Monitoreo de Logs de Eventos Windows

La mayoría de las grandes brechas han ocurrido debido a que las organizaciones en su interior, se quedan cortas en el monitoreo de las actividades internas de la red. La encuesta en relación a la Ciberseguridad 2011 encontró que el 33% de los ataques internos son más costosos que los ataques externos. La encuesta también establece que los ataques internos se están siendo cada vez más sofisticados y pueden causar un daño muy serio en la reputación de la organización, una interrupción crítica del sistema y la pérdida de información confidencial o información propietaria. (Descargue la Encuesta - PDF)

El monitoreo de las actividades internas de red se ha convertido en el primer requerimiento de las organizaciones - grandes y pequeñas. Para brindar seguridad a la red en contra de brechas y amenazas, las organizaciones tienen la necesidad de tomar medidas proactivas para proteger a esta seguridad y la información. Monitorear la información de los logs de eventos es la forma más precisa de detectar anomalías en la red, atentados en brechas en la información y dar seguimiento a intrusos en la red.

Mitigue las amenazas internas mediante el monitoreo de los datos de los Logs De Eventos

La mayoría de las organizaciones tienen un entorno de red que incluye servidores Windows y estaciones de trabajo. Los sistemas operativos Windows de Microsoft generan una gran variedad de logs de eventos y estos logs si son monitoreados, pueden ayudar a los administradores de red a asegurar su red de amenazas internas y a conducir investigaciones forenses de logs. Los logs de eventos contienen  información vital como inicio de sesiones fallidos, fallas en estos inicios, intentos fallidos en el acceso de archivos seguros, manipulación de logs de seguridad, etc. que apoyan a mantener a la organización segura en relación a las amenazas de la red.

Los logs de eventos se generan en formatos EVT y EVTX. Con Windows NT, XP, 2000 y 2003 Server y de versiones de estaciones de trabajo se soporta el formato de log EVT y las versiones de Windows Vista y Server 2008 utilizan el formato de log EVTX. El monitorear estos eventos de logs Windows (en formatos EVT y EVTX) a través de múltiples versiones de Windows, se convierte en un reto para los administradores de red y el monitoreo manual de estos logs de eventos es engorros y consume tiempo.

EventLog Analyzer automatiza el monitoreo del Log de Eventos

EventLog Analyzer –  En un software de monitoreo de Log de Eventos que provee un monitoreo completo de los logs de eventos. Recolecta, analiza, reporta y archiva información de logs de eventos generados por la red de Windows de la Empresa – Servidores y estaciones de trabajo. Este software de monitoreo de Log de Eventos es compatible con todos los formatos de logs de Evento de Windows (EVT y EVTX) generados por distintos sistemas operativos de Windows como:

 

  • Windows 2003 Server
  • Windows 2008
  • Windows NT 
  • Windows 2000
  • Windows XP 
  • Windows Vista
  • Windows 7
  • Todos los demás sistemas operativos de Windows.

EventLog Analyzer – Beneficios de la herramienta de monitoreo de logs de Eventos.

  • Recolección de logs de Eventos sin Agente – Habilidad para recolectar, normalizar, monitorear, analizar, reportar y archivar archivos log de eventos Windows en formatos EVT y EVTX.
  • Información de monitoreo de logs de eventos y genera reportes para auditorías de cumplimiento obligatorias.
  • Un repositorio central para la información de logs de eventos de Windows.
  • Detección de eventos de seguridad de red como inicio de sesión fallidos, objetos de acceso, clareo de logs de auditoría, etc.
  • Compatible con todas las versiones de Windows: Windows 2003 y 2008 server, Windows NT, Windows 2000, Windows XP, Windows 7 y  Windows Vista.
  • Obtiene alertas en tiempo real  cuando ocurren anomalías dentro de la red de Windows.
  • Opciones de búsqueda avanzada y sencilla para búsqueda de log crudo en la información de logs de eventos de Windows.

Características del Monitoreo de logs de Eventos de EventLog Analyzer

Recolección de Logs de Eventos y Monitoreo

windows-hosts-log-collectionPara la recolección de eventos, este software de monitoreo no requiere un agente por separado para que sea instalado en cada máquina de las que los logs son recolectados.

EventLog Analyzer utiliza una tecnología de recolección sin agentes para recolectar la información de los logs de eventos.

Los logs de eventos recolectados están disponibles en una consola con un conteo basado en errores, mensajes de advertencia y otros eventos específicos. Mediante el uso compartido del escritorio de estos conteos, se puede visualizar la información de los logs de Windows en una forma organizada, haciéndola entendible y accesible para un rápido diagnóstico de temas provienen de los sistemas operativos de Windows.

Monitoreo de Logs de Eventos para Cumplimiento Regulatorio

eventlogmonitoring-complianceEl cumplimiento regulatorio se ha convertido en la más alta prioridad de los administradores de TI. Es crítico para las organizaciones el observar los lineamientos de auditoría de cumplimiento regulatorio dado que el no cumplir con los estándares regulatorios puede derivar en penalidades severas. EventLog Analyzer permite a los administradores de TI cubrir los requerimientos de cumplimiento regulatorio y analizar los logs de eventos de los Servidores Windows y las estaciones de trabajo en tiempo real.

Con EventLog Analyzer se puede generar reportes pre-definidos o de cumplimiento establecido para logs de eventos para cubrir auditorías como HIPAA, GLBA, PCI DSS, SOX, FISMA, ISO ISO 27001/2 y más. Este software de generación de reportes de cumplimiento adicionalmente provee una función de valor agregado que permite crear reportes personalizados para nuevos tipos de cumplimiento y así ayudar a cumplir con las crecientes actas regulatorias que demandan cumplimiento en un futuro.

Forense de Logs y Búsqueda de logs Crudos en la Información de Logs de Eventos

windows-log-forensics-rawlogEventLog Analyzer hace muy fácil la investigación forense de logs mediante su poderoso motor de búsqueda para encontrar ambos, los logs crudos y los logs de eventos en formato y generar reportes forenses al instante en los resultados de las búsquedas.

Los administradores de red pueden ahora buscar logs crudos de eventos e identificar puntualmente la entrada de log que causó la actividad de seguridad, hallar el tiempo exacto en el cual el evento de seguridad ocurrió, quien lo inició y adicionalmente, la localización de donde se inició la actividad.

Esta función de búsqueda en este software de monitoreo de logs de eventos, ayudará para dar seguimiento al intruso de la red y es muy útil para  las autoridades en el análisis forense. Limite la búsqueda con la robusta funcionalidad de búsqueda de logs de Eventos que ofrece una búsqueda fácil, basada en ID´s de Eventos específicos de preocupación para la política de la compañía o una tipo de evento en particular: error, advertencia, falla o categoría variada. Los logs de Windows archivados pueden ser importados y se puede llevar a cabo una minería de incidente de seguridad mediante la búsqueda de los logs crudos de eventos.

reports-windows-logGenerando reportes de los Servidores Windows y las estaciones de trabajo

EventLog Analyzer incluye varios reportes pre-definidos o ya determinados basados en los logs de eventos recibidos de los servidores Windows y las estaciones de trabajo. Estos reportes muestran detalles como inicio de sesión fallidos, inicio de sesión inválido derivado de contraseñas erróneas, bloqueo de cuentas, intentos fallidos para acceder a archivos seguros, manipulación de logs de seguridad, tendencia de eventos, y  más. Utilizando estos reportes, los administradores pueden fácilmente determinar usuarios infractores, y  equipos con un mal funcionamiento, reduciendo de esta manera el ciclo de la detección de fallas.

EventLog Analyzer permite usar varios criterios para generar reportes personalizados en una máquina de Windows que genera información de logs de Eventos. Los criterios son: Mensajes Log, Usuarios, Evento ID y Tipo/Severidad Evento.

set-alerts-windows-machinesConfigura Alertas en Tiempo Real en servidores Windows y Estaciones de Trabajo

EventLog Analyzer genera alertas en tiempo real en los logs de eventos, que notifica a los administradores cuando un evento generado empata con un criterio específico. El alertar ayuda a los administradores a monitorear servidores críticos y procesos en la red Windows en tiempo real.

Se puede definir qué servidor Windows o estación de trabajo o grupo de hosts necesitan ser monitoreados. Además se puede disparar alertas basadas en eventos generados con un tipo específico de log, ID de evento, mensaje Log, o severidad. Las alertas de eventos son enviadas en tiempo real, vía correo, SMS y mediante programas ejecutables personalizados.

Monitoreo de Bitácoras (Logs) del active Directory

El Active Directory forma parte central de la administración del dominio Microsoft Windows. Es un componente muy crítico, ya que la falta de este puede afectar toda la red. Cuando falla el servicio de directorio, los datos se graban rápidamente en las bitácoras. Si las bitácoras son analizadas a fondo, se puede encontrar la causa raíz de la falla. Cualquier operación de los objetos de Active Directory tiene que ser capturada. Las operaciones de Active Directory en cuanto al servicio del directorio y contexto de nombres de origen afecta directamente al usuario que accede y al funcionamiento de las máquinas de la red. Por lo tanto, el seguimiento a las bitácoras de eventos de Active Directory es fundamental para garantizar el buen funcionamiento de las redes.

EventLog Analyzer puede supervisar los registros de Active Directory y cualquier incidente por falla en específico se puede seguir en tiempo real . Con esto, se puede alertar al administrador de la red al instante, por lo que las medidas correctivas se pueden tomar con rapidez para evitar el fracaso de la red.

Se tiene la flexibilidad para crear informes personalizados para monitorear eventos específicos del Active Directory. Los respectivos identificadores de eventos de Active Directory pueden ser monitoreados.

ad-dahsboard

ad-events

Asegúrese de que está habilitado la bitácora para eventos del Active Directory y no es filtrada por el filtro de eventos de EventLog Analyzer.

 

Una breve descripción del Active Directory

Active Directory es un servicio de directorio de redes de dominio de Microsoft Windows. Forma parte del sistema operativo de Windows Server. El servidor que ejecuta Active Directory es llamado controlador de dominio. Proporciona a los administradores la gestión y la seguridad de red centralizada. Autentifica y autoriza a todos los usuarios y equipos de un dominio de red de Windows. Asigna y hace cumplir las políticas de seguridad en todos los equipos. Utiliza Lightweight Directory Access Protocol (LDAP). Los registros de Active Directory se almacena en el Visor de sucesos del sistema operativo de Windows.

IDs relativos al Active Directory

Servidores Windows 2000 y 2003, IDs para eventos del Directorio de Servicios

Windows 565 - Objeto Abierto (Active Directory)

Windows 566 - Operación de Objetos (W3 Active Directory)

Servidores 2008, IDs para eventos del Directorio de Servicios

Windows 4661 - Identificador de Objeto Solicitado

Windows 4662 - Se realizó una operación en un objeto

Windows 4928 - Se estableció un contexto de nombres de origen de réplica de Active Directory

Windows 4929 - Se removió un contexto de nombres de origen de réplica de Active Directory

Windows 4930 - Un contexto de nombres de origen de réplica de Active Directory se modificó

Windows 4931 - Un contexto de nombres de destino de réplica de Active Directory se modificó

Windows 4932 - La sincronización de una réplica de un contexto de nomenclatura de Active Directory ha comenzado

Windows 4933 - La sincronización de una réplica de un contexto de nomenclatura de Active Directory ha terminado

Windows 4934 - Los atributos de un objeto de Active Directory se replicaron

Windows 4935 - Comienza Error de replicación

Windows 4936 - Termina Error de replicación

Windows 4937 - Un objeto persistente se ha quitado de una réplica

Windows 5136 - Un objeto de servicio de directorio se modificó

Windows 5137 - Un objeto de servicio de directorio se creó

Windows 5138 - Un objeto de servicio de directorio no se ha eliminado

Windows 5139 - Un objeto de servicio de directorio se ha movido

Windows 5141 - Un objeto de servicio de directorio se ha eliminado

 

Monitoree el Servidor Syslog con los reportes predefinidos y las alertas de EventLog Analyzer

EventLog Analyzer además de logs de eventos de Windows, también recolecta logs de sistema (Syslogs) de todos los dispositivos de red, tales como Reuters, switches. Linux , y hosts Unix. Y muchos otros dispositivos soportados por el Syslog. Analiza y genera reportes para esto mismo. Los Syslogs no son archivados, de la misma manera que los logs de eventos de Windows, para análisis forense y los requerimientos de cumplimiento regulatorios.

¡Como EventLog Analyzer recolecta, analiza, reporta y archiva los Syslogs en tiempo real!

EventLog Analyzer tiene embebido un servidor Syslog. Recolecta los eventos syslog en tiempo real por medio de escuchar el puerto syslog (UDP). Es posible configurar adicionalmente más de un puerto por el cual escuchar al syslog. Esto es útil cuando algunos de los dispositivos están enviando el Syslog utilizando algún otro puerto. En otras aplicaciones de gestión de logs puede requerirse un servidor syslog separado o retransmisor.

EventLog Analyzer analiza los Syslogs y genera de inmediato reportes que son utilizados por el Administrador de red para monitorear las actividades de red, identificar comportamientos sospechosos (detección de anomalías) y además proveer auditorías con reportes de cumplimiento (SOX, HIPAA, PCI, etc..).

EventLog Analyzer adicionalmente archiva los Syslogs que hay a través de las plataformas y dispositivos heterogéneos. Esto lo hace muy versátil y el más apropiado para las empresas que tienen hosts de varias marcas y dispositivos.

Monitoreo de Logs de la Infraestructura de la Nube

La infraestructura de la Nube se ha convertido más que común con las organizaciones prosperando y expandiéndose en un mundo con menos límites. El moverse a una infraestructura de la nube pública siempre ha sido una preocupación en cuanto a la seguridad de las aplicaciones y los datos hosteados en la nube. Aparte de la seguridad de la información, hay numerosos retos como el forense de red, detección de fallas, monitoreo de fallas y cumplimiento. Para superar esto retos, los profesionales de seguridad de TI, necesitan el monitorear y analizar la información de los logs generada por su infraestructura de la nube en tiempo real. Los logs siendo las huellas digitales de todo lo que ocurre a la aplicación, sistemas y datos hosteados en la nube, proveen información inteligente de seguridad de red,  precisa y  que garantiza la seguridad de la información.

Monitoree las instancias EC2 Windows de los Servicios Web Amazon (AWS) con EventLog Analyzer

aws-log-forensicsAdemás de monitorear servidores físicos y virtuales y la infraestructura, EventLog Analyzer puede ahora recolectar y analizar los logs de las instancias de Windows EC2 de AWS en una localidad centralizada. Para garantizar la seguridad de la información en las instancias EC2 de AWS, EventLog Analyzer provee un soporte forense de logs, por el que se puede realizar una búsqueda de logs en los sistemas heterogéneos y generar reportes forenses como reportes de actividades, de auditoría de sistemas, cumplimiento regulatorios y más.

Para monitorear la información de logs en la instancia EC2 de AWS, se tiene que instalar un agente que recolecte los logs. Revise el procedimiento para instalar el agente para la instancia EC2 en AWS.

 

Con el monitoreo de logs de la infraestructura de la Nube de EventLog Analyzer, se puede:

 

  • Permanecer con un cumplimiento al 100% en las regulaciones TI, protegiendo la información de Negocio crítica en la Nube.
  • Dar seguimiento a los intrusos en la red mediante el rastreo de la traza. Encuentre quien causó una brecha en la red o robo de información realizando el forense de logs.
  • Monitoree el acceso de usuarios privilegiados con reportes de actividades de usuario, listos para usarse.
  • Monitoree los logs de todas las aplicaciones corriendo en la Instancia EC2 de AWS en una localidad centralizada.
  • Realice detección de fallas y monitoree estas fallas en aplicaciones corriendo en la Instancia EC2 de AWS de la infraestructura de la Nube.

Monitoreo de Usuarios Privilegiados

Reporte de Actividades Internas de Usuarios

Los usuarios con privilegios en la red de TI de la empresa (administrador del sistema, administrador de la red y de administrador de base de datos) tienen más poder que los usuarios normales de la red. Son responsables de mantener el sistema disponible y tienen la facultad de crear nuevos perfiles de usuarios y asignar privilegios. Además de añadir o cambiar los privilegios de los usuarios existentes y eliminar usuarios.

Cuando se conceden más privilegios, el número de casos de mal uso por los usuarios es cada vez mayor.

Supervisar a los usuarios privilegiados puede ser un dolor de cabeza para cualquier organización, ya que es en ellos en los que una organización confía el buen funcionamiento de la red. Las regulaciones de cumplimiento demandan que las actividades de los usuarios privilegiados sean monitoreadas. Nos guste o no, no hay otra opción, se deben supervisar sus actividades, sin afectar la productividad.

EventLog Analyzer provee de los informes PUMA más solicitados. Se analiza de cerca la actividad del usuario y se generan los informes. Ofrece informes gráficos para albergar eventos de actividad de usuarios y eventos de actividad de los usuarios. Los informes gráficos dan la imagen visual de las actividades de los usuarios y se pueden profundizar hasta el nivel de registro en bruto. Puede exportar los informes a PDF y CSV. También se puede personalizar este informe para satisfacer los requisitos particulares de cada organización.

 Reporte de Eventos de Actividades del Usuarios

Informe de eventos sobre las actividades de los usuarios para un host o grupo de hosts. Se puede seleccionar un host específico de grupo de hosts. Los siguientes eventos se muestran gráficamente en el informe:

  • Inicios de sesión de usuario.
  • Cierres de sesión de usuario.
  • Inicios de sesión fallidos y exitosos de cuentas de usuario.
  • Error de validación de cuenta de usuario.
  • Eliminación de registros de auditoria.
  • Cambios en la política de auditoria.
  • Objetos a los que accede.
  • Cambios de cuentas de usuario.
  • Cambios en grupo de usuarios.