Los cinco errores de Network Manager en el análisis de registros

En el proceso de uso del registro, las personas a menudo se enfrentan a cinco malentendidos importantes. Superar estos malentendidos no solo puede mejorar en gran medida el valor de las instalaciones de seguridad, sino también resolver los riesgos potenciales de manera oportuna.

En respuesta a las amenazas de seguridad emergentes, muchas organizaciones han implementado múltiples dispositivos de seguridad. Estos dispositivos generan una gran cantidad de información de registro. Para aprovechar esta información, muchas empresas también han implementado programas de análisis y recopilación de registros. Aun así, muchos usuarios siguen creyendo que la función del dispositivo de seguridad no ha alcanzado el valor esperado. Esto sucede a menudo debido a los cinco malentendidos en el análisis del registro.

No ver registros

Muchos usuarios cometen un error de bajo nivel, no miren los registros. Si bien es importante recopilar y almacenar registros, solo es necesario revisarlos con frecuencia para comprender qué está sucediendo en el entorno de red para responder de manera oportuna. Una vez que se implementa el dispositivo de seguridad y se recopilan los registros, el usuario debe monitorearlo continuamente y descubrir los eventos de seguridad que pueden ocurrir.

Algunos usuarios solo revisan los registros después de eventos importantes, aunque estos usuarios pueden obtener los beneficios del análisis post mortem, pero no pueden obtener los beneficios de la prevención ex ante. La visualización proactiva de los registros ayuda a los usuarios a comprender mejor el valor de las instalaciones de seguridad, a comprender cuándo ocurrirán los ataques y a actuar de manera oportuna.

Muchos usuarios siempre se quejan de que el Sistema de detección de intrusiones (IDS) no funciona. Una razón importante para este problema es que los IDS a menudo generan falsos positivos que impiden que las personas tomen medidas basándose en sus mensajes de advertencia. Si las personas correlacionan completamente los registros de IDS con otros registros (como los registros de firewall), pueden aprovechar al máximo los IDS.

No distingue la prioridad del registro

El registro se ha recopilado, el tiempo de almacenamiento es suficientemente largo y el formato del registro también está unificado. ¿Dónde debería comenzar el administrador de la red? Se recomienda a los usuarios que intenten obtener un alto nivel de resumen para ver incidentes de seguridad recientes. Esto requiere superar otro error, es decir, no priorizar el registro. Algunos administradores de red estudian una gran cantidad de datos de registro sin priorizar las prioridades, y los resultados se abandonarán a la mitad.

El primer paso para una priorización efectiva es definir la estrategia. Responder a las siguientes preguntas ayudará a definir la estrategia: "¿Qué le preocupa más?" "¿El ataque es incómodo?" "¿Se ha realizado este ataque antes?" Ayuda a los usuarios a comenzar a priorizar políticas y reducir la carga de los usuarios para recopilar datos de registro todos los días. .

El formato de registro no es uniforme

El formato de registro no es uniforme es muy común: algunos se basan en protocolos de administración de red simples y otros se basan en sistemas Unix. La falta de un formato de registro unificado ha llevado a las compañías a requerir que diferentes expertos realicen un análisis de registro porque no todos los administradores que están familiarizados con el formato de registro de Unix pueden entender el registro de eventos de Windows y viceversa. Por lo general, la mayoría de los administradores de red solo están familiarizados con algunos sistemas. La conversión de la información de registro generada por el dispositivo en un formato unificado es beneficiosa para los administradores de red para realizar el análisis de correlación y la toma de decisiones.

El tiempo de almacenamiento del registro es demasiado corto

Muchos usuarios piensan que tienen todos los registros necesarios para el monitoreo y la investigación, pero solo después de encontrar eventos de seguridad, la información de registro correspondiente se ha eliminado. Los incidentes de seguridad generalmente se descubren mucho después de un ataque o abuso. Si el costo es ajustado, se recomienda que el usuario divida el registro retenido en dos partes: almacenamiento en línea a corto plazo y almacenamiento fuera de línea a largo plazo. El almacenamiento de información de registro anterior en cinta ahorra el costo del almacenamiento fuera de línea y se puede guardar para análisis futuros.

Encontrar solo información errónea conocida

Incluso los usuarios más avanzados y seguros a veces pueden meterse en las trampas de la red. Este tipo de trampa de red es muy siniestro y puede reducir seriamente el valor del análisis de registros. Esto puede suceder si el usuario solo observa información incorrecta conocida.

El interruptor es muy efectivo cuando se busca información incorrecta que se ha definido en el archivo de registro. Sin embargo, para obtener el valor completo de los datos de registro, se requiere una excavación profunda de los registros. Sin información incorrecta predeterminada, los usuarios pueden encontrar información útil en el archivo de registro, incluidos los sistemas atacados e infectados, nuevos ataques, abuso interno y robo de propiedad intelectual. ¿Cómo podemos aumentar las posibilidades de descubrir posibles ataques? Esto requiere métodos de extracción de datos, que permiten a los usuarios encontrar rápidamente información de excepción en los datos de registro.