Manual informativo

ArcSight™ Logger
Poniendo en valor la información de los logs
corporativos

Investigación 002-103108-02

ArcSight, Inc. Oficina corporativa: 1-888-415-ARST

5 Results Way, Cupertino, CA 95014, EE. UU. Oficina central de Europa, Oriente Medio y África:
www.arcsight.com info@arcsight.com +44 870 351 6510
Oficina central del Pacífico asiático: 852 2166 8302
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos
Descripción general desde una óptica
ejecutiva
Las organizaciones responsables de cumplimiento, análisis
forense, seguridad y operaciones de TI reconocen desde
siempre el valor que los logs pueden proporcionar. Una
solución eficaz para la gestión de logs puede ayudar a las
organizaciones de diversas maneras:
• Contener el coste creciente de las auditorías
reglamentarias a través de la automatización
• Reducir el gasto en herramientas de seguridad y
cumplimiento a través de la monitorización integral de
todos los usuarios y sistemas
• Disminuir los costes del centro de datos a través de
la consolidación de una infraestructura de logs local y
segmentada
• Mejorar la eficiencia de las investigaciones forenses
mediante el análisis de logs de alto rendimiento
• Agilizar el tiempo de respuesta para la solución de
problemas y el cumplimiento de los acuerdos de nivel
de servicio
A pesar de estos beneficios tangibles, las organizaciones
siguen teniendo problemas, incluso en aspectos básicos de
la gestión de logs como la recopilación y el análisis. Este
manual informativo describe los rasgos generales de la gestión
de logs, además de los desafíos subyacentes y el objetivo
hacia un conjunto común de requisitos para la evaluación de
las herramientas de gestión de logs. Este manual también
proporciona una descripción general de la gestión de logs
ArcSight y concluye con varios ejemplos que ilustran cómo
las empresas pueden impulsar una solución de gestión de
logs eficaz para automatizar el control de la seguridad y el
cumplimiento normativo, llevar a cabo los análisis forenses de
manera más eficiente y mejorar los estándares operativos.
Directores de sistemas
de información
Debemos mejorar el
cumplimiento de nuestros
acuerdos de nivel de servicio
Análisis forense
Invertimos incontables
horas en el seguimiento de
incidencias
Figura 1: consumidores de datos de logs
Usuarios de la información
proveniente de logs
En toda la empresa existe una cantidad creciente de
empleados que pueden beneficiarse de los datos de logs.
• Los grupos de auditoría y cumplimiento reconocen el
valor de los logs para la supervisión del cumplimiemto
normativo y para la simplificación, automatización
y racionalización de las iniciativas de cumplimiento
costosas. Los esfuerzos manuales y la infraestructura
de logs desarrollada internamente pueden brindar una
solución de emergencia para las auditorías iniciales,
pero no logran proporcionar una reducción de costes
a largo plazo con vistas a cumplir con la extensa
normativa sobre retención de datos y requisitos estrictos
con respecto a la elaboración de informes de auditorías.
Existe una clara necesidad de contar con una solución
de gestión de logs integral que pueda proporcionar una
recopilación eficiente y un almacenamiento de bajo
coste y a largo plazo de los datos de logs con calidad
de auditoría, a partir de fuentes sujetas a normativa
que pueden variar desde equipos de conexión en red
y dispositivos de seguridad hasta bases de datos y
aplicaciones locales.
• Los equipos de seguridad pueden apoyarse en el
acceso rápido a los logs para la detección de una
amenaza a la seguridad, el seguimiento de una
investigación y el desarrollo de los planes correctivos.
Para facilitar estos beneficios, las soluciones de gestión
de logs deben admitir el análisis de datos de logs
durante períodos prolongados, además de ser capaces
de aislar eventos en función de atributos comunes como
el tipo de fuente, el nombre de usuario, la dirección IP,
etc.
• Los equipos de operaciones de TI y asistencia
técnica responsables de las redes, la seguridad o
las aplicaciones trabajan de forma conjunta o incluso
combinada y, por lo tanto, pueden obtener un importante
beneficio a partir de la visión consolidada de la actividad
Cumplimiento
El almacenamiento de logs
por imperativos legales y los
requisitos de elaboración de
informes son muy costosos
Director de seguridad
Necesito una mayor visibilidad
de las amenazas a la seguridad
ArcSight 1
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos

operativa en toda la empresa. Para cumplir con los Desafíos de la recopilación de logs
objetivos operativos relacionados con la disponibilidad La recopilación de logs representa un problema por diversas
y los acuerdos de nivel de servicio, se debe abordar la razones, pero el alcance de la recopilación es quizás el más
complejidad de la consolidación de la información de importante de todos. Principalmente como resultado del
logs de fuentes dispares y funcionalmente alineadas. cumplimiento normativo, las organizaciones deben recopilar
Una infraestructura de gestión de logs eficiente logs de numerosos dispositivos y clases de dispositivos, desde
y escalable resuelve este problema al permitir la dispositivos de seguridad/red hasta sistemas operativos,
recopilación de grandes volúmenes de logs desde todos bases de datos, aplicaciones y logs de navegación. El mero
los puntos de la red, con la flexibilidad adicional del mantenimiento de los crecientes volúmenes de logs puede
análisis simplificado y los datos de contexto para una representar un desafío.
mejor operación.
• Los ejecutivos (CIOs, CFOs y CEOs) pueden Muchos de estos dispositivos no pueden enviar por sí
beneficiarse de cuadros de mando e informes que mismos sus logs a una ubicación central; por lo tanto, las
proporcionen una visibilidad continua de los objetivos empresas a menudo desplegan agentes de recopilación de
corporativos, los indicadores operativos, el control de logs. Si esto ya no suena complicado, considere una red
la empresa y las iniciativas regulatorias. Los sumarios más amplia que involucra múltiples ubicaciones sin personal
ejecutivos, combinados con hechos sustanciales, de TI. ¿Quién se encarga del despliegue y la gestión de la
pueden proporcionar una evaluación rápida del progreso infraestructura de recopilación de logs? ¿Qué sucedería si los
y de la postura frente a estas metas. servidores fundamentales ya no contaran con capacidad de
procesamiento para albergar agentes de recopilación de logs
a nivel local?
Desafíos de la gestión de logs También existe el desafío de garantizar la calidad de la
Los logs no representan nada nuevo y la mayoría de los auditoría cuando los logs se recopilan; es decir, demostrar
dispositivos son capaces de generar logs por sí mismos. que los logs se recopilaron de manera segura y fiable. Para la
Entonces, ¿por qué la gestión de logs aún resulta tan recopilación de logs desde ubicaciones remotas (almacenes,
complicada para las empresas? El Instituto SANS realiza un sucursales bancarias) también es importante garantizar que
estudio anual sobre la gestión de logs y dicha investigación enlaces de comunicaciones de ancho de danda pequeño no
sobre los desafíos de esta gestión sugiere que la fase que se saturen con el tráfico de logs, ya que pueden bloquear el
aún representa el aspecto más complejo para las empresas tráfico de transacciones más importantes.
es la de recopilación y análisis de datos. De hecho, cerca de
la mitad de los encuestados señaló que éste todavía es el Desafíos del almacenamiento de logs
aspecto más difícil de la gestión de logs.
Después de la recopilación, el almacenamiento es otro de los
Aproximadamente otra cuarta parte de los encuestados indicó grandes desafíos que enfrentan muchas empresas. Es cada
que la seguridad del almacenamiento y el establecimiento vez más común que las organizaciones almacenen una mayor
de la cadena de custodia también representan problemas cantidad de logs y durante períodos más prolongados. Este
notables de la gestión de logs, y un tercio sugirió que el ciclo aumento puede atribuirse a los requisitos de retención de
completo de recopilación, almacenamiento y análisis resultaba datos que establece el gran número de reglamentaciones a
problemático para ellos. las que las organizaciones están sujetas en la actualidad. Por
ejemplo:
• La Guía del NIST (Instituto Nacional de Normas y
60 Tecnología) para la HIPAA recomienda que los logs se
mantengan durante un mínimo de seis o siete años,
51
según el tipo de dato.
50
44 42 • De manera similar, la sección 103 de la Ley Sarbanes-
Oxley establece que las empresas deben almacenar
40
todos los documentos de las auditorías y demás
30 información relacionada con los informes de auditoría,
Elaboración de informes

30
Recopilación de datos

24 con detalles suficientes como para respaldar las

Búsqueda de datos

conclusiones de dichos informes, durante un período de

Vida útil completa
Almacenamiento

20 18 siete años. Debido a que es común utilizar los datos de

15
logs para responder a los requisitos de elaboración de
de custodia

compartidos

informes, muchas empresas interpretan el requisito de

Datos de
Cadena

10
seguro

retención de esta ley como si fuera aplicable a los datos

logs

de logs correspondientes.
0
• La sección 10.7 de la norma de seguridad de datos PCI
Figura 2: ¿Por qué la gestión de logs aún resulta tan exige expresamente a las entidades gubernamentales
complicada para las empresas? “conservar el historial de las auditorías durante un año
Encuesta anual de SANS sobre gestión de logs. Junio de como mínimo, con una disponibilidad en línea de al
2008. menos tres meses”.

ArcSight 2
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos
La Tabla 1 resume los requisitos de retención de datos de las
reglamentaciones más comunes.
Normativa Requisito de
retención*
SOX 7 años
PCI 1 año
GLBA 6 años
Directiva Retención de datos 2 años
de la UE
Basilea II 7 años
HIPAA 6 ó 7 años
NERC 3 años
FISMA 3 años
Tabla 1: requisitos de retención de datos para distintas
normativas.
*Los valores son requisitos normativos o interpretaciones
de requisitos normativos por parte de ArcSight.
Cuando los logs se dejan en los dispositivos que los
generaron, es muy difícil cumplir con las políticas de retención
y todo tipo de rotación de logs se convierte en un proceso
manual, tedioso y sujeto a errores.
Finalmente, la aplicación de los controles de acceso o el
establecimiento de la integridad de los logs almacenados
resulta una tarea mucho más compleja cuando los logs se
encuentran dispersos en distintos dispositivos de la red, en
lugar de estar consolidados en una única ubicación.
Desafíos del análisis de logs
El análisis representa el tercer desafío importante,
especialmente con las soluciones desarrolladas internamente.
El hecho es que los distintos tipos de dispositivos disponibles
(cortafuegos, enrutadores, conmutadores y una gran cantidad
de aplicaciones y bases de datos diversas) generan logs de
formatos diferentes y a menudo cifrados que no son fáciles
de analizar. Las soluciones locales no proporcionan un
mecanismo sencillo para buscar y elaborar informes sobre
esta información, y debido a la presencia de una comunidad
creciente de usuarios no técnicos de datos de logs existe una
necesidad clara de encontrar una manera simple de analizar
los logs.
La búsqueda y elaboración de informes de “alto rendimiento”
es una porción valiosa y visible de la experiencia del usuario
final en todos los casos de uso de la gestión de logs. Por
ejemplo, si una solución SIEM detecta una amenaza interna,
una de las tareas inmediatas es determinar el alcance del
impacto, lo cual exige un acceso interactivo rápido y sencillo
a los logs para determinar un rastro probatorio. De manera
similar, en las operaciones de TI, cuando los sistemas o las
aplicaciones críticas que posibilitan las transacciones se caen,
cada segundo puede medirse en beneficios perdidos y la
velocidad de identificación y solución del problema se vuelve
esencial.
Uno de los desafíos adicionales es el del cumplimiento
normativo; las organizaciones necesitan experiencia para
desarrollar contenido autorizado bajo la forma de informes,
alertas, etc. A menudo dicha experiencia no existe a nivel
interno y a la vez resulta costoso contratar dicho servicio.
Elección de la solución de gestión de
logs correcta
Una solución adecuada debe ser capaz de abordar los
desafíos descritos en la sección anterior con respecto a la
recopilación, al almacenamiento y al análisis. Sin embargo,
también debe poder aplicarse de manera sencilla en términos
de implementación y gestión continua. La solución adecuada
también debe ser escalable desde un entorno pequeño
hasta la totalidad de la empresa o simplemente ofrecer el
tamaño correcto. La elección de una solución incorrecta
puede transformar rápidamente la gestión de logs en un
caos, especialmente a medida que las reglamentaciones
continúen en aumento y las amenazas a la seguridad se sigan
multiplicando. Por ello, las mejores prácticas de evaluación
son una valiosa herramienta. La siguiente lista de los diez
criterios de evaluación más importantes se compiló a partir
de las experiencias de los clientes y puede ayudar a las
organizaciones a escoger la solución que se adecue de
manera precisa a su caso de uso específico.
1. Recopilación universal
La empresa media actual admite una diversidad de
dispositivos que abarcan desde cortafuegos y sistemas IDS/
IPS hasta enrutadores, bases de datos, sistemas operativos y
aplicaciones. La gestión eficaz de los logs, especialmente para
el cumplimiento normativo, requiere la recopilación de logs de
eventos de una gran variedad de fuentes ubicadas en redes
distribuidas. Esto convierte el soporte nativo de dispositivos
en un requisito fundamental de la gestión de logs. Asegúrese
de que la solución admita una amplia gama de tipos de
dispositivos y que, a la vez, sea compatible con los principales
proveedores.
Las soluciones de gestión de logs deben proporcionar
la recopilación tanto de logs sin procesar como de logs
optimizados a través de análisis, desde cualquier fuente.
El control del cumplimiento justificará la inclusión de logs de
aplicación, tanto comerciales como propietarios. También
es fundamental que la solución de gestión de logs admita
aplicaciones internas/preexistentes no tradicionales.
ArcSight 3
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos
2. Rendimiento sin sacrificar ningún aspecto
Entre la creciente cantidad de casos de uso de gestión de logs
existe una tendencia en aumento hacia:
• La inclusión de una mayor cantidad de dispositivos y
logs, lo cual exige una recopilación de alto rendimiento
• Una retención más prolongada, lo que acrecienta la
necesidad de una mayor eficiencia de almacenamiento
• Más usuarios de datos de logs, lo cual sugiere la
necesidad de un análisis de logs más rápido y simple
La mayoría de las soluciones proporcionan la capacidad de
satisfacer uno de los aspectos anteriores, pero a costa de
sacrificar los demás o de adquirir hardware adicional. En una
situación ideal, usted desea obtener un rendimiento óptimo sin
sacrificar ningún aspecto. Una menor cantidad de dispositivos
significará un menor coste directo de hardware y también
reducirá el consumo de energía y fomentará iniciativas
ecológicas.
3. Portal de análisis personalizado
Las soluciones de gestión de logs deben brindar capacidades
de análisis completos dentro de un portal personalizado y
basado en la función. Cada usuario debe acceder a cuadros
de mando interactivos y personalizados que combinen el
contenido relevante en una única visualización funcional con
controles de acceso.
Una visión integral de los eventos corporativos proporciona
un punto inicial conciso para el análisis. También minimiza
la necesidad de una interpretación manual de los resultados
mediante la exportación a hojas de cálculo. Los auditores
ciertamente prefieren una visión cabal del cumplimiento en
lugar de tener que alternar entre cientos de informes.
Las capacidades de elaboración de informes deben incluir
una amplia flexibilidad en términos de formatos de plantillas
de informes, cuadrículas y gráficos, además de las opciones
de exportación. Para realizar el seguimiento de los resultados
interesantes dentro de los informes, el mismo portal de análisis
debe permitir las búsquedas estructuradas o desestructuradas
para realizar un análisis rápido de la causa raíz. Cuando los
informes o las búsquedas especiales revelan una actividad
irregular, la lógica debe poder convertirse fácilmente en una
alerta para detectar los incidentes similares en el futuro. Las
alertas no sólo deben evaluarse continuamente en función de
todos los flujos entrantes de logs, también deben admitir una
lógica flexible y opciones de notificación.
Todo el contenido debe unificarse en un formato común que
permita a los usuarios finales navegar fácilmente a través de
logs, independientemente de su experiencia con la sintaxis
de logs de una fuente específica. Esto también eliminará
la explosión de contenido y la necesidad de un análisis
específico del dispositivo o proveedor.
4. Integración bidireccional de SIEM
La gestión de logs generalmente representa un peldaño en
el camino hacia los casos de uso más específicos de los
logs, incluida la correlación de eventos en tiempo real y entre
distintos dispositivos para la detección de las amenazas
perimetrales e internas, además de las violaciones de las
políticas. Es fundamental que su infraestructura de gestión de
logs interactúe perfectamente con su inversión de SIEM, ya
que con frecuencia los usuarios son los mismos y ciertamente
los datos subyacentes (logs) también.
La integración debe ser bidireccional para permitir que la
solución de gestión de logs envíe el subconjunto de eventos
relevantes hacia la herramienta SIEM para un análisis más
profundo. A su vez, la herramienta SIEM debe ser capaz
de enviar nuevamente los eventos representativos de las
amenazas detectadas hacia el dispositivo de log para realizar
la búsqueda, elaboración de informes y creación de archivos.
Para implementar una cadena de custodia, la comunicación
entre la gestión de logs y la infraestructura SIM debe ser fiable
y segura. Finalmente, ambas inversiones deben impulsar una
infraestructura de recopilación común para evitar los gastos
indirectos de implementación y mantenimiento.
5. Almacenamiento eficaz y autogestionable
Una vez tomada la decisión de captar todos los logs de la
empresa, los datos deben almacenarse de manera eficaz y
eficiente. Las organizaciones que implementan infraestructuras
de logs desarrolladas internamente a menudo terminan
enfrentándose a conjuntos de servidores de logs distribuidos
que resultan muy difíciles de gestionar. Dados los requisitos
reglamentarios de la retención de datos, la infraestructura
de logs de una organización puede alcanzar rápidamente
la cifra de varios terabytes. Se debe exigir una solución que
pueda proporcionar un almacenamiento eficiente mediante la
compresión, sin perjudicar la capacidad de análisis rápido. Las
soluciones de gestión de logs también deben permitirle hacer
uso del almacenamiento externo SAN y todo almacenamiento
asociado debe incluir la protección RAID incorporada, además
de admitir la realización de copias de seguridad de los datos
de configuración y la creación de archivos comprimidos de los
datos de logs reales.
Finalmente, las políticas de retención deben aplicarse
automáticamente de acuerdo con el tipo de dispositivo y
la duración establecida por la normativa específica, con la
capacidad de prolongar la existencia de los logs en caso de
litigio pendiente.
6. Logs de calidad de auditoría
El uso de logs en auditorías de cumplimiento normativo
y litigios exige que las organizaciones sean capaces de
demostrar la integridad y disponibilidad de los datos de logs
en tránsito e inactivos. Incluso unos pocos eventos de logs
faltantes o comprometedores pueden ocasionar resultados
de auditorías inexactos o crear dudas sobre la validez de
los informes de auditoría. Para demostrarlo fácilmente, la
recopilación de calidad de auditoría debe producirse cerca
de las fuentes generadoras de eventos, lo que resalta la
importancia de la recopilación distribuida. La infraestructura
de recopilación de logs en ubicaciones remotas puede incluir
memoria cache para evitar la pérdida de datos cuado se pierde
la conectividad con el centro de proceso de datos. También
puede habilitar un conducto seguro y fiable para transmitir
los datos de logs hacia el depósito de logs centralizado. Esto
ArcSight 4
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos
protege a los datos que se desplazan a través de la red y
garantiza que no haya pérdidas ni alteraciones de los logs.
También se debe buscar la forma de conservar los logs en
su formato original. La capacidad de demostrar que los logs
captados no se han alterado ni modificado es otra de las
mejores prácticas clave para la calidad de auditoría. Los
controles de integridad responden a este requisito pero se
debe garantizar el uso de un algoritmo hash sólido sancionado
por la norma de gestión de logs NIST 800-92. Finalmente, las
medidas de alta disponibilidad tales como las funciones de
tolerancia a fallos de la red desde un centro de proceso de
datos a otro también puede minimizar la pérdida de los datos.
7. Facilidad de implementación y gestión
Para algunas empresas grandes, la flexibilidad de
formatos puede resultar valiosa, pero la mayor parte de las
organizaciones actuales buscan la implementación rápida y
desean minimizar los servicios adicionales. En este contexto,
los appliances presentan varias ventajas:
• Evitan las demoras y complicaciones asociadas a la
selección, prueba e implementación del hardware de
forma separada; lo cual es de particular importancia si
posee personal reducido en general o en ubicaciones
remotas tales como almacenes
• Gastos de mantenimiento reducidos: las actualizaciones
de hardware, software y SO se gestionan mediante el
mismo proveedor
• El almacenamiento incorporado generalmente se
encuentra incluido con los dispositivos, mientras
que las soluciones de software requieren un ciclo de
adquisición independiente y experiencia en la gestión
del almacenamiento.
Si existe una preferencia definida por una solución de
software, como mínimo se debe considerar el coste en
aumento de la adquisición, configuración y gestión de
almacenamiento de logs y hardware por separado.
En términos de gestión continua, la recopilación sin necesidad
de un agente es una ventaja importante. Existe una gran
cantidad de dispositivos, incluso en Windows, que no pueden
enviar sus logs a una ubicación central, por lo que muchas
soluciones requieren de agentes. Pero entonces, ¿quién se
encarga de la implementación y gestión de la recopilación
de agentes? Y lo que es más importante, ¿qué sucedería si
los hosts fundamentales ya no contaran con capacidad de
procesamiento para albergar agentes de recopilación de logs
a nivel local? En los casos donde resulte posible, la opción de
recopilación sin agente pero distribuida siempre será la más
sencilla.
Finalmente, los logs deben almacenarse en un formato
comprimido que no requiera de experiencia en administración
de bases de datos. El acceso basado en navegador para
los usuarios finales simplifica aún más la implementación al
eliminar la necesidad de instalación de clientes y permitirle
aumentar fácilmente el numero de usuarios.
8. Recopilación de eventos distribuida
Es fundamental contar con una arquitectura que permita
la captación de eventos distribuidos para garantizar la
recopilación completa de todos los logs sin pérdida de datos
en entornos distribuidos como bancos o tiendas minoristas.
La recopilación de logs des ubicaciones remotas (almacenes,
tiendas minoristas, sucursales, etc.) exige un ancho
de banda adicional, el cual generalmente se encuentra
limitado o saturado entre las ubicaciones remotas y los
centros de proceso de datos. Esta limitación supone varias
repercusiones. Primero, es importante garantizar que el tráfico
de transacciones críticas ocupe siempre un lugar prioritario
con respecto al resto del tráfico. Las soluciones de gestión
de logs deben proporcionar controles para limitar el uso del
ancho de banda para los logs. Las medidas adicionales de
optimización, tales como la compresión de los logs en tránsito,
también pueden mitigar el impacto de los enlaces saturados o
de ancho de banda limitado.
Un enfoque más sofisticado combinaría controles de ancho de
banda, compresión y ordenamiento en función de la prioridad
con técnicas eficaces de batch según la hora del día y la
gravedad del evento. Esto puede garantizar que mientras se
utiliza un ancho de banda limitado para la recopilación de
logs importantes y relacionados con la seguridad, los demás
logs pueden agruparse por batch en los centros de proceso
de datos para su almacenamiento y análisis fuera del horario
pico, mientras el almacén permanece cerrado o, en general,
cuando existe un mayor ancho de banda disponible.
¡Pero la mayoría de las organizaciones saben esto! En otras
palabras, reconocen la importancia de la recopilación de logs
distribuidos. El gran obstáculo siempre ha sido la ausencia de
una opción rentable para la recopilación de logs distribuidos.
Por esa razón, el requisito realmente no es la recopilación de
eventos distribuidos sino la recopilación de eventos “rentable”
o la viabilidad de tener un sistema distribuido de recopilación.
En términos sencillos, se trata de saber cuánto costará colocar
un dispositivo de recopilación en cada ubicación remota para
garantizar la calidad de auditoría.
9. Esalabilidad
Las empresas a menudo comienzan a buscar la solución de
gestión comercial de logs con un determinado objetivo en
mente, como el caso del cumplimiento de la ley PCI (more
relevant in EMEA that SOX). Con el tiempo, la cobertura se
amplía a otras normativas y usuarios de logs tales como los
departamentos de seguridad, operaciones y comunicaciones.
A medida que la cantidad de fuentes aumenta, también
crece la velocidad y el volumen de eventos en general. Esta
tendencia resalta la importancia de la escalabilidad en las
evaluaciones de soluciones de gestión de logs. La solución
de soluciones de gestión que todos desean es aquella que
cuenta con espacio suficiente para el crecimiento a corto
plazo, pero que a la vez puede ampliarse fácilmente a medida
que aumenta el alcance de la iniciativa de gestión de logs.
Esto no debería exigir una inversión inicial innecesaria para
el almacenamiento o la capacidad de velocidad de eventos
excedente. Con una solución de tamaño único para todos los
ArcSight 5
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos
casos, generalmente obtiene un sistema que, inicialmente, le
ofrece más de lo que necesita, pero que finalmente se ajusta a
la escala de sus necesidades a largo plazo.
Las soluciones de gestión de logs deben contar con la
capacidad de incorporar de manera sencilla más fuentes y
tipos de dispositivos. Asegúrese de que exista una gama de
opciones de funcionamiento de manera que pueda ampliar la
cobertura sin necesidad de hardware adicional. De manera
similar, el repositorio de logs centralizado debe ofrecerse en
una variedad de opciones de rendimiento (EPS) y capacidad
que le permitan ajustar el tamaño del almacenamiento y
funcionamiento de forma lineal. Independientemente del hecho
de que la implementación sea jerárquica o peer-to-peer, su
infraestructura de almacenamiento de logs siempre debe
proporcionar una visión global de de logs corporativos.
10. Contenido previamente empaquetado
Los informes operativos y de seguridad comunes deben
estar disponibles inmediatamente como parte del contenido
del sistema. Una solución que le exija el desarrollo de todo
el contenido es una plataforma más que una solución real.
Por otra parte, existe un coste definido asociado al desarrollo
del contenido, por lo cual también deberá incluir las demoras
asociadas si no cuenta con el contenido que necesita.
Las condiciones de cumplimiento normativo imponen
requisitos extensos de informes de auditorías y mientras que
algunas soluciones de gestión de logs proporcionan contenido
reglamentario empaquetado, muy pocas indican cómo se
asigna el contenido a las fuentes autorizadas. Asegúrese de
que el contenido empaquetado se encuentre disponible para
las iniciativas de auditoría automatizada. Los paquetes de
contenido complementario para normativas específicas deben
derivar de las mejores prácticas y de normas reconocidas,
como NIST 800-53 e ISO 17799.
Cuando realiza cambios o desarrolla un nuevo contenido
para su caso de uso, la capacidad de transferencia de dicho
contenido a los dispositivos de análisis de gestión de logs o a
instancias más generales también constituye un factor clave.
Seguramente no desea desarrollar nuevamente el contenido
en cada ubicación. La solución óptima sería desarrollar el
contenido una vez y aplicarlo a las demás ubicaciones de
manera sencilla; por ese motivo, la capacidad de transferencia
es un factor clave.
ArcSight Logger
Para responder a la necesidad creciente de recopilación,
almacenamiento y análisis de logs corporativos, ArcSight
Logger se ofrece en una variedad de dispositivos llave en
mano y apilables que admiten la recopilación de logs de alto
rendimiento desde cualquier fuente, en un repositorio de datos
de logs autogestionable y con un alto nivel de compresión,
pero al mismo tiempo muy accesible. Con un potente motor de
elaboración de informes y alertas, ArcSight Logger funciona
como un dispositivo autónomo para la gestión de logs y
además como un complemento de la cartera más amplia
de productos ArcSight. Los componentes de la solución de
gestión de logs de ArcSight incluyen:
• ArcSight Connectors: proporcionan una recopilación
integral de todos los logs dentro de su red con calidad
de auditoría
• ArcSight Logger: permite la recopilación rápida y el
almacenamiento eficiente, además de un análisis de
logs rápido y sencillo
• ArcSight Solutions: ofrece contenido previamente
empaquetado para casos de uso específico, tales como
el cumplimiento de PCI o la ley Sarbanes-Oxley
Los siguientes casos de éxito subrayan las capacidades
de la plataforma ArcSight a través de implementaciones y
testimonios de clientes reales.
Escenarios de la vida real: los logs
completan el panorama
Las empresas están aprovechando las capacidades de la
solución de gestión de logs de ArcSight, tanto dentro como
fuera de la organización de la seguridad corporativa. Las
siguientes secciones resaltarán algunos de los casos de uso
tradicional de los datos de logs y revelarán algunos escenarios
de uso nuevos que ArcSight hace posible.
Primer ejemplo: cumplimiento de PCI
Una cadena nacional de tiendas de ropa experimentó una
grave violación de su red que ocasionó el robo de información
de tarjetas de crédito de millones de clientes. Como
consecuencia, la empresa sufrió daños de reputación y la
pérdida de confianza de sus clientes, además de enfrentarse a
juicios y multas.
Como comerciante Tier 1 (clasificación de VISA), la
organización ya estaba sujeta a la norma PCI de DSS, pero
aún no había implementado una solución de gestión de logs
a nivel corporativo (lo cual se exige explícitamente en el
Requisito 10 de la norma PCI) ni los requisitos de supervisión
más generales establecidos por PCI.
En respuesta a este incumplimiento, la organización
emprendió la búsqueda de una solución de gestión de logs
para automatizar las auditorías de PCI con el fin de reducir
costes y proteger de manera activa la infraestructura y
la red de titulares de tarjetas de crédito, para contar con
una visibilidad en tiempo real y poder dar respuesta a las
amenazas. Sin embargo, con 1000 ubicaciones de venta
minorista conectadas a los centros de proceso de datos
regionales a través de enlaces de ancho de banda reducido,
la recopilación con calidad de auditoría desde las ubicaciones
remotas y el almacenamiento y análisis centralizado de logs
no podría llevarse a cabo, a pesar de ser fundamentales, sin
afectar los datos de transacciones que atraviesan los mismos
enlaces.
ArcSight 6
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos
Después de una evaluación exhaustiva, la cadena optó por
ArcSight en función de los siguientes criterios de éxito:
• Recopilación de eventos universal: ArcSight
proporciona la capacidad de extraer los logs de manera
flexible desde sistemas preexistentes o propietarios
ampliamente utilizados en las ubicaciones de venta
minorista.
• Recopilación de logs económica: ArcSight es el único
capaz de suministrar Appliances llave en mano y
económicas para la recopilación a nivel local en las
tiendas. Esta arquitectura le permite la recopilación
con calidad de auditoría al proporcionar un transporte
seguro y fiable, además de memorias cache para los
casos de caídas de la red. También responde a los
requisitos de garantía de las transacciones mediante
una combinación de controles del ancho de banda,
agrupamiento por batch, ordenamiento según la
prioridad y compresión.
• Análisis potente: ArcSight Logger proporciona un portal
potente y personalizado en función del rol, con cuadros
de mando interactivos, posibilidad de elaboración
de informes detallados, búsqueda específica rápida
y capacidades inteligentes de alerta. Sólo ArcSight
Logger puede ofrecer una velocidad de búsqueda que
se ubica en el rango de los 3.000.000 de eventos por
segundo, sin suponer una reducción de la velocidad de
recopilación ni de la eficiencia del almacenamiento.
• Contenido completo y listo para usar para PCI: el
contenido PCI previamente empaquetado le permitió
a esta organización dar inicio a sus iniciativas de
cumplimiento sin exigirle capacitaciones ni revisiones
extensas. Los informes, alertas y cuadros de mando,
además de las reglas de correlación para la detección
de amenazas PCI en tiempo real se planificaron de
acuerdo con los requisitos reales de auditoría de PCI.
• Gestión de logs y plataforma SIEM integrada: ArcSight
Logger se encuentra integrado de manera precisa a
la solución SIEM  líder del mercado (ArcSight ESM)
para lograr una interoperabilidad perfecta en todo
el repositorio de logs históricos y la solución de
supervisión de PCI en tiempo real.
Como resultado de la implementación de ArcSight, esta
cadena minorista nacional pudo automatizar la mayor parte de
los requisitos de elaboración de informes de auditorías de PCI,
lo cual le permitió obtener ahorros considerables en relación
con su iniciativa de gestión de logs local. Lo más significativo
es que la cadena ahora posee visibilidad en tiempo real de las
posibles amenazas, lo que le permite dar una respuesta rápida
y lograr la contención oportuna del riesgo.
Segundo ejemplo: investigación de pérdida de
propiedad intelectual
Un empleado clave de I+D ha sido contratado por la
competencia y por ello ha abandonado la empresa. Entre los
colegas del empleado desvinculado existía la preocupación de
que éste pudiera haber accedido a y extraído de la empresa
cierta información exclusiva y confidencial. La gerencia envió
una solicitud para obtener acceso a todos los sistemas y datos
a los que accedió el empleado desvinculado.
A primera vista, esto parecía consistir en la simple tarea
de revisar logs para determinar qué archivos descargó y a
qué servidores y aplicaciones accedió dicho empleado. Sin
embargo, pronto se hizo evidente que se debían analizar
todos los tipos de actividades de la red para determinar si el
empleado desvinculado modificó configuraciones, accedió
a información de propiedad intelectual, instaló archivos
ejecutables ocultos, accedió a la red por una puerta trasera o
realizó otra actividad ajena a su nivel normal de acceso.
En las investigaciones de este tipo, la solicitud generalmente
comenzaría como “muéstrame toda la actividad realizada
por el empleado desvinculado durante el último mes previo
a la desvinculación”. El nivel de análisis posterior exigiría la
revisión de la actividad del empleado durante un período más
prolongado en busca de tendencias de acceso no autorizado,
actividad de impresión más frecuente de lo usual durante
las horas de descanso y otras actividades irregulares. Estos
procesos pueden resultar complejos y demandar mucho
tiempo a las organizaciones con un amplio volumen de
logs de eventos generados a través de distintos centros de
proceso de datos y consolidados en numerosas ubicaciones
diferentes, lo cual generalmente es el caso de los sistemas
locales. Un empleado puede generar una alta actividad dentro
de un período breve y lo más probable es que dichos datos se
distribuyan en toda la red de TI y en diversos componentes del
sistema de la empresa.
Con ArcSight Logger, la empresa pudo recopilar de manera
eficiente, almacenar en una ubicación central y proporcionar
capacidades interactivas de elaboración de informes y
búsqueda en todos los logs. El análisis se extendió por
varios dispositivos de ArcSight Logger distribuidos en toda la
organización.
Esta solicitud en particular exigió una simple búsqueda de un
solo paso entre los posibles nombres de usuario e identidades
a las que el empleado pudo tener acceso. Los resultados se
presentaron como datos de calidad de auditoría y exportables
que posteriormente se analizaron en mayor profundidad.
Cuando TI debe remontarse a dos semanas o incluso dos
años atrás, ArcSight Logger obtiene los resultados en unos
pocos segundos.
Tercer ejemplo: supervisión y solución de
problemas de la infraestructura de TI
Una parte de la red que da servicio al departamento de
marketing, ventas y finanzas de una empresa con mucha
actividad se ha caído. Durante los últimos dos meses ha
habido problemas recurrentes con este segmento de red.
En ese momento se encontraban en uso diversas
herramientas de gestión de sistemas y de red, tales como
las herramientas de supervisión de la red, análisis de
rendimiento y análisis del tráfico. Si bien estas herramientas
proporcionaban alertas en tiempo real sobre los incidentes
particulares e información detallada sobre el tráfico en ese
momento específico, carecían de un contexto temporal,
lógico y global del sistema, lo que se denomina como datos
ArcSight 7
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos

de contexto. En este caso, el problema recurrente obligaba
al equipo encargado de la red a acceder manualmente a
numerosos equipos, dispositivos y sistemas para determinar
qué logs debían examinarse.
Con ArcSight Logger, el equipo de investigación pudo filtrar
rápidamente todos los datos de logs de toda la empresa para
buscar las claves. Mediante el uso de las funciones de análisis
jerarquizado de ArcSight Logger, el investigador segmentó
rápidamente los datos de logs de acuerdo con la hora y el
dispositivo.
A través de esta interfaz intuitiva de interacción con los
datos, el investigador pudo plantear rápidamente preguntas
del tipo “¿qué sucedería si buscamos este patrón?”. Todos
los parámetros de búsqueda se resaltaron para un filtrado
adicional. El equipo de TI comenzó la búsqueda sobre la
base de la dirección IP problemática, el nombre del host
de la aplicación a la que se accedía y la aplicación que se
encontraba en ejecución.
A través de la modificación dinámica de estos marcos
temporales para la búsqueda, descubrieron que los problemas
se producían durante el acceso masivo de la aplicación a
un conjunto de servidores determinados. Sin la flexibilidad
de análisis que ofrece la solución de ArcSight, el equipo de
TI hubiera tenido que invertir muchas horas para acceder
manualmente a los logs individuales y filtrar los datos,
mientras que en este intervalo el coste de la desconexión de la
red hubiera continuado en aumento.
En este ejemplo, ArcSight Logger brindó un componente
muy valioso para el proceso lógico de solución de problemas
que el equipo de TI debía abordar todos los días. ArcSight
Logger permitió al equipo de TI jerarquizar y navegar de
forma intuitiva a través de la información, de manera que el
análisis de la causa raíz resultara rápido y simple. Con esta
característica, ArcSight Logger mejoró el nivel de asistencia
de TI al simplificar notablemente el proceso de solución de
problemas del centro de asistencia técnica.

Acerca de ArcSight:
ArcSight (NASDAQ: ARST) es un proveedor líder a nivel mundial de soluciones de gestión de cumplimiento y seguridad que brinda protección a
empresas y organismos gubernamentales. ArcSight ayuda a sus clientes a cumplir con las políticas reglamentarias y corporativas, proteger sus
activos y procesos, y controlar los riesgos. La plataforma de ArcSight recopila y relaciona los datos sobre la actividad del usuario y los eventos
en todos los niveles corporativos, de manera que las empresas pueden identificar, priorizar y responder rápidamente a los incumplimientos de
la normativa, el incumplimiento de las políticas, los ataques a la seguridad cibernética y las amenazas internas. Para obtener más información,
visite www.arcsight.com.

Para obtener más información, comuníquese con ArcSight a través de

info@arcsight.com o llamando al +44 (0)870 351 6512
© 2009 ArcSight, Inc. Reservados todos los derechos. ArcSight y el logotipo de ArcSight son marcas comerciales de ArcSight, Inc. Todos los demás
productos y nombres de empresas pueden ser marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.

ArcSight 8