hacia el analizador
Hsta aquí concluye este tema, recuerda comentar y compartir, si te ha parecido útil, no olvides dejar tu ♥.
También te puede interesar:
Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática
Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei
Escenario de aplicación típica del firewall como cliente DNS
Conoce más de esta línea de productos en:
Controlador de red eSight
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente