Sistemas
Páginas: 18 (4272 palabras)
Publicado: 12 de abril de 2011
CORRELACIONADOR DE LOGS PARA EL ANALISIS DE INCIDENTES (HERRAMIENTA RSA ENVISION)
AUDITORIA DE SISTEMAS
ARBEY JULIAN CRUZ RUIZ
CODIGO: 1006690
UNIVERSIDAD DE SAN BUENAVENTURA MEDELLIN
INGENIERIA DE SISTEMAS
2010
Tabla de contenido
INTRODUCCION 1
OBJETIVOS 2
FUNCIONES DE ALGUNOS DISPOSITIVOS INTEGRADOS A LA RED DE DATOS 3
DESCRIPCION DE LOGS 6
MODIFICACION ENFICHEROS /etc/syslog.conf 11
CONFIGURACION GENERAL DE ROTACIONES LOGS 12
ANALISIS DE LOGS Y CORRELACIO…………………………………………………….. 14
NORMAS QUE LO REGULAN 15
HERRAMIENTA DE RSA ENVISION 16
ADMINISTRACION DE LOGS 17
AUDITORIA Y REPORTES 18
DEFINICION INTELIGENTE DE BASES 19
ADMINISTRACION DE LOGS PARA OPTIMIZACION DE OPERACIÓNES DE RED Y TI.……………………………………………………………………………………………20
CONCLUSIONES 21
BIBLIOGRAFIA 22
INTRODUCCION
En nuestro diario vivir estamos obligados a mantener un buen manejo de la información, por lo cual, es indispensable tener una buena calidad en los registros de auditora para tener una respuesta oportuna frente a cualquier incidente que se nos presente. Todo esto para determinar: ¿qué ocurrió?, ¿cuándo ocurrió?, ¿quién lo hizo? eidentificar ¿por qué lo hizo?
Esta información la obtenemos directamente de los dispositivos que están integrados a una red de información o datos y los elementos que debemos tener en cuenta para dicho análisis son servidores, switches, enrutadores, cortafuegos, antivirus, entre otros, ya que estos tienen como característica principal generar registros de eventos llamados LOGS pero esta informaciónno es suficiente y para que esto sea efectivo es necesario monitorear y correlacionar dichos eventos por medio de herramientas SIM o’ SIEM este tipo de herramientas sirven para automatizar todo el proceso de almacenamiento, tratamiento y explotación para ofrecernos capacidades proactivas ante problemas y facilidades para extraer la información necesaria para identificar directamenteel tipo de incidente o extraer la información exacta o concreta que nos permite identificar el incidente a monitorear, la herramienta en si tiene como base principal generar informes, alertas y reglas de correlación para efectos del presente trabajo vamos a estudiar el correlacionador en visión.
OBJETIVOS:
• Indagar sobre herramientas y aplicativos que estén relacionados con laauditoria de sistemas, para tener en cuenta la manera como se debe manejar la información, identificando como se realizan los procesos mediante LOGS , las políticas a utilizar, determinar la normatividad utilizada que regula este proceso en una red de datos.
• Conocer cada uno de los elementos utilizados para la creación de un LOG, pues estos registros están en la red y se pueden identificar através de las direcciones IP.
• Dimensionar la importancia que presta la herramienta Envision como apoyo de vigilancia y auditoria para identificar los eventos: bloqueos de claves, logeos, usuarios, administradores, recursos, vulnerabilidades, fallas de seguridad entre otros.
FUNCIONES DE ALGUNOS DISPOSITIVOS INTEGRADOS A LA RED DE DATOS
• Servidor proxy: Centraliza peticiones delos clientes y las reenvía hacia otras máquinas. Puede servir como nivel de dirección y seguridad. También puede ser usado para realizar balanceo de carga.
• Cortafuegos (firewall): Proporciona servicios de filtrado, autorización y autentificación. Puede actuar como proxy y ayuda a manejar los ataques de los hackers.
• Máquina: Representa una unidad física donde reside un servidor.Una máquina se define como tipo Unix o no Unix (Windows NT, etc.).
• Servidor: Un servidor es una instancia de la clase weblogic.Server ejecutándose dentro de una máquina virtual de Java. Un servidor está alojado en una máquina, pero una máquina puede contener varios servidores. Si un servidor no lo declaramos en ninguna máquina WLS asume que está en una creada por defecto.
•...
AUDITORIA DE SISTEMAS
ARBEY JULIAN CRUZ RUIZ
CODIGO: 1006690
UNIVERSIDAD DE SAN BUENAVENTURA MEDELLIN
INGENIERIA DE SISTEMAS
2010
Tabla de contenido
INTRODUCCION 1
OBJETIVOS 2
FUNCIONES DE ALGUNOS DISPOSITIVOS INTEGRADOS A LA RED DE DATOS 3
DESCRIPCION DE LOGS 6
MODIFICACION ENFICHEROS /etc/syslog.conf 11
CONFIGURACION GENERAL DE ROTACIONES LOGS 12
ANALISIS DE LOGS Y CORRELACIO…………………………………………………….. 14
NORMAS QUE LO REGULAN 15
HERRAMIENTA DE RSA ENVISION 16
ADMINISTRACION DE LOGS 17
AUDITORIA Y REPORTES 18
DEFINICION INTELIGENTE DE BASES 19
ADMINISTRACION DE LOGS PARA OPTIMIZACION DE OPERACIÓNES DE RED Y TI.……………………………………………………………………………………………20
CONCLUSIONES 21
BIBLIOGRAFIA 22
INTRODUCCION
En nuestro diario vivir estamos obligados a mantener un buen manejo de la información, por lo cual, es indispensable tener una buena calidad en los registros de auditora para tener una respuesta oportuna frente a cualquier incidente que se nos presente. Todo esto para determinar: ¿qué ocurrió?, ¿cuándo ocurrió?, ¿quién lo hizo? eidentificar ¿por qué lo hizo?
Esta información la obtenemos directamente de los dispositivos que están integrados a una red de información o datos y los elementos que debemos tener en cuenta para dicho análisis son servidores, switches, enrutadores, cortafuegos, antivirus, entre otros, ya que estos tienen como característica principal generar registros de eventos llamados LOGS pero esta informaciónno es suficiente y para que esto sea efectivo es necesario monitorear y correlacionar dichos eventos por medio de herramientas SIM o’ SIEM este tipo de herramientas sirven para automatizar todo el proceso de almacenamiento, tratamiento y explotación para ofrecernos capacidades proactivas ante problemas y facilidades para extraer la información necesaria para identificar directamenteel tipo de incidente o extraer la información exacta o concreta que nos permite identificar el incidente a monitorear, la herramienta en si tiene como base principal generar informes, alertas y reglas de correlación para efectos del presente trabajo vamos a estudiar el correlacionador en visión.
OBJETIVOS:
• Indagar sobre herramientas y aplicativos que estén relacionados con laauditoria de sistemas, para tener en cuenta la manera como se debe manejar la información, identificando como se realizan los procesos mediante LOGS , las políticas a utilizar, determinar la normatividad utilizada que regula este proceso en una red de datos.
• Conocer cada uno de los elementos utilizados para la creación de un LOG, pues estos registros están en la red y se pueden identificar através de las direcciones IP.
• Dimensionar la importancia que presta la herramienta Envision como apoyo de vigilancia y auditoria para identificar los eventos: bloqueos de claves, logeos, usuarios, administradores, recursos, vulnerabilidades, fallas de seguridad entre otros.
FUNCIONES DE ALGUNOS DISPOSITIVOS INTEGRADOS A LA RED DE DATOS
• Servidor proxy: Centraliza peticiones delos clientes y las reenvía hacia otras máquinas. Puede servir como nivel de dirección y seguridad. También puede ser usado para realizar balanceo de carga.
• Cortafuegos (firewall): Proporciona servicios de filtrado, autorización y autentificación. Puede actuar como proxy y ayuda a manejar los ataques de los hackers.
• Máquina: Representa una unidad física donde reside un servidor.Una máquina se define como tipo Unix o no Unix (Windows NT, etc.).
• Servidor: Un servidor es una instancia de la clase weblogic.Server ejecutándose dentro de una máquina virtual de Java. Un servidor está alojado en una máquina, pero una máquina puede contener varios servidores. Si un servidor no lo declaramos en ninguna máquina WLS asume que está en una creada por defecto.
•...
Leer documento completo
Regístrate para leer el documento completo.