Está en la página 1de 9

Manual informativo

ArcSight™ Logger
Poniendo en valor la información de los logs
corporativos

Investigación 002-103108-02

ArcSight, Inc. Oficina corporativa: 1-888-415-ARST


5 Results Way, Cupertino, CA 95014, EE. UU. Oficina central de Europa, Oriente Medio y África:
www.arcsight.com info@arcsight.com +44 870 351 6510
Oficina central del Pacífico asiático: 852 2166 8302
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos

Descripción general desde una óptica Usuarios de la información


ejecutiva proveniente de logs
Las organizaciones responsables de cumplimiento, análisis En toda la empresa existe una cantidad creciente de
forense, seguridad y operaciones de TI reconocen desde empleados que pueden beneficiarse de los datos de logs.
siempre el valor que los logs pueden proporcionar. Una
solución eficaz para la gestión de logs puede ayudar a las • Los grupos de auditoría y cumplimiento reconocen el
organizaciones de diversas maneras: valor de los logs para la supervisión del cumplimiemto
normativo y para la simplificación, automatización
• Contener el coste creciente de las auditorías y racionalización de las iniciativas de cumplimiento
reglamentarias a través de la automatización costosas. Los esfuerzos manuales y la infraestructura
• Reducir el gasto en herramientas de seguridad y de logs desarrollada internamente pueden brindar una
cumplimiento a través de la monitorización integral de solución de emergencia para las auditorías iniciales,
todos los usuarios y sistemas pero no logran proporcionar una reducción de costes
a largo plazo con vistas a cumplir con la extensa
• Disminuir los costes del centro de datos a través de normativa sobre retención de datos y requisitos estrictos
la consolidación de una infraestructura de logs local y con respecto a la elaboración de informes de auditorías.
segmentada Existe una clara necesidad de contar con una solución
• Mejorar la eficiencia de las investigaciones forenses de gestión de logs integral que pueda proporcionar una
mediante el análisis de logs de alto rendimiento recopilación eficiente y un almacenamiento de bajo
• Agilizar el tiempo de respuesta para la solución de coste y a largo plazo de los datos de logs con calidad
problemas y el cumplimiento de los acuerdos de nivel de auditoría, a partir de fuentes sujetas a normativa
de servicio que pueden variar desde equipos de conexión en red
y dispositivos de seguridad hasta bases de datos y
A pesar de estos beneficios tangibles, las organizaciones aplicaciones locales.
siguen teniendo problemas, incluso en aspectos básicos de • Los equipos de seguridad pueden apoyarse en el
la gestión de logs como la recopilación y el análisis. Este acceso rápido a los logs para la detección de una
manual informativo describe los rasgos generales de la gestión amenaza a la seguridad, el seguimiento de una
de logs, además de los desafíos subyacentes y el objetivo investigación y el desarrollo de los planes correctivos.
hacia un conjunto común de requisitos para la evaluación de Para facilitar estos beneficios, las soluciones de gestión
las herramientas de gestión de logs. Este manual también de logs deben admitir el análisis de datos de logs
proporciona una descripción general de la gestión de logs durante períodos prolongados, además de ser capaces
ArcSight y concluye con varios ejemplos que ilustran cómo de aislar eventos en función de atributos comunes como
las empresas pueden impulsar una solución de gestión de el tipo de fuente, el nombre de usuario, la dirección IP,
logs eficaz para automatizar el control de la seguridad y el etc.
cumplimiento normativo, llevar a cabo los análisis forenses de
manera más eficiente y mejorar los estándares operativos.
• Los equipos de operaciones de TI y asistencia
técnica responsables de las redes, la seguridad o
las aplicaciones trabajan de forma conjunta o incluso
combinada y, por lo tanto, pueden obtener un importante
beneficio a partir de la visión consolidada de la actividad

Directores de sistemas Cumplimiento


de información El almacenamiento de logs
Debemos mejorar el por imperativos legales y los
cumplimiento de nuestros requisitos de elaboración de
acuerdos de nivel de servicio informes son muy costosos

Análisis forense Director de seguridad


Invertimos incontables Necesito una mayor visibilidad
horas en el seguimiento de de las amenazas a la seguridad
incidencias

Figura 1: consumidores de datos de logs

ArcSight 1
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos

operativa en toda la empresa. Para cumplir con los Desafíos de la recopilación de logs
objetivos operativos relacionados con la disponibilidad La recopilación de logs representa un problema por diversas
y los acuerdos de nivel de servicio, se debe abordar la razones, pero el alcance de la recopilación es quizás el más
complejidad de la consolidación de la información de importante de todos. Principalmente como resultado del
logs de fuentes dispares y funcionalmente alineadas. cumplimiento normativo, las organizaciones deben recopilar
Una infraestructura de gestión de logs eficiente logs de numerosos dispositivos y clases de dispositivos, desde
y escalable resuelve este problema al permitir la dispositivos de seguridad/red hasta sistemas operativos,
recopilación de grandes volúmenes de logs desde todos bases de datos, aplicaciones y logs de navegación. El mero
los puntos de la red, con la flexibilidad adicional del mantenimiento de los crecientes volúmenes de logs puede
análisis simplificado y los datos de contexto para una representar un desafío.
mejor operación.
• Los ejecutivos (CIOs, CFOs y CEOs) pueden Muchos de estos dispositivos no pueden enviar por sí
beneficiarse de cuadros de mando e informes que mismos sus logs a una ubicación central; por lo tanto, las
proporcionen una visibilidad continua de los objetivos empresas a menudo desplegan agentes de recopilación de
corporativos, los indicadores operativos, el control de logs. Si esto ya no suena complicado, considere una red
la empresa y las iniciativas regulatorias. Los sumarios más amplia que involucra múltiples ubicaciones sin personal
ejecutivos, combinados con hechos sustanciales, de TI. ¿Quién se encarga del despliegue y la gestión de la
pueden proporcionar una evaluación rápida del progreso infraestructura de recopilación de logs? ¿Qué sucedería si los
y de la postura frente a estas metas. servidores fundamentales ya no contaran con capacidad de
procesamiento para albergar agentes de recopilación de logs
a nivel local?
Desafíos de la gestión de logs También existe el desafío de garantizar la calidad de la
Los logs no representan nada nuevo y la mayoría de los auditoría cuando los logs se recopilan; es decir, demostrar
dispositivos son capaces de generar logs por sí mismos. que los logs se recopilaron de manera segura y fiable. Para la
Entonces, ¿por qué la gestión de logs aún resulta tan recopilación de logs desde ubicaciones remotas (almacenes,
complicada para las empresas? El Instituto SANS realiza un sucursales bancarias) también es importante garantizar que
estudio anual sobre la gestión de logs y dicha investigación enlaces de comunicaciones de ancho de danda pequeño no
sobre los desafíos de esta gestión sugiere que la fase que se saturen con el tráfico de logs, ya que pueden bloquear el
aún representa el aspecto más complejo para las empresas tráfico de transacciones más importantes.
es la de recopilación y análisis de datos. De hecho, cerca de
la mitad de los encuestados señaló que éste todavía es el Desafíos del almacenamiento de logs
aspecto más difícil de la gestión de logs.
Después de la recopilación, el almacenamiento es otro de los
Aproximadamente otra cuarta parte de los encuestados indicó grandes desafíos que enfrentan muchas empresas. Es cada
que la seguridad del almacenamiento y el establecimiento vez más común que las organizaciones almacenen una mayor
de la cadena de custodia también representan problemas cantidad de logs y durante períodos más prolongados. Este
notables de la gestión de logs, y un tercio sugirió que el ciclo aumento puede atribuirse a los requisitos de retención de
completo de recopilación, almacenamiento y análisis resultaba datos que establece el gran número de reglamentaciones a
problemático para ellos. las que las organizaciones están sujetas en la actualidad. Por
ejemplo:
• La Guía del NIST (Instituto Nacional de Normas y
60 Tecnología) para la HIPAA recomienda que los logs se
mantengan durante un mínimo de seis o siete años,
51
según el tipo de dato.
50
44 42 • De manera similar, la sección 103 de la Ley Sarbanes-
Oxley establece que las empresas deben almacenar
40
todos los documentos de las auditorías y demás
30 información relacionada con los informes de auditoría,
Elaboración de informes

30
Recopilación de datos

24 con detalles suficientes como para respaldar las


Búsqueda de datos

conclusiones de dichos informes, durante un período de


Vida útil completa
Almacenamiento

20 18 siete años. Debido a que es común utilizar los datos de


15
logs para responder a los requisitos de elaboración de
de custodia

compartidos

informes, muchas empresas interpretan el requisito de


Datos de
Cadena

10
seguro

retención de esta ley como si fuera aplicable a los datos


logs

de logs correspondientes.
0
• La sección 10.7 de la norma de seguridad de datos PCI
Figura 2: ¿Por qué la gestión de logs aún resulta tan exige expresamente a las entidades gubernamentales
complicada para las empresas? “conservar el historial de las auditorías durante un año
Encuesta anual de SANS sobre gestión de logs. Junio de como mínimo, con una disponibilidad en línea de al
2008. menos tres meses”.

ArcSight 2
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos

La Tabla 1 resume los requisitos de retención de datos de las una de las tareas inmediatas es determinar el alcance del
reglamentaciones más comunes. impacto, lo cual exige un acceso interactivo rápido y sencillo
a los logs para determinar un rastro probatorio. De manera
similar, en las operaciones de TI, cuando los sistemas o las
Normativa Requisito de aplicaciones críticas que posibilitan las transacciones se caen,
retención* cada segundo puede medirse en beneficios perdidos y la
velocidad de identificación y solución del problema se vuelve
SOX 7 años esencial.
Uno de los desafíos adicionales es el del cumplimiento
PCI 1 año normativo; las organizaciones necesitan experiencia para
desarrollar contenido autorizado bajo la forma de informes,
GLBA 6 años alertas, etc. A menudo dicha experiencia no existe a nivel
interno y a la vez resulta costoso contratar dicho servicio.
Directiva Retención de datos 2 años
de la UE
Elección de la solución de gestión de
Basilea II 7 años logs correcta
Una solución adecuada debe ser capaz de abordar los
HIPAA 6 ó 7 años desafíos descritos en la sección anterior con respecto a la
recopilación, al almacenamiento y al análisis. Sin embargo,
también debe poder aplicarse de manera sencilla en términos
NERC 3 años
de implementación y gestión continua. La solución adecuada
también debe ser escalable desde un entorno pequeño
FISMA 3 años hasta la totalidad de la empresa o simplemente ofrecer el
tamaño correcto. La elección de una solución incorrecta
Tabla 1: requisitos de retención de datos para distintas puede transformar rápidamente la gestión de logs en un
normativas. caos, especialmente a medida que las reglamentaciones
*Los valores son requisitos normativos o interpretaciones continúen en aumento y las amenazas a la seguridad se sigan
de requisitos normativos por parte de ArcSight. multiplicando. Por ello, las mejores prácticas de evaluación
son una valiosa herramienta. La siguiente lista de los diez
Cuando los logs se dejan en los dispositivos que los criterios de evaluación más importantes se compiló a partir
generaron, es muy difícil cumplir con las políticas de retención de las experiencias de los clientes y puede ayudar a las
y todo tipo de rotación de logs se convierte en un proceso organizaciones a escoger la solución que se adecue de
manual, tedioso y sujeto a errores. manera precisa a su caso de uso específico.
Finalmente, la aplicación de los controles de acceso o el
establecimiento de la integridad de los logs almacenados 1. Recopilación universal
resulta una tarea mucho más compleja cuando los logs se
encuentran dispersos en distintos dispositivos de la red, en La empresa media actual admite una diversidad de
lugar de estar consolidados en una única ubicación. dispositivos que abarcan desde cortafuegos y sistemas IDS/
IPS hasta enrutadores, bases de datos, sistemas operativos y
aplicaciones. La gestión eficaz de los logs, especialmente para
Desafíos del análisis de logs
el cumplimiento normativo, requiere la recopilación de logs de
El análisis representa el tercer desafío importante,
especialmente con las soluciones desarrolladas internamente. eventos de una gran variedad de fuentes ubicadas en redes
El hecho es que los distintos tipos de dispositivos disponibles distribuidas. Esto convierte el soporte nativo de dispositivos
(cortafuegos, enrutadores, conmutadores y una gran cantidad en un requisito fundamental de la gestión de logs. Asegúrese
de aplicaciones y bases de datos diversas) generan logs de de que la solución admita una amplia gama de tipos de
formatos diferentes y a menudo cifrados que no son fáciles dispositivos y que, a la vez, sea compatible con los principales
de analizar. Las soluciones locales no proporcionan un proveedores.
mecanismo sencillo para buscar y elaborar informes sobre
esta información, y debido a la presencia de una comunidad Las soluciones de gestión de logs deben proporcionar
creciente de usuarios no técnicos de datos de logs existe una la recopilación tanto de logs sin procesar como de logs
necesidad clara de encontrar una manera simple de analizar optimizados a través de análisis, desde cualquier fuente.
los logs. El control del cumplimiento justificará la inclusión de logs de
aplicación, tanto comerciales como propietarios. También
La búsqueda y elaboración de informes de “alto rendimiento” es fundamental que la solución de gestión de logs admita
es una porción valiosa y visible de la experiencia del usuario aplicaciones internas/preexistentes no tradicionales.
final en todos los casos de uso de la gestión de logs. Por
ejemplo, si una solución SIEM detecta una amenaza interna,

ArcSight 3
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos

2. Rendimiento sin sacrificar ningún aspecto perimetrales e internas, además de las violaciones de las
Entre la creciente cantidad de casos de uso de gestión de logs políticas. Es fundamental que su infraestructura de gestión de
existe una tendencia en aumento hacia: logs interactúe perfectamente con su inversión de SIEM, ya
que con frecuencia los usuarios son los mismos y ciertamente
• La inclusión de una mayor cantidad de dispositivos y los datos subyacentes (logs) también.
logs, lo cual exige una recopilación de alto rendimiento
La integración debe ser bidireccional para permitir que la
• Una retención más prolongada, lo que acrecienta la solución de gestión de logs envíe el subconjunto de eventos
necesidad de una mayor eficiencia de almacenamiento relevantes hacia la herramienta SIEM para un análisis más
• Más usuarios de datos de logs, lo cual sugiere la profundo. A su vez, la herramienta SIEM debe ser capaz
necesidad de un análisis de logs más rápido y simple de enviar nuevamente los eventos representativos de las
La mayoría de las soluciones proporcionan la capacidad de amenazas detectadas hacia el dispositivo de log para realizar
satisfacer uno de los aspectos anteriores, pero a costa de la búsqueda, elaboración de informes y creación de archivos.
sacrificar los demás o de adquirir hardware adicional. En una Para implementar una cadena de custodia, la comunicación
situación ideal, usted desea obtener un rendimiento óptimo sin entre la gestión de logs y la infraestructura SIM debe ser fiable
sacrificar ningún aspecto. Una menor cantidad de dispositivos y segura. Finalmente, ambas inversiones deben impulsar una
significará un menor coste directo de hardware y también infraestructura de recopilación común para evitar los gastos
reducirá el consumo de energía y fomentará iniciativas indirectos de implementación y mantenimiento.
ecológicas.
5. Almacenamiento eficaz y autogestionable
3. Portal de análisis personalizado Una vez tomada la decisión de captar todos los logs de la
Las soluciones de gestión de logs deben brindar capacidades empresa, los datos deben almacenarse de manera eficaz y
de análisis completos dentro de un portal personalizado y eficiente. Las organizaciones que implementan infraestructuras
basado en la función. Cada usuario debe acceder a cuadros de logs desarrolladas internamente a menudo terminan
de mando interactivos y personalizados que combinen el enfrentándose a conjuntos de servidores de logs distribuidos
contenido relevante en una única visualización funcional con que resultan muy difíciles de gestionar. Dados los requisitos
controles de acceso. reglamentarios de la retención de datos, la infraestructura
de logs de una organización puede alcanzar rápidamente
Una visión integral de los eventos corporativos proporciona la cifra de varios terabytes. Se debe exigir una solución que
un punto inicial conciso para el análisis. También minimiza pueda proporcionar un almacenamiento eficiente mediante la
la necesidad de una interpretación manual de los resultados compresión, sin perjudicar la capacidad de análisis rápido. Las
mediante la exportación a hojas de cálculo. Los auditores soluciones de gestión de logs también deben permitirle hacer
ciertamente prefieren una visión cabal del cumplimiento en uso del almacenamiento externo SAN y todo almacenamiento
lugar de tener que alternar entre cientos de informes. asociado debe incluir la protección RAID incorporada, además
de admitir la realización de copias de seguridad de los datos
Las capacidades de elaboración de informes deben incluir de configuración y la creación de archivos comprimidos de los
una amplia flexibilidad en términos de formatos de plantillas datos de logs reales.
de informes, cuadrículas y gráficos, además de las opciones
de exportación. Para realizar el seguimiento de los resultados Finalmente, las políticas de retención deben aplicarse
interesantes dentro de los informes, el mismo portal de análisis automáticamente de acuerdo con el tipo de dispositivo y
debe permitir las búsquedas estructuradas o desestructuradas la duración establecida por la normativa específica, con la
para realizar un análisis rápido de la causa raíz. Cuando los capacidad de prolongar la existencia de los logs en caso de
informes o las búsquedas especiales revelan una actividad litigio pendiente.
irregular, la lógica debe poder convertirse fácilmente en una
alerta para detectar los incidentes similares en el futuro. Las
alertas no sólo deben evaluarse continuamente en función de
6. Logs de calidad de auditoría
todos los flujos entrantes de logs, también deben admitir una El uso de logs en auditorías de cumplimiento normativo
lógica flexible y opciones de notificación. y litigios exige que las organizaciones sean capaces de
demostrar la integridad y disponibilidad de los datos de logs
Todo el contenido debe unificarse en un formato común que en tránsito e inactivos. Incluso unos pocos eventos de logs
permita a los usuarios finales navegar fácilmente a través de faltantes o comprometedores pueden ocasionar resultados
logs, independientemente de su experiencia con la sintaxis de auditorías inexactos o crear dudas sobre la validez de
de logs de una fuente específica. Esto también eliminará los informes de auditoría. Para demostrarlo fácilmente, la
la explosión de contenido y la necesidad de un análisis recopilación de calidad de auditoría debe producirse cerca
específico del dispositivo o proveedor. de las fuentes generadoras de eventos, lo que resalta la
importancia de la recopilación distribuida. La infraestructura
de recopilación de logs en ubicaciones remotas puede incluir
4. Integración bidireccional de SIEM memoria cache para evitar la pérdida de datos cuado se pierde
La gestión de logs generalmente representa un peldaño en la conectividad con el centro de proceso de datos. También
el camino hacia los casos de uso más específicos de los puede habilitar un conducto seguro y fiable para transmitir
logs, incluida la correlación de eventos en tiempo real y entre los datos de logs hacia el depósito de logs centralizado. Esto
distintos dispositivos para la detección de las amenazas

ArcSight 4
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos

protege a los datos que se desplazan a través de la red y 8. Recopilación de eventos distribuida
garantiza que no haya pérdidas ni alteraciones de los logs. Es fundamental contar con una arquitectura que permita
También se debe buscar la forma de conservar los logs en la captación de eventos distribuidos para garantizar la
su formato original. La capacidad de demostrar que los logs recopilación completa de todos los logs sin pérdida de datos
captados no se han alterado ni modificado es otra de las en entornos distribuidos como bancos o tiendas minoristas.
mejores prácticas clave para la calidad de auditoría. Los La recopilación de logs des ubicaciones remotas (almacenes,
controles de integridad responden a este requisito pero se tiendas minoristas, sucursales, etc.) exige un ancho
debe garantizar el uso de un algoritmo hash sólido sancionado de banda adicional, el cual generalmente se encuentra
por la norma de gestión de logs NIST 800-92. Finalmente, las limitado o saturado entre las ubicaciones remotas y los
medidas de alta disponibilidad tales como las funciones de centros de proceso de datos. Esta limitación supone varias
tolerancia a fallos de la red desde un centro de proceso de repercusiones. Primero, es importante garantizar que el tráfico
datos a otro también puede minimizar la pérdida de los datos. de transacciones críticas ocupe siempre un lugar prioritario
con respecto al resto del tráfico. Las soluciones de gestión
7. Facilidad de implementación y gestión de logs deben proporcionar controles para limitar el uso del
Para algunas empresas grandes, la flexibilidad de ancho de banda para los logs. Las medidas adicionales de
formatos puede resultar valiosa, pero la mayor parte de las optimización, tales como la compresión de los logs en tránsito,
organizaciones actuales buscan la implementación rápida y también pueden mitigar el impacto de los enlaces saturados o
desean minimizar los servicios adicionales. En este contexto, de ancho de banda limitado.
los appliances presentan varias ventajas: Un enfoque más sofisticado combinaría controles de ancho de
• Evitan las demoras y complicaciones asociadas a la banda, compresión y ordenamiento en función de la prioridad
selección, prueba e implementación del hardware de con técnicas eficaces de batch según la hora del día y la
forma separada; lo cual es de particular importancia si gravedad del evento. Esto puede garantizar que mientras se
posee personal reducido en general o en ubicaciones utiliza un ancho de banda limitado para la recopilación de
remotas tales como almacenes logs importantes y relacionados con la seguridad, los demás
logs pueden agruparse por batch en los centros de proceso
• Gastos de mantenimiento reducidos: las actualizaciones de datos para su almacenamiento y análisis fuera del horario
de hardware, software y SO se gestionan mediante el pico, mientras el almacén permanece cerrado o, en general,
mismo proveedor cuando existe un mayor ancho de banda disponible.
• El almacenamiento incorporado generalmente se
encuentra incluido con los dispositivos, mientras ¡Pero la mayoría de las organizaciones saben esto! En otras
que las soluciones de software requieren un ciclo de palabras, reconocen la importancia de la recopilación de logs
adquisición independiente y experiencia en la gestión distribuidos. El gran obstáculo siempre ha sido la ausencia de
del almacenamiento. una opción rentable para la recopilación de logs distribuidos.
Por esa razón, el requisito realmente no es la recopilación de
Si existe una preferencia definida por una solución de eventos distribuidos sino la recopilación de eventos “rentable”
software, como mínimo se debe considerar el coste en o la viabilidad de tener un sistema distribuido de recopilación.
aumento de la adquisición, configuración y gestión de En términos sencillos, se trata de saber cuánto costará colocar
almacenamiento de logs y hardware por separado. un dispositivo de recopilación en cada ubicación remota para
garantizar la calidad de auditoría.
En términos de gestión continua, la recopilación sin necesidad
de un agente es una ventaja importante. Existe una gran
cantidad de dispositivos, incluso en Windows, que no pueden
9. Esalabilidad
enviar sus logs a una ubicación central, por lo que muchas Las empresas a menudo comienzan a buscar la solución de
soluciones requieren de agentes. Pero entonces, ¿quién se gestión comercial de logs con un determinado objetivo en
encarga de la implementación y gestión de la recopilación mente, como el caso del cumplimiento de la ley PCI (more
de agentes? Y lo que es más importante, ¿qué sucedería si relevant in EMEA that SOX). Con el tiempo, la cobertura se
los hosts fundamentales ya no contaran con capacidad de amplía a otras normativas y usuarios de logs tales como los
procesamiento para albergar agentes de recopilación de logs departamentos de seguridad, operaciones y comunicaciones.
a nivel local? En los casos donde resulte posible, la opción de A medida que la cantidad de fuentes aumenta, también
recopilación sin agente pero distribuida siempre será la más crece la velocidad y el volumen de eventos en general. Esta
sencilla. tendencia resalta la importancia de la escalabilidad en las
evaluaciones de soluciones de gestión de logs. La solución
Finalmente, los logs deben almacenarse en un formato de soluciones de gestión que todos desean es aquella que
comprimido que no requiera de experiencia en administración cuenta con espacio suficiente para el crecimiento a corto
de bases de datos. El acceso basado en navegador para plazo, pero que a la vez puede ampliarse fácilmente a medida
los usuarios finales simplifica aún más la implementación al que aumenta el alcance de la iniciativa de gestión de logs.
eliminar la necesidad de instalación de clientes y permitirle Esto no debería exigir una inversión inicial innecesaria para
aumentar fácilmente el numero de usuarios. el almacenamiento o la capacidad de velocidad de eventos
excedente. Con una solución de tamaño único para todos los

ArcSight 5
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos

casos, generalmente obtiene un sistema que, inicialmente, le de productos ArcSight. Los componentes de la solución de
ofrece más de lo que necesita, pero que finalmente se ajusta a gestión de logs de ArcSight incluyen:
la escala de sus necesidades a largo plazo.
• ArcSight Connectors: proporcionan una recopilación
Las soluciones de gestión de logs deben contar con la integral de todos los logs dentro de su red con calidad
capacidad de incorporar de manera sencilla más fuentes y de auditoría
tipos de dispositivos. Asegúrese de que exista una gama de • ArcSight Logger: permite la recopilación rápida y el
opciones de funcionamiento de manera que pueda ampliar la almacenamiento eficiente, además de un análisis de
cobertura sin necesidad de hardware adicional. De manera logs rápido y sencillo
similar, el repositorio de logs centralizado debe ofrecerse en
una variedad de opciones de rendimiento (EPS) y capacidad • ArcSight Solutions: ofrece contenido previamente
que le permitan ajustar el tamaño del almacenamiento y empaquetado para casos de uso específico, tales como
funcionamiento de forma lineal. Independientemente del hecho el cumplimiento de PCI o la ley Sarbanes-Oxley
de que la implementación sea jerárquica o peer-to-peer, su
infraestructura de almacenamiento de logs siempre debe Los siguientes casos de éxito subrayan las capacidades
proporcionar una visión global de de logs corporativos. de la plataforma ArcSight a través de implementaciones y
testimonios de clientes reales.
10. Contenido previamente empaquetado
Los informes operativos y de seguridad comunes deben
estar disponibles inmediatamente como parte del contenido
del sistema. Una solución que le exija el desarrollo de todo Escenarios de la vida real: los logs
el contenido es una plataforma más que una solución real.
Por otra parte, existe un coste definido asociado al desarrollo completan el panorama
del contenido, por lo cual también deberá incluir las demoras Las empresas están aprovechando las capacidades de la
asociadas si no cuenta con el contenido que necesita. solución de gestión de logs de ArcSight, tanto dentro como
Las condiciones de cumplimiento normativo imponen fuera de la organización de la seguridad corporativa. Las
requisitos extensos de informes de auditorías y mientras que siguientes secciones resaltarán algunos de los casos de uso
algunas soluciones de gestión de logs proporcionan contenido tradicional de los datos de logs y revelarán algunos escenarios
reglamentario empaquetado, muy pocas indican cómo se de uso nuevos que ArcSight hace posible.
asigna el contenido a las fuentes autorizadas. Asegúrese de
que el contenido empaquetado se encuentre disponible para Primer ejemplo: cumplimiento de PCI
las iniciativas de auditoría automatizada. Los paquetes de Una cadena nacional de tiendas de ropa experimentó una
contenido complementario para normativas específicas deben grave violación de su red que ocasionó el robo de información
derivar de las mejores prácticas y de normas reconocidas, de tarjetas de crédito de millones de clientes. Como
como NIST 800-53 e ISO 17799. consecuencia, la empresa sufrió daños de reputación y la
Cuando realiza cambios o desarrolla un nuevo contenido pérdida de confianza de sus clientes, además de enfrentarse a
para su caso de uso, la capacidad de transferencia de dicho juicios y multas.
contenido a los dispositivos de análisis de gestión de logs o a Como comerciante Tier 1 (clasificación de VISA), la
instancias más generales también constituye un factor clave. organización ya estaba sujeta a la norma PCI de DSS, pero
Seguramente no desea desarrollar nuevamente el contenido aún no había implementado una solución de gestión de logs
en cada ubicación. La solución óptima sería desarrollar el a nivel corporativo (lo cual se exige explícitamente en el
contenido una vez y aplicarlo a las demás ubicaciones de Requisito 10 de la norma PCI) ni los requisitos de supervisión
manera sencilla; por ese motivo, la capacidad de transferencia más generales establecidos por PCI.
es un factor clave.
En respuesta a este incumplimiento, la organización
emprendió la búsqueda de una solución de gestión de logs
ArcSight Logger para automatizar las auditorías de PCI con el fin de reducir
costes y proteger de manera activa la infraestructura y
Para responder a la necesidad creciente de recopilación, la red de titulares de tarjetas de crédito, para contar con
almacenamiento y análisis de logs corporativos, ArcSight una visibilidad en tiempo real y poder dar respuesta a las
Logger se ofrece en una variedad de dispositivos llave en amenazas. Sin embargo, con 1000 ubicaciones de venta
mano y apilables que admiten la recopilación de logs de alto minorista conectadas a los centros de proceso de datos
rendimiento desde cualquier fuente, en un repositorio de datos regionales a través de enlaces de ancho de banda reducido,
de logs autogestionable y con un alto nivel de compresión, la recopilación con calidad de auditoría desde las ubicaciones
pero al mismo tiempo muy accesible. Con un potente motor de remotas y el almacenamiento y análisis centralizado de logs
elaboración de informes y alertas, ArcSight Logger funciona no podría llevarse a cabo, a pesar de ser fundamentales, sin
como un dispositivo autónomo para la gestión de logs y afectar los datos de transacciones que atraviesan los mismos
además como un complemento de la cartera más amplia enlaces.

ArcSight 6
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos

Después de una evaluación exhaustiva, la cadena optó por una solicitud para obtener acceso a todos los sistemas y datos
ArcSight en función de los siguientes criterios de éxito: a los que accedió el empleado desvinculado.
• Recopilación de eventos universal: ArcSight A primera vista, esto parecía consistir en la simple tarea
proporciona la capacidad de extraer los logs de manera de revisar logs para determinar qué archivos descargó y a
flexible desde sistemas preexistentes o propietarios qué servidores y aplicaciones accedió dicho empleado. Sin
ampliamente utilizados en las ubicaciones de venta embargo, pronto se hizo evidente que se debían analizar
minorista. todos los tipos de actividades de la red para determinar si el
• Recopilación de logs económica: ArcSight es el único empleado desvinculado modificó configuraciones, accedió
capaz de suministrar Appliances llave en mano y a información de propiedad intelectual, instaló archivos
económicas para la recopilación a nivel local en las ejecutables ocultos, accedió a la red por una puerta trasera o
tiendas. Esta arquitectura le permite la recopilación realizó otra actividad ajena a su nivel normal de acceso.
con calidad de auditoría al proporcionar un transporte En las investigaciones de este tipo, la solicitud generalmente
seguro y fiable, además de memorias cache para los comenzaría como “muéstrame toda la actividad realizada
casos de caídas de la red. También responde a los por el empleado desvinculado durante el último mes previo
requisitos de garantía de las transacciones mediante a la desvinculación”. El nivel de análisis posterior exigiría la
una combinación de controles del ancho de banda, revisión de la actividad del empleado durante un período más
agrupamiento por batch, ordenamiento según la prolongado en busca de tendencias de acceso no autorizado,
prioridad y compresión. actividad de impresión más frecuente de lo usual durante
• Análisis potente: ArcSight Logger proporciona un portal las horas de descanso y otras actividades irregulares. Estos
potente y personalizado en función del rol, con cuadros procesos pueden resultar complejos y demandar mucho
de mando interactivos, posibilidad de elaboración tiempo a las organizaciones con un amplio volumen de
de informes detallados, búsqueda específica rápida logs de eventos generados a través de distintos centros de
y capacidades inteligentes de alerta. Sólo ArcSight proceso de datos y consolidados en numerosas ubicaciones
Logger puede ofrecer una velocidad de búsqueda que diferentes, lo cual generalmente es el caso de los sistemas
se ubica en el rango de los 3.000.000 de eventos por locales. Un empleado puede generar una alta actividad dentro
segundo, sin suponer una reducción de la velocidad de de un período breve y lo más probable es que dichos datos se
recopilación ni de la eficiencia del almacenamiento. distribuyan en toda la red de TI y en diversos componentes del
• Contenido completo y listo para usar para PCI: el sistema de la empresa.
contenido PCI previamente empaquetado le permitió Con ArcSight Logger, la empresa pudo recopilar de manera
a esta organización dar inicio a sus iniciativas de eficiente, almacenar en una ubicación central y proporcionar
cumplimiento sin exigirle capacitaciones ni revisiones capacidades interactivas de elaboración de informes y
extensas. Los informes, alertas y cuadros de mando, búsqueda en todos los logs. El análisis se extendió por
además de las reglas de correlación para la detección varios dispositivos de ArcSight Logger distribuidos en toda la
de amenazas PCI en tiempo real se planificaron de organización.
acuerdo con los requisitos reales de auditoría de PCI.
• Gestión de logs y plataforma SIEM integrada: ArcSight Esta solicitud en particular exigió una simple búsqueda de un
Logger se encuentra integrado de manera precisa a solo paso entre los posibles nombres de usuario e identidades
la solución SIEM  líder del mercado (ArcSight ESM) a las que el empleado pudo tener acceso. Los resultados se
para lograr una interoperabilidad perfecta en todo presentaron como datos de calidad de auditoría y exportables
el repositorio de logs históricos y la solución de que posteriormente se analizaron en mayor profundidad.
supervisión de PCI en tiempo real. Cuando TI debe remontarse a dos semanas o incluso dos
años atrás, ArcSight Logger obtiene los resultados en unos
pocos segundos.
Como resultado de la implementación de ArcSight, esta
cadena minorista nacional pudo automatizar la mayor parte de
los requisitos de elaboración de informes de auditorías de PCI, Tercer ejemplo: supervisión y solución de
lo cual le permitió obtener ahorros considerables en relación problemas de la infraestructura de TI
con su iniciativa de gestión de logs local. Lo más significativo Una parte de la red que da servicio al departamento de
es que la cadena ahora posee visibilidad en tiempo real de las marketing, ventas y finanzas de una empresa con mucha
posibles amenazas, lo que le permite dar una respuesta rápida actividad se ha caído. Durante los últimos dos meses ha
y lograr la contención oportuna del riesgo. habido problemas recurrentes con este segmento de red.
En ese momento se encontraban en uso diversas
Segundo ejemplo: investigación de pérdida de herramientas de gestión de sistemas y de red, tales como
propiedad intelectual las herramientas de supervisión de la red, análisis de
Un empleado clave de I+D ha sido contratado por la rendimiento y análisis del tráfico. Si bien estas herramientas
competencia y por ello ha abandonado la empresa. Entre los proporcionaban alertas en tiempo real sobre los incidentes
colegas del empleado desvinculado existía la preocupación de particulares e información detallada sobre el tráfico en ese
que éste pudiera haber accedido a y extraído de la empresa momento específico, carecían de un contexto temporal,
cierta información exclusiva y confidencial. La gerencia envió lógico y global del sistema, lo que se denomina como datos

ArcSight 7
Manual informativo: ArcSight Logger - Poniendo en valor la información de los logs corporativos

de contexto. En este caso, el problema recurrente obligaba A través de la modificación dinámica de estos marcos
al equipo encargado de la red a acceder manualmente a temporales para la búsqueda, descubrieron que los problemas
numerosos equipos, dispositivos y sistemas para determinar se producían durante el acceso masivo de la aplicación a
qué logs debían examinarse. un conjunto de servidores determinados. Sin la flexibilidad
de análisis que ofrece la solución de ArcSight, el equipo de
Con ArcSight Logger, el equipo de investigación pudo filtrar TI hubiera tenido que invertir muchas horas para acceder
rápidamente todos los datos de logs de toda la empresa para manualmente a los logs individuales y filtrar los datos,
buscar las claves. Mediante el uso de las funciones de análisis mientras que en este intervalo el coste de la desconexión de la
jerarquizado de ArcSight Logger, el investigador segmentó red hubiera continuado en aumento.
rápidamente los datos de logs de acuerdo con la hora y el
dispositivo. En este ejemplo, ArcSight Logger brindó un componente
muy valioso para el proceso lógico de solución de problemas
A través de esta interfaz intuitiva de interacción con los que el equipo de TI debía abordar todos los días. ArcSight
datos, el investigador pudo plantear rápidamente preguntas Logger permitió al equipo de TI jerarquizar y navegar de
del tipo “¿qué sucedería si buscamos este patrón?”. Todos forma intuitiva a través de la información, de manera que el
los parámetros de búsqueda se resaltaron para un filtrado análisis de la causa raíz resultara rápido y simple. Con esta
adicional. El equipo de TI comenzó la búsqueda sobre la característica, ArcSight Logger mejoró el nivel de asistencia
base de la dirección IP problemática, el nombre del host de TI al simplificar notablemente el proceso de solución de
de la aplicación a la que se accedía y la aplicación que se problemas del centro de asistencia técnica.
encontraba en ejecución.

Acerca de ArcSight:
ArcSight (NASDAQ: ARST) es un proveedor líder a nivel mundial de soluciones de gestión de cumplimiento y seguridad que brinda protección a
empresas y organismos gubernamentales. ArcSight ayuda a sus clientes a cumplir con las políticas reglamentarias y corporativas, proteger sus
activos y procesos, y controlar los riesgos. La plataforma de ArcSight recopila y relaciona los datos sobre la actividad del usuario y los eventos
en todos los niveles corporativos, de manera que las empresas pueden identificar, priorizar y responder rápidamente a los incumplimientos de
la normativa, el incumplimiento de las políticas, los ataques a la seguridad cibernética y las amenazas internas. Para obtener más información,
visite www.arcsight.com.

Para obtener más información, comuníquese con ArcSight a través de


info@arcsight.com o llamando al +44 (0)870 351 6512
© 2009 ArcSight, Inc. Reservados todos los derechos. ArcSight y el logotipo de ArcSight son marcas comerciales de ArcSight, Inc. Todos los demás
productos y nombres de empresas pueden ser marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.

ArcSight 8