Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

¿Necesitas más información? Utiliza tu registro de log

Fecha de publicación 31/07/2018
Autor
INCIBE (INCIBE)
¿Necesitas más información? Utiliza tu registro de log

Actualmente es fácil comprobar que las innovaciones tecnológicas tienen una mayor importancia e impacto tanto en el ámbito personal como en el profesional. Las compañías basan cada vez más su actividad en elementos tecnológicos, lo que provoca que cada vez existan más soluciones y herramientas en el mercado. 

Este conjunto de aplicaciones, soluciones o sistemas implantados en una empresa, junto con el trabajo desarrollado por el personal, genera una frenética actividad ya que tanto procesos como usuarios interactúan constantemente entre sí. Registrarla puede ser de gran utilidad a la hora de realizar informes de gestión o de monitorización y así conocer los equipos más utilizados o si hace falta más almacenamiento, por ejemplo. Según los datos aportados por estos informes, se determinarán los eventos más significativos dentro de la empresa que deben ser registrados y de qué modo ha de efectuarse dicho registro. 

Para que una organización pueda recopilar y analizar dicha información, los sistemas, aplicaciones y los otros equipos de red o de seguridad deben contar con mecanismos de recogida de eventos que almacenan toda esa información, los denominados ficheros de log, donde registran información de inicio o fin de sesión, acceso y modificación de ficheros y directorios, cambios en configuraciones, uso de memoria, etc. 

Estos logs pueden ser analizados más allá de los meros fines estadísticos o de reporting. Analizando los registros de actividad de los sistemas que conforman el entramado tecnológico de cualquier organización, se podrán detectar fallos de rendimiento, mal funcionamiento o errores e intrusiones. Por ello proponemos seguir una Política de Gestión de logs. Si esto lo unimos a sistemas de monitorización convenientemente configurados se podrán generar alertas en tiempo real.

Por último, en caso de que ocurra un incidente de seguridad, estos datos facilitarán un análisis forense que diagnostique las causas que podrían haberlo originado, así como hacer posible el cumplimiento de ciertos requisitos legales durante una auditoría.

¿Qué tenemos que tener en cuenta?

Si queremos tener una Política de Gestión de logs para vigilar o auditar la ciberseguridad en nuestra empresa tenemos que preguntarnos:

  1. ¿Qué actividad tenemos que registrar? Si queremos obtener cierta información que consideremos crítica, deberemos analizar y definir qué nos interesa registrar. Por ejemplo:
  • acceso, creado, borrado y actualización de información confidencial;
  • inicio y fin de conexión a red corporativa;
  • inicio y fin de ejecución de aplicaciones y sistemas;
  • inicio y fin de sesión de usuario o intentos de inicio de sesión fallidos;
  • cambios en las configuraciones de los sistemas o aplicaciones más importantes;
  • avisos que indiquen que se está llegando a límites en el uso de dispositivos, como la capacidad de disco, memoria, ancho de banda, uso de CPU, etc. 
  • actividades sospechosas detectadas por el antivirus;
  • otros
  1. ¿Qué información relevante incluirá cada registro? Seleccionaremos, si los sistemas lo permiten, los elementos que deben ser incluidos en los registros de log a fin de poder buscar correlaciones con la información que hayamos considerado como más relevante. Por ejemplo:
  • identificador de usuario;
  • identificación del elemento sobre el que se realiza la acción (ficheros, bases de datos, equipos, etc.); 
  • identificación de dispositivos (a través de la dirección IP, dirección MAC, etc.);
  • identificación de protocolo;
  • fecha y hora;
  • tipología del evento.
  1. ¿En qué formato registraremos la información? Tendremos que elegir un formato del registro que ayude a su lectura, tratamiento automatizado y análisis. Por ejemplo, un mismo formato de fecha y hora para posteriormente poder localizar eventos que suceden al mismo tiempo o en momentos posteriores.
  2. ¿Qué mecanismos de gestión elegiremos? Qué ha de tener el propio sistema de gestión de logs y cómo se han de configurar las herramientas de monitorización y reporting
  3. ¿Tenemos que contar con elementos de protección y almacenamiento? Será necesario proteger la información almacenada ante accesos indebidos y hacer copias de seguridad de la misma por si hubiera que recuperarla en caso de pérdida. 
  4. ¿Tenemos una fuente de tiempo común para la sincronización? De esta forma nos aseguramos que todos nuestros sistemas están sincronizados. 
  5. ¿Son necesarios sistemas de monitorización y alerta? Tenemos que considerar si haremos uso de sistemas de monitorización paralelos que nos alerten en tiempo real ante comportamientos anómalos, como por ejemplo:
  • proximidad de alcanzar límites en el uso de recursos físicos,
  • finalizaciones anómalas de programas,
  • comportamientos inusuales en la red,
  • cambios de configuraciones críticas,
  • picos de rendimientos anómalos en sistemas y redes.

Utiliza la política para verificar que todo está en orden

En la Política Gestión de logs dispones de un checklist para comprobar que tus sistemas de gestión de logs, de monitorización, reporting o alerta, sirven a los objetivos de seguridad de tu organización. Puedes editarla a tu gusto para personalizarla para que se adapte a tu empresa, añadir los controles que puedan ser más prácticos o quitar aquellos que no sean necesarios. No olvides analizar periódicamente todos los controles y actualizarla si hay cambios en los equipos.