La analítica de datos es una herramienta fundamental para las empresas en la actualidad. Sin embargo, uno de los principales desafíos que enfrentan es la gran cantidad de datos disponibles, que supera con creces la capacidad de análisis de un ser humano. Para poder realizar una analítica efectiva, es necesario tener en cuenta los archivos de registro y auditoría de los diferentes dispositivos de la red de una empresa.
El punto de partida para la analítica de datos son los archivos de registro y auditoría de los dispositivos de la red, comenzando por el hipervisor del servidor y avanzando hacia el sistema operativo y las diferentes aplicaciones. Pero no debemos olvidar que los dispositivos como firewalls, sistemas de detección de intrusiones y escáneres de correo electrónico también generan archivos de registro, al igual que los switches Ethernet, routers y balanceadores de carga. Es necesario considerar todos estos archivos para poder realizar una analítica útil.
Es importante tener en cuenta que los archivos de registro y auditoría pueden ser muy grandes si no están configurados correctamente. Por lo tanto, el objetivo no es capturar todos los eventos disponibles, sino seleccionar aquellos eventos clave para el dispositivo o aplicación de interés. Por ejemplo, se pueden capturar actividades de sesión por usuario, estación de trabajo o aplicación (inicio de sesión exitoso, cierre de sesión, fallos en el inicio de sesión, intentos de acceso a archivos o sistemas no autorizados, actividad fuera del horario normal) o datos o actividades inesperadas que ocurran a través de un límite de seguridad, como escaneo de puertos, volúmenes inesperadamente grandes de datos o datos que se mueven en momentos inesperados.
Una característica útil que muchas herramientas de análisis pueden configurar es emitir alertas cuando se producen eventos críticos de seguridad, como fallos de contraseña en cuentas de usuario con altos privilegios o actividad de red inusual, como escaneo de puertos o volúmenes inusualmente altos de tráfico que se originan desde o se dirigen a un servidor o aplicación. Es recomendable hacer una lista de las actividades que serían útiles capturar para su análisis y/o para emitir alertas, y luego comparar con los parámetros de registro/auditoría disponibles por dispositivo o aplicación para definir los parámetros de registro/auditoría que se deben establecer.
Ejecute y analice los archivos de registro/auditoría durante un mes y ajuste los parámetros de registro/auditoría según sea necesario. Revise nuevamente en un mes y repita este proceso hasta obtener un conjunto de parámetros de registro/auditoría que brinden una analítica y alertas útiles para su organización. Durante esta etapa de definición, también se debe identificar qué resultados se requieren de la(s) herramienta(s) de análisis, por ejemplo, alertas que requieren atención inmediata y cómo se emiten esas alertas (correo electrónico, SMS, pantalla) y qué se debe informar y a qué nivel (diario, semanal, mensual, especialistas en seguridad, gerentes de seguridad/IT, resúmenes para gerentes senior/junta directiva).
La analítica de datos es una herramienta poderosa para las empresas, pero para aprovechar al máximo su potencial, es necesario tener en cuenta la importancia de los archivos de registro y auditoría. Configurar y analizar estos archivos de manera adecuada permitirá obtener información valiosa y tomar decisiones informadas para mejorar la seguridad y el rendimiento de la red de su empresa.
