Conexión con el

SOC.

Vicepresidencia de Servicios de Tecnología

Dirección Estrategia, Arquitectura e Innovación de TI
 1.0.0 2021/05/07 Construcción de la ficha. Centro de Excelencia de

Control de 2.0.0 2021/06/31 Modificación observaciones equipo cloud.

Arquitectura
Centro de Excelencia de

Versión 3.0.0 2021/08/18 Agregación de nuevos escenarios en aplicaciones.

Arquitectura
Centro de Excelencia de
Arquitectura
4.0.0 2021/10/04 Se hace claridad en alcance, responsables y se Centro de Excelencia de
ajustan los escenarios 1 y 2, Se reafirma el Arquitectura
escenario 2 esta completamente alineado con
Cloudwatch.
 Conexión con el SOC
El Centro de Operaciones de seguridad está enfocado en el monitoreo de los eventos de seguridad de los Sistemas Operativos, Aplicaciones y la
CONTEXTO red, con el fin de detectar amenazas que puedan afectar la integridad, confidencialidad y disponibilidad de la información. Los eventos de
seguridad son gestionados por el SIEM

A continuación se ilustran los diferentes escenarios a través de los cuales se hace la recolección de estos eventos de seguridad:
1. Ambiente OnPremise o nube
a. Recolección de eventos de los Sistemas Operativos, Bases de Datos, componentes de red y controles de seguridad
b. Recolección de eventos de aplicaciones

Lineamientos:
1. La generación de los log (eventos de seguridad) debe ser realizada por cada componente tecnológico involucrado
ALCANCE Y 2. Los log de seguridad generados deben ser entregados por el componente tecnológico al SOC
LINEAMIENTO 3. El SOC define los eventos de interés que deben ser recolectados y monitoreados
4. Los log deben ser generados y enviados en tiempo real, en caso de no poder, deben ser lo más cercano al tiempo real
5. Quien da gobierno sobre la extracción, transporte y manejo de los log, es la iniciativa de logs inteligentes, pero mientras esa iniciativa está
en producción, las aplicaciones se deben apegar a esta definición
Primera Ola Segunda Ola
• Murex • FINACLE (CDT, Hipotecario, Recaudos, Nequi)
• OYD • SAP ERP
• Visión+ • Bizagi GO

ESCENARIOS DE IMPLEMENTACIÓN DEFINIDOS ENLACES DE REFERENCIA

ESCENARIO No.1 ESCENARIO No.2a ESCENARIO No.2b

Escenario No.1 Ambiente on-premise.
 Ambiente en nube - Recolección de eventos de los Sistemas Operativos, BD y componentes
Escenario No.2 de red.

• Los logs son recolectados a través de CloudWatch para luego ser llevados a un bucket S3 a partir del cual el colector los tomará para entregarlos a QRadar.
 Ambiente en nube – Recolección de eventos de aplicaciones
Escenario No.2b

Las aplicaciones ubicadas en la nube de

AWS deben garantizar la entrega de sus
logs de seguridad, ya sea a través de
CloudWatch empleando para ello el
agente de Cloudwatch o directamente a
través del Lambda
 Consideraciones
Se deben tener en cuenta las siguientes consideraciones para el monitoreo de log de aplicaciones:

• Se tienen diferentes tipos de log: Técnicos, funcionales y de seguridad

• La extracción y transporte a la herramienta de monitoreo debe ser responsabilidad de la aplicación, no de la herramienta de
monitoreo
• Las aplicaciones que el Banco contrate o desarrolle deben contar con la extracción y envío de los log de seguridad para el
monitoreo en el SOC (Formato Syslog)
• Para los servicios o aplicaciones que ya están implementadas en el Banco, se debe tener un plan para desatrasar el envío de los
log de estas al SOC. Además, se debe contar con una priorización de estas como SOX, BIA, ROTI.
• El log debe ser crudo, tal como sale de la aplicación y en la herramienta de SOC se hace el mapeo de acuerdo a la necesidad
• En cada aplicación se pueden monitorear unas alertas mínimas y comunes para todas las aplicaciones, pero también hay unas
alertas que son propias de cada aplicación, están serán definidas en el momento de desarrollo. Para implementar lo mínimo
requerido, se necesita la siguiente información:

1. Rol que se modifica, fecha de modificación, usuario que hace la modificación, información modificada
2. Usuario que se crea/modifica/elimina, fecha de creación/modificación/eliminación, usuario que hace la creación/modificación/eliminación,
información modificada
3. Usuario al que se le cambia la contraseña, fecha y hora del cambio, usuario que hace el cambio
4. Usuario que ingresa, fecha y hora del ingreso

*Este es un ejemplo de unas alertas especificas tomadas como base de caso de uso de acuerdo a la aplicación en este caso GAIA:
1. Asignación de permisos u operaciones sobre su propio usuario
2. Modificación de roles sobre su propio usuario
3. Cualquier usuario distinto a lista blanca (usuarios Accesos Aplicación y Accesos Plataformas), crear, modificar y/o eliminar usuarios
4. Cambio de contraseñas en horario no hábil a los usuarios de Control de Acceso, si no es autorizado realizar bloqueo
5. Ingresos en horario no laboral para la creación o modificación de usuarios
 Consideraciones
Se deben tener en cuenta las siguientes consideraciones para el monitoreo de log de aplicaciones:

• Cuando la iniciativa de los log inteligentes esté implementada, esta será la que legisle sobre este tema bajo el siguiente
esquema y el SOC tendrá acceso a los log del Flujo de Seguridad
Centro de Excelencia de Arquitectura
ce.arquitecura@bancolombia.com.co
correoespecialista@bancolombia.com.co