Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SOC.
A continuación se ilustran los diferentes escenarios a través de los cuales se hace la recolección de estos eventos de seguridad:
1. Ambiente OnPremise o nube
a. Recolección de eventos de los Sistemas Operativos, Bases de Datos, componentes de red y controles de seguridad
b. Recolección de eventos de aplicaciones
Lineamientos:
1. La generación de los log (eventos de seguridad) debe ser realizada por cada componente tecnológico involucrado
ALCANCE Y 2. Los log de seguridad generados deben ser entregados por el componente tecnológico al SOC
LINEAMIENTO 3. El SOC define los eventos de interés que deben ser recolectados y monitoreados
4. Los log deben ser generados y enviados en tiempo real, en caso de no poder, deben ser lo más cercano al tiempo real
5. Quien da gobierno sobre la extracción, transporte y manejo de los log, es la iniciativa de logs inteligentes, pero mientras esa iniciativa está
en producción, las aplicaciones se deben apegar a esta definición
Primera Ola Segunda Ola
• Murex • FINACLE (CDT, Hipotecario, Recaudos, Nequi)
• OYD • SAP ERP
• Visión+ • Bizagi GO
• Los logs son recolectados a través de CloudWatch para luego ser llevados a un bucket S3 a partir del cual el colector los tomará para entregarlos a QRadar.
Ambiente en nube – Recolección de eventos de aplicaciones
Escenario No.2b
1. Rol que se modifica, fecha de modificación, usuario que hace la modificación, información modificada
2. Usuario que se crea/modifica/elimina, fecha de creación/modificación/eliminación, usuario que hace la creación/modificación/eliminación,
información modificada
3. Usuario al que se le cambia la contraseña, fecha y hora del cambio, usuario que hace el cambio
4. Usuario que ingresa, fecha y hora del ingreso
*Este es un ejemplo de unas alertas especificas tomadas como base de caso de uso de acuerdo a la aplicación en este caso GAIA:
1. Asignación de permisos u operaciones sobre su propio usuario
2. Modificación de roles sobre su propio usuario
3. Cualquier usuario distinto a lista blanca (usuarios Accesos Aplicación y Accesos Plataformas), crear, modificar y/o eliminar usuarios
4. Cambio de contraseñas en horario no hábil a los usuarios de Control de Acceso, si no es autorizado realizar bloqueo
5. Ingresos en horario no laboral para la creación o modificación de usuarios
Consideraciones
Se deben tener en cuenta las siguientes consideraciones para el monitoreo de log de aplicaciones:
• Cuando la iniciativa de los log inteligentes esté implementada, esta será la que legisle sobre este tema bajo el siguiente
esquema y el SOC tendrá acceso a los log del Flujo de Seguridad
Centro de Excelencia de Arquitectura
ce.arquitecura@bancolombia.com.co
correoespecialista@bancolombia.com.co