CIS Control 6: Mantenimiento, seguimiento y análisis de registros de auditoría

Recopile, administre y analice registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque.

Otro elemento de seguridad crítico son los registros de auditoría, porque a menudo proporcionan la única evidencia clara de ataques internos o sigilosos. Por esta razón, los equipos de seguridad deben asegurarse de activar las capacidades de registrar eventos que vienen con la mayoría de los sistemas operativos, servicios de red y tecnologías de firewall. Estos registros deben ser lo más completos posibles, precisos y almacenados de manera centralizada, para que puedan ser analizados para obtener información, auditorías, y, cuando sea necesario, respuesta a incidentes. El Control #6 define los requisitos para la gestión de los  registros de auditoría.

Recomendaciones

  • Incluya al menos dos fuentes de tiempo sincronizadas de las cuales todos los servidores y equipos de red recuperan información de tiempo de forma regular para que las marcas de tiempo en los registros sean consistentes
  • Valide la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él, asegurándose de que los registros incluyan una fecha, marca de tiempo, direcciones de origen, direcciones de destino y otros elementos de cada paquete y/o transacción. Asegúrese de que los sistemas registren los registros en un formato estandarizado y, si esto es imposible, implemente herramientas de normalización de registros.
  • Asegúrese de que todos los sistemas que almacenan registros tengan el espacio de almacenamiento adecuado. Archive y firme digitalmente los registros periódicamente.

Herramientas que pueden ayudar

  1. General

En general todos los Productos o Soluciones tienen herramientas que permiten generar auditorías de logs de sus propias plataformas e integrarlas a herramientas especializadas que permiten consolidar y correlacionar estos eventos. Algunas de estas, por la naturaleza de su funcionalidad pueden ser más globales que otras.

  1. Securonix

Basado en big data, Securonix Next-Gen SIEM combina la gestión de registros; análisis de comportamiento de usuario y entidad (UEBA); y orquestación de seguridad, automatización y respuesta en una plataforma completa de operaciones de seguridad de extremo a extremo. Recopila volúmenes masivos de datos en tiempo real, utiliza algoritmos patentados de aprendizaje automático para detectar amenazas avanzadas y proporciona capacidades de respuesta a incidentes de seguridad basadas en inteligencia artificial para una remediación rápida.