Gestión de registros

La gestión de registros es el proceso de generación, transmisión, almacenamiento, acceso y eliminación de datos de registro. Los datos de registro (o registros ) se componen de entradas (registros) y cada entrada contiene información relacionada con un evento específico que ocurre dentro de los activos informáticos de una organización, incluidas plataformas físicas y virtuales, redes, servicios y entornos de nube. ^[1]

El proceso de gestión de registros generalmente se divide en: ^[2]

• Recopilación de registros: un proceso de captura de datos reales de archivos de registro, flujo de salida estándar de la aplicación ( stdout ), socket de red y otras fuentes.
• Agregación de registros (centralización): proceso que consiste en reunir todos los datos de registro en un solo lugar para su posterior análisis o retención.
• Almacenamiento y retención de registros: un proceso de manejo de grandes volúmenes de datos de registro de acuerdo con políticas corporativas o regulatorias (cumplimiento).
• Análisis de registros : un proceso que ayuda al equipo de operaciones y seguridad a gestionar problemas de rendimiento del sistema e incidentes de seguridad.

Descripción general

Los principales impulsores de las implementaciones de gestión de registros son las preocupaciones sobre seguridad , ^[3] operaciones de sistemas y redes (como administración de sistemas o redes ) y cumplimiento normativo. Los registros son generados por casi todos los dispositivos informáticos y, a menudo, se pueden dirigir a diferentes ubicaciones tanto en un sistema de archivos local como en un sistema remoto.

Analizar eficazmente grandes volúmenes de registros diversos puede plantear muchos desafíos, como:

• Volumen: los datos de registro pueden alcanzar cientos de gigabytes de datos por día para una organización grande . Simplemente recopilar, centralizar y almacenar datos en este volumen puede ser un desafío.
• Normalización: los registros se generan en múltiples formatos. El proceso de normalización está diseñado para proporcionar un resultado común para el análisis de diversas fuentes.
• Velocidad: La velocidad a la que se producen los registros desde los dispositivos puede dificultar la recopilación y agregación.
• Veracidad: los eventos de registro pueden no ser precisos. Esto es especialmente problemático para los sistemas que realizan detección, como los sistemas de detección de intrusiones .

Los usuarios y potenciales usuarios de la gestión de registros pueden adquirir herramientas comerciales completas o crear sus propias herramientas de gestión de registros e inteligencia, ensamblando la funcionalidad de varios componentes de código abierto , o adquirir (sub)sistemas de proveedores comerciales. La gestión de registros es un proceso complicado y las organizaciones a menudo cometen errores al abordarlo. ^[4]

El registro puede generar información técnica que se puede utilizar para el mantenimiento de aplicaciones o sitios web. Puede servir para:

• Para definir si un error reportado es realmente un error
• para ayudar a analizar, reproducir y resolver errores
• para ayudar a probar nuevas funciones en una etapa de desarrollo

Terminología

Se hicieron sugerencias ^{[ ¿quién? ]} para cambiar la definición de registro. Este cambio mantendría las cosas más claras y fáciles de mantener:

• El registro se definiría entonces como todos los datos descartables instantáneamente sobre el proceso técnico de una aplicación o sitio web, tal como representa y procesa datos y entradas del usuario.
• La auditoría , entonces, involucraría datos que no son inmediatamente descartables. En otras palabras: datos que se reúnen en el proceso de auditoría, se almacenan de forma persistente, están protegidos por esquemas de autorización y están, siempre, conectados a algún requisito funcional del usuario final.

Ciclo de vida de la implementación

Una visión ^{[ cita requerida ]} de evaluar la madurez de una organización en términos de la implementación de herramientas de gestión de registros podría utilizar ^{[¿ investigación original? ]} niveles sucesivos como:

1. En las etapas iniciales, las organizaciones utilizan distintos analizadores de registros para analizar los registros de los dispositivos en el perímetro de seguridad. Su objetivo es identificar los patrones de ataque a la infraestructura perimetral de la organización.
2. Con el aumento del uso de la informática integrada, las organizaciones exigen registros para identificar el acceso y el uso de datos confidenciales dentro del perímetro de seguridad.
3. En el siguiente nivel de madurez, el analizador de registros puede rastrear y monitorear el rendimiento y la disponibilidad de los sistemas a nivel de la empresa , especialmente de aquellos activos de información cuya disponibilidad las organizaciones consideran vitales.
4. Las organizaciones integran los registros de varias aplicaciones comerciales en un administrador de registros empresarial para obtener una mejor propuesta de valor .
5. Las organizaciones fusionan la supervisión del acceso físico y la supervisión del acceso lógico en una única vista.

Véase también

• Pista de auditoría
• Evento base común
• Formato de registro común
• Proyectos DARPA PRODIGAL y Detección de Anomalías en Múltiples Escalas (ADAMS).
• Registro de datos
• Análisis de registros
• Monitor de registro
• Base de conocimientos sobre gestión de registros
• Gestión de eventos e información de seguridad
• Registro del servidor
• Registro del sistema
• Contador web
• Software de análisis de registros web

Referencias

1. NIST SP 800-92r1, Guía de planificación de la gestión de registros de ciberseguridad
2. Kent, Karen; Souppaya, Murugiah (septiembre de 2006). Guía para la gestión de registros de seguridad informática (informe). NIST. doi : 10.6028/NIST.SP.800-92 . S2CID  221183642. NIST SP 800-92.
3. "Aprovechamiento de los datos de registro para una mejor seguridad". EventTracker SIEM, seguridad informática, cumplimiento normativo, gestión de registros . Archivado desde el original el 28 de diciembre de 2014. Consultado el 12 de agosto de 2015 .
4. "Top 5 Log Mistakes - Second Edition" (Los 5 errores más comunes en los registros: segunda edición). Docstoc.com . Consultado el 12 de agosto de 2015 .

• Chris MacKinnon: "LMI In The Enterprise". Processor , 18 de noviembre de 2005, vol. 27, número 46, página 33. En línea en http://www.processor.com/editorial/article.asp?article=articles%2Fp2746%2F09p46%2F09p46.asp, consultado el 10 de septiembre de 2007
• MITRE: Propuesta de estándar de registro de Common Event Expression (CEE). Disponible en línea en http://cee.mitre.org, consultado el 3 de marzo de 2010

Enlaces externos

• Revisión y comparación de productos comerciales de gestión de registros de InfoWorld