it-swarm-es.com

¿Qué características buscas en una solución de administración de registros empresariales?

Esta pregunta es para los profesionales de TI, y las personas que gestionan la infraestructura de una empresa. Los desarrolladores deben ver esta respuesta relacionada para las herramientas orientadas para ellos.

¿Cuáles son sus requisitos para una solución de gestión de registro de eventos? ¿Qué es lo que actualmente, o espera derivar de un sistema de este tipo?

Más información:

Encontré na pregunta relacionada que se enfoca en cómo A SOLICITUD Debería guardar al evento, pero esta pregunta es ortogonal a eso. Aquí me gustaría qué herramientas, informes y alertas circundantes que desee de un sistema que agrega, y analiza los archivos de registro.

En un entorno empresarial, esto indudablemente incluiría: Registros de eventos de Windows, Firewall, registros de enrutadores, syslog, etc.

8
goodguys_activate

Aquí hay algunas características diferentes que debe considerar, tenga en cuenta que es posible que no necesite todos estos, y uno podría no ser mejor que el otro, pero son puntos a considerar:

  • Cobertura:
    • Evento de Windows Inicie sesión en servidores, todas las versiones actuales
    • Evento de Windows Inicie sesión en los clientes, todas las versiones en su org (se le sorprendería la cantidad de Win98 aún que todavía hay ...)
    • syslog en los servidores Linux/Unix según sus sabores
    • syslog en las estaciones de trabajo Linux/Unix (si tiene) de acuerdo con los sabores comunes en uso
    • trampas genéricas de SNMP
    • Otro OSS que podría tener ...
    • Equipo de red (si es así, donde desea tomarlo): Firewalls, enrutadores, pasarelas, proxies, WAFS, IDS/IPS, etc.
    • Registros de servidor web/aplicaciones: por ejemplo. IIS, Apache, WebSphere, Weblogic, etc, cualquier otra cosa que tengas
    • Bases de datos
    • Servidores de correo
    • Servidores MQ si los tienes y son críticos.
    • Anuncio/Directorio/Servidores IDM
    • servidores de seguridad y control, por ejemplo. Puerta de enlace de filtrado de contenido, HPOV, MS SMS, etc.
    • etc cualquier otra infraestructura que encuentres crítica
    • Registros de aplicaciones! Como dije en mi comentario, esto es de importancia crítica, pero los más a menudo se descuidan. Si bien no hay un formato común real (hay algunas estructuras, pero no específicas de datos), el producto/solución SIEM debería:
      a. Ser capaz de recibir y analizar genéricamente una variedad de formatos y archivos, por ejemplo. CSV, XML, archivos planos, etc.
      B. Idealmente sería capaz de definir formatos específicos y reconocer los datos.
  • Agente vs sin agente (también conocido como Push vs. Pull) [.____]
    • Hay ventajas para cada una, que realmente depende realmente de su entorno específico.
    • Mejor sería soporte de ambos modelos, y usaría cada uno cuando corresponda
    • Incluso BESTER es el soporte de una API incorporada para iniciar sesión directamente a ella.
  • Agregación y consolidación.
  • Correlación: es decir, vincule diferentes eventos de diferentes fuentes juntas para formar un solo incidente significativo. Idealmente debería usar una variedad de técnicas.
  • Los informes y los paneles, deben ser bi-tipo, tanto para el análisis de tendencias como para la investigación específica de incidentes/usuarios
  • Análisis automatizado y alerta activa, dependiendo de la configuración. Debe ser lo suficientemente flexible para que se ajuste a sus necesidades y expectativas. Los motores analíticos deben poder identificar ciertas clases de mal uso/fraude/ataques en tiempo real (cerca).
  • Datos históricos, e informes/análisis/correlación a lo largo del tiempo
  • Si es relevante, algunos productos ofrecen paquetes de "cumplimiento", para ayudar a cumplir con los requisitos reglamentarios específicos.
  • alta disponibilidad
  • Amplia protección de los datos de registro, tanto su confidencialidad como su integridad, utilizando una combinación de cifrado, control de acceso, autoadhergación, etc.
  • Gestión remota (de forma segura, por supuesto)
  • Posibilidad de conectar a SOC si/cuando llegues
10
AviD
3
Tate Hansen