• Tweet

La mejor manera de identificar los puntos débiles en su sistema defensa.

A pesar de las mejores precauciones, es imposible proteger su red contra todos los ataques. Cuando lo inevitable sucede, los datos del registro pueden ser críticos para identificar la causa de la violación y la recolección de la evidencia para su uso en el sistema legal. Es decir, si sus registros se han configurado correctamente antes de que ocurriera la violación.

Los archivos de registro generados por todos los equipos de procesamiento de datos son una actividad cada vez más recurrente. Se trata de una huella digital electrónica con un elemento añadido: sabemos en qué momento la huella digital se ha generado, por lo que son capaces de reconstruir lo que sucedió y en qué orden. El análisis de los registros es la principal forma de hacer forense y buena gestión de los registros, para poder utilizarlos como evidencia en un tribunal de justicia a efectos de enjuiciamiento.

Al habilitar los registros normalmente se puede especificar: 1) el nivel de gravedad, que en esencia especifica la gravedad del caso y establecer si se requiere la creación de un mensaje de registro y 2) el nivel de detalle capturado en el mensaje de registro, el llamado nivel de verbosidad.

Hay ocho niveles de gravedad estándar, que van desde de alto nivel de gravedad 0 (llamados de emergencia, en los que sólo de emergencia y extremadamente eventos críticos están registrados) a bajo nivel de gravedad 7 (llamados de depuración, en los que se registra casi cualquier evento minuto a minuto).

Los niveles de verbosidad son menos estándares y varían dependiendo del proveedor, marca y modelo del equipo.

Las compensaciones son evidentes:

Gravedad alta, nivel de verbosidad bajo:

* Pocos mensajes, cada mensaje es corto.

* Poco requerimiento de almacenamiento, pero no se sabe mucho acerca de lo sucedido.

Gravedad baja, nivel de verbosidad bajo:

* Muchos mensajes, cada mensaje es corto.

* Requerimientos de almacenamiento medio y sabrá cuando algo sucede, pero no se sabe mucho acerca de lo sucedido.

Gravedad alta, nivel de verbosidad alto:

* Pocos mensajes, cada mensaje es largo.

* Requisito de almacenamiento medio y será capaz de decir mucho acerca de los eventos críticos, pero hay muchos eventos en los que usted no tiene visibilidad.

Gravedad baja, nivel de verbosidad alto:

* Muchos mensajes, cada mensaje es largo.

* Los requisitos de almacenamiento alto, pero usted sabe mucho acerca de cualquier caso que está sucediendo.

El enfoque correcto es aplicar un método de gestión de riesgos para sus registros. Como tal, se identifica el conjunto de sistemas que son importantes para mantener los registros.

En efecto, no es necesario disponer de una talla única para toda aproximación a la gravedad / verbosidad. En su lugar, desea poner encima la cantidad y el nivel detallado de los registros de los sistemas importantes y marcar hacia abajo los sistemas no-importantes.

Se recomienda la creación de cuatro grupos de sistemas, cada uno correspondiente a una categoría de nivel de gravedad y del nivel de verbosidad que se ha descrito anteriormente y que aplica a un nivel diferente de registro para cada categoría.

Recuerde la regla de oro: en caso de duda, siga adelante y registre esto porque nunca se sabe cuando se necesitará el registro. Es tentador usar el nivel de depuración de registro, sin embargo, suele generar tanta información que reducirá a los sistemas de abajo, a fin de utilizarlo con precaución. Un valor típico es el nivel de gravedad 6, de información, que genera gran cantidad de información sin la pérdida de rendimiento.