Gestión y Análisis de Eventos para SIEM

EventLog Analyzer es un software para la gestión de logs de eventos y cumplimiento de normas de TI para SIEM

La infraestructura de TI de su organización genera enormes cantidades de logs cada día, y esos logs generados por computadora tienen información vital que pueden proveer información importante e inteligencia de la seguridad de la red acerca del comportamiento de los usuarios, anomalías de red, tiempo de inactividad del sistema, violaciones a las políticas, amenazas internas, conformidad regulatoria, etc. Sin embargo, la tarea de analizar estos logs de eventos y Syslogs sin herramientas automáticas de análisis de logs puede ser dispendiosa y desgastante si se hace manualmente.

EventLog Analyzer brinda el software más eficiente respecto al costo para la gestión de información de seguridad y eventos (SIEM) del mercado. Utilizando esta solución para el análisis de logs, las organizaciones pueden automatizar el proceso completo de gestionar terabytes de logs generados por computadora recolectando, analizando, correlacionando, buscando, generando informes y almacenando logs desde una ubicación central. Este software para el análisis de logs de eventos le ayuda a monitorear la integridad de los archivos, llevar a cabo análisis forenses de logs, monitorear usuarios privilegiados y cumplir con diferentes entidades regulatorias al analizar inteligentemente sus logs y generar instantáneamente una variedad de informes como de actividad de usuarios, tendencias históricas y más.

Libere el verdadero valor de sus logs
Correlación de eventos en tiempo real
  • Más de 70 reglas de correlación de eventos predefinidas para la gestión proactiva de amenazas
  • Ubique intentos de fuga, amenazas internas, violaciones a las políticas y más, sin ninguna intervención manual
  • Constructor flexible de reglas de correlación con drag-n-drop, que le permite a los usuarios definir patrones de ataques y así ayudar a reaccionar proactivamente a las amenazas de seguridad
Informes de conformidad
  • Genere informes de conformidad predefinidos para logs de eventos y Syslogs para cumplir con HIPAA, GBLA, PCI, DSS, SOX, FISMA y más
  • Provee una nueva funcionalidad de valor agregado para crear informes personalizados que le ayudarán a cumplir con las crecientes nuevas actas regulatorias que demanden conformidad en el futuro
Recolección universal de logs
  • Recolecte logs desde fuentes heterogéneas (sistemas Windows, Unix/Linux, aplicaciones, routers, firewalls, etc.) en una ubicación central
  • Descifre cualquier información de logs sin importar la fuente y el formato
  • Recolección de logs sin agentes (agentes opcionales disponibles)
Monitoreo de la integridad de los archivos
  • Realice centralmente el seguimiento de todos los cambios y reciba alertas en tiempo real ante la creación, acceso, vista, eliminación, modificación, renombre, etc. de archivos y carpetas.
  • Obtenga una pista de auditoría completa de todos los cambios que sucedan en archivos y folders. ¡Las pistas de auditoría le dirán el “qué, cuándo, dónde y cómo” de todos los cambios en tiempo real!
Monitoreo de usuarios privilegiados
  • Recolecte y analice todos los eventos de las actividades de los usuarios privilegiados
  • Obtenga información precisa del acceso de los usuarios, como qué usuario desempeñó la acción, cuál fue el resultado, en qué servidor sucedió y rastree la estación de trabajo desde donde la acción fue generada.
Búsqueda de logs
  • Busque de todo, no solo algunos campos pre-indexados, y rápidamente detecte anomalías de red, errores en el sistema y las aplicaciones, etc.
  • Conduzca búsquedas utilizando wild-cards, frases y operadores booleanos.
  • Los usuarios también pueden realizar búsquedas por grupos y por rangos.
Alertas en tiempo real
  • Sea alertado en tiempo real mediante mensaje de texto y correo electrónico cuando ocurra una anomalía de red. Incluso puede ejecutar un programa o código para remediar la condición de alerta.
  • Los más de 500 criterios de alerta predefinidos para la infraestructura de dispositivos de Windows, Linux/Unix, aplicaciones y red eliminan la necesidad de establecer perfiles de alerta para tareas rutinarias, incrementando así la eficiencia operacional.
Análisis forense de logs
  • Obtenga detalles de los logs de eventos sin procesar, efectúe un análisis de causa raíz en minutos, y reduzca drásticamente el tiempo de remediación
  • Genere informes forenses de red, como de actividad de usuario, auditoría de sistema, conformidad regulatoria, etc.
Almacenamiento de logs
  • Almacena automáticamente todos los logs generados por computadora, de sistema y aplicaciones en un repositorio centralizado.
  • Encripta los archivos de almacenamiento de logs de eventos para asegurar los datos de logs para futuros análisis forenses y auditorías internas y de conformidad.

EventLog Analyzer está disponible en 3 versiones
Versión Gratuita
  • Soporta hasta 5 fuentes de logs sin requerir licencia.
Premium
  • Contador de fuentes de logs desde 50 hasta 1,000.
  • Recolección y almacenamiento centralizado de logs.
  • Informes de logs basados en búsqueda.
  • Análisis sintáctico e indexación de registros universal.
  • Monitoreo de integridad de archivos.
  • Correlaciones y alertas de eventos en tiempo real.
  • Informes de conformidad.
  • Análisis forense de logs.
  • Monitoreo de sesión de usuario.
Distribuida
  • Contador de fuentes de logs desde 500 hasta ilimitadas.
  • Todas las características de la versión Premium +.
  • Arquitectura escalable.
  • Monitoreo de ubicaciones multi-geográfico.
  • Arquitectura de recolección central distribuida.
  • Re-branding y vistas específicas de clientes.

Gestión Universal de Logs y Creación de nuevos campos – Analice cualquier formato de log, de cualquier fuente.

¿No sería grandioso si hubiera una única solución de Gestión de Logs para la Gestión de Eventos de Seguridad de la Información que pudiera analizar todos los formatos de logs generados por cualquier sistema, dispositivo o aplicación? EventoLog Analyzer utilizando su tecnología de Parseo de Logs Universal e Indexado (Universal Log Parsing and Indexing, ULPI) permite el descifrar cualquier información de log, independientemente de la fuente y el formato.

Con la Tecnología ULPI se pueden indexar los logs generados (si son de lectura humana, no de formato encriptado) mediante la definición y extracción de los campos de logs de su elección utilizando patrones regulares de expresión.

¿Por qué es necesaria la Creación de Nuevos Campos?

Los Administradores de Red están siempre en la necesidad de más información  e introspección de sus logs. Hay veces que pudiera  identificar información de los logs útil y gustar de indexarla automáticamente como un nuevo campo. El tener más campos que sean indexados, hace de la información de logs mucho más útil por el análisis forense de los logs que se puede llevar a cabo, creando reportes de seguridad de red.

Ninguna marca de soluciones de gestión proveerá una funcionalidad lista para usarse de recolección de logs y generación de reportes para las aplicaciones personalizadas, hechas en casa/propietarias. Con la capacidad de extracción, EventLog Analyzer, permite se indexe los campos personalizados y se generen reportes para cualquier log de lectura humana recolectados de las aplicaciones hechas en casa/propietarias.

Generando Patrones de Expresión Regulares para Extraer e Indexar Campos Nuevos.

Generar patrones de forma manual, mediante el extraer y crear nuevo campos, para el “futuro” indexado es una tarea muy compleja. EventLog Analyzer se encarga de todos los patrones con su proceso interactivo de creación de patrones.

EventLog Analyzer genera de forma automática patrones con solo unos cuantos clics del mouse. No se tiene que perder tiempo escribiendo patrones manualmente. EventLog Analyzer ofrece la flexibilidad de indexar logs con campos predeterminados y campos personalizados de su elección. Con esta opción, el patrón se genera y los campos nuevos son indexados al mismo tiempo que la importación de los logs.

Si se siente cómodo con la escritura de los patrones, EventLog Analyzer proporciona la flexibilidad de editar patrones. Se puede adicionalmente modificar el patrón en cualquier momento para indexar nuevos campos o eliminar los campos ya existentes del indexado. Una vez que el patrón es generado, EventLog Analyzer comienza a extraer e indexar la información de los campos nuevos.

 

Gestión de Bitácoras (Logs) de Eventos

Monitoreo de Bitácoras de Eventos, Análisis, Reportes y Software de Almacenamiento

 

El monitoreo y reporte de servidores Windows de toda la red, sistemas y dispositivos de red; junto con los desafíos de cumplimiento y la exactitud en el rendimiento es una gran responsabilidad. El requerimiento para este escenario tan crítico, sería una solución proactiva para el monitoreo del registro de eventos. La cual debería ser apta para el ritmo del mundo TI, ofreciendo alta tecnología, técnicamente convirtiéndose en una solución de administración de registros Windows. Además, de ser una herramienta compatible con todas las versiones de registros de eventos:

  • Windows 2003 server event logs
  • Windows 2008 activity logs
  • Windows NT logs
  • Windows 2000 events
  • Windows XP performance logs
  • Windows Vista event logs
  • Windows 7 event logs

 

En esta era de “en la nube”, el crimen cibernético ha aumentado y también las violaciones en la seguridad TI a gran escala, para esto se requiere una avanzada solución de monitoreo de registros Windows, que ofrezca un control para las cuestiones de seguridad. Lo que se busca en el monitoreo de bitácoras de Windows es:

  • Obtener información A-Z relacionada con los eventos Windows
  • Continua supervisión de las actividades de Windows
  • Organización automática de los datos de una bitácora de eventos
  • Asistencia para reforzar las políticas de seguridad
  • Aumento de la eficacia TI, reduciendo tiempos de inactividad
  • Cumplimiento satisfactorio de los requisitos para auditoría

 

EventLog Analyzer ofrece soluciones de monitoreo de registro de eventos que ayudan a la seguridad de la empresa continuamente, aún en el cambiante sector TI. Implementado, EventLog Analyzer se obtienen los siguientes beneficios:

  • Cumplimiento de los requerimientos legales y de las políticas de la compañía, almacenando del registro de eventos necesarios para auditorías
  • Recopilación de los diferentes registros de eventos para copias de seguridad
  • Alertas incluso en ausencia, con la función de envío de alertas dinámicas la cual puede ser personalizada para avisar acerca de cualquier sospechoso, o actividad malintencionada
  • Almacenado automático de los eventos Windows y visualización de estos. Lo cual es prioritario para la administración de la seguridad del personal
  • Análisis de los registros de eventos Windows para su correcta clasificación y organización sistemática, para una mejor vista y generación de informes
  • Minimización en la búsqueda mediante la personalización de la herramienta para ver los registros de eventos que son de interés
  • Monitoreo continuo sin ninguna intervención manual y atención a requisitos
  • Alta escalabilidad para incorporar grandes volúmenes de eventos Windows

 

La solución está diseñada para realizar un conjunto de funciones. El rol de EventLog Analyzer como sistema de monitoreo es:

  • Normalizar eventos Windows
  • Incluir registros de eventos
  • Almacenar registros de eventos
  • Analizar registros de eventos
  • Generar informes pre-construidos
  • Generar informes de cumplimientos normativos
  • Generar informes tendencias históricas
  • Generar alertas para Windows, específicamente para registro de eventos
  • Asistencia en auditorías de cumplimiento para diversos actos reglamentarios como cumplimiento HIPAA, GLBA, PCI-DSS y Sarbanes-Oxley (SOX o SARBOX)
  • Reducir el tiempo fuera del sistema
  • Incrementar el rendimiento de la red
  • Fortalecer las políticas de seguridad

 

Descarga la prueba gratuita de EventLog Analyzer para probar el valor del producto. Podrás explorar las características y reconocer los beneficios de EventLog Analyzer, como una solución de monitoreo de registro de eventos.

Estos son algunos ID’s de eventos Windows y Windows Vista, detectados por EventLog Analyzer:

 

ID Evento Windows ID Evento Windows Vista Tipo de Evento Descripción
512, 513, 514, 515, 516, 518, 519, 520 4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616 Sistema de Eventos Identifica los procesos del sistema local , como el inicio y cierre del sistema y los cambios en la hora del sistema
517 4612 Auditoría de Bitácoras Identifica todos los registros de auditoría de eventos
528, 540 4624 Inicios de sesión exitosos Identifica todos los eventos de inicio de sesión de usuario exitosos
529, 530, 531, 532, 533, 534, 535, 536, 537, 539 4625 Fallas de inicio de sesión Identifica todas las fallas los eventos de inicio de sesión de usuarios
538 4634 Cierre de sesión exitosos Identifica todos los eventos de cierre de sesión de usuario exitosos
560, 563, 565, 566 4656, 4658, 4659, 4660, 4661, 4662, 4663, 4664, 5147 Acceso a Objetos Identifica cuando se accede a un determinado objeto (archivo, directorio, etc.), el tipo de acceso (por ejemplo, leer, escribir, eliminar) y si el acceso fue exitoso o no, y que se realizó la acción
612 4719 Cambios en las Políticas de Auditoría Identifica todos los cambios realizados en las políticas de auditoría
624, 625, 626, 627, 628, 629, 630, 642, 644 4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740 Cambios de Cuentas de Usuarios Identifica todos los cambios realizados en una cuenta de usuario como la creación de cuentas de usuario, supresión, cambio de contraseña, etc.
(631 to 641) and (643, 645 to 666) 4727 to 4737, 4739 to 4762 Cambios de Grupos de Usuarios Identifica todos los cambios realizados en un grupo de usuarios , tales como agregar o eliminar un grupo global o local, agregar o eliminar miembros de un grupo global o local, etc.
672, 680 4768, 4776 Validación de Cuentas Exitosas Identifica los inicios de sesión exitosos, que se generan cuando una cuenta de usuario de dominio se autentifica en un controlador de dominio
675, 681 4771, 4777 Falla en la Validación de Cuentas Identifica las fallas en los inicios de sesión sin éxito , que se generan cuando una cuenta de usuario de dominio se autentifica en un controlador de dominio
682, 683 4778, 4779 Estado de la sesión en el Servidor Identifica la re- conexión de sesión o desconexión

 

EventLog Analyzer también soporta los registros recibidos a través de otros sistemas de soporte de syslogs y dispositivos.

Utilizando EventLog Analyzer puede almacenar estos registros de eventos, también puede generar informes del registro de eventos en tiempo real. Se puede obtener acceso instantáneo a una amplia variedad de reportes generados a través de hosts, usuarios, procesos y grupos de hosts. También puede obtener reportes de cumplimientos predefinidos de HIPAA, GLBA, PCI, y Sarbanes-Oxley requisitos de auditoría.

 

Gestión de Bitácoras (Logs) de Aplicaciones

Permite identificar el problema en el rendimiento anómalo de una aplicación y reducir el tiempo para encontrar la causa raíz.

 

 

EventLog Analyzer recopila y analiza los registros de aplicaciones como servidores Web y aplicaciones de bases de datos para generar informes en tiempo real y alertas para identificar el rendimiento inadecuado de las aplicaciones.

Análisis de Bitácoras del Servidor Web

EventLog Analyzer soporta varias aplicaciones de servidor web tales como W3C IIS, servidores FTP, Apache, y más. Mediante los informes predefinidos puede obtener lo siguiente:

  • Detalles de los accesos por clientes, usuarios, tipo de archivo, navegador, sistema operativo, etc.
  • Reportes del estatus de los códigos de error HTTP y reporte de URLs maliciosas.
  • Detalles de la transferencia de archivos, informes clasificados por tipos de archivos, servicios del servidor, IP del servidor y los puertos de origen.
  • Información detallada sobre el manejo de las peticiones del cliente al servidor web Apache.
  • Informes detallados de las peticiones al servidor web Apache que se manejan con éxito, las solicitudes con errores de cliente, las solicitudes con errores de servidor y peticiones que conducen a una redirección.
  • Detalles del cliente tales como la dirección IP, el código de estado de la solicitud de servicio, el referente, el agente de usuario, y el número de eventos.
iis-application-log 

Análisis de Bitácoras de Bases de Datos

Con EventLog Analyzer se pueden supervisar las aplicaciones de base de datos del servidor tales como MS SQL y Oracle.

Los informes predefinidos para el servidor de base de datos MS SQL incluyen:

  • Lista de usuarios de confianza que generan el número máximo de inicios de sesión con éxito, inicios de sesión no exitosos y eventos de recursos insuficientes.
  • Detalles de los inicios de sesión de éxito que le ayudan a realizar un seguimiento de las tendencias de uso de aplicaciones de MS SQL. Los inicios de sesión de usuario fallidos son importantes para analizar la vulnerabilidad de MS SQL a violaciones de seguridad.
  • Detalles de la transferencia de archivos, informes clasificados por tipos de archivos, servicios del servidor, IP del servidor y los puertos de origen.
  • Los detalles sobre los eventos de recursos insuficientes ayudan a configurar la aplicación MS SQL para optimizar el uso.

Los informes predefinidos para el servidor de base de datos Oracle incluyen:

  • Reportes de Gestión del Sistema: inicio, apagado y reportes de alteraciones.
  • Reportes detallados de Gestión de Cuenta: incluye información de creación, borrado y cambios de usuarios.
  • Reportes de Gestión de Sesión: información de logon y logoff.
  • Reportes de Gestión de Objetos: incluye detalles de tablas creadas, borradas o alteradas.

mssql-application-log

 

 

oracle-audit-logs-reports 

Análisis de Bitácoras de DHCP

EventLog Analyzer recopila, monitorea y analiza el registro tanto de aplicaciones Linux como Windows DHCP. Genera informes predefinidos sobre la base de la recopilación de registros, que proporcionan información detallada en la lista de eventos generados por lease, BOOTP lease, actualización de DNS dinámico, la dirección IP y la dirección MAC.

Los administradores DHCP podrán ver todos estos informes además de generar otros de acuerdo a sus necesidades que les ayudarán a detectar problemas de red al instante.

dhcp-windows-logs-reports 

Reportes de Servidor de Impresión

Con EventLog Analyzer, se puede controlar fácilmente el uso del servidor de impresión para descubrir "quién imprime qué documento a partir de cúal equipo y cuándo." Los informes predefinidos generados con los registros del servidor de impresión:

  • Proporcionan seguridad para el uso de impresoras centralizadas en una red.
  • Pfrecen más detalles sobre las actividades de impresión de los usuarios, incluyendo el nombre del usuario, identificación y nombre del documento, número de páginas, la impresora utilizada, el tamaño del archivo, la fecha y hora de impresión y los puertos utilizados.
print-server-logs-report