CaseWare Windows Log Analysis-SP

Anuncio
DESCRIPCIÓN GENERAL DE LA SOLUCIÓN
CASEWARE™ MONITOR PARA LOS REGISTROS DE
SEGURIDAD DE WINDOWS
Registros de seguridad de Windows
En la mayoría de los entornos de Windows, se utilizan muy poco los registros de auditoría. Suelen ser examinados sólo con
fines de investigación y, por lo general, luego de algún incidente. Sin embargo, cuando se los configura correctamente y se
los supervisa de manera eficiente, tienen un valor muy importante.
El registro en el sistema genera una gran cantidad de datos que provienen de diferentes fuentes. Como resultado, el
proceso de consolidación, inspección y análisis de esos datos puede ser tedioso e ineficaz. Los problemas se agravan
debido a una configuración inadecuada, lo que tiene como resultado registros saturados, anulados, incompletos e inútiles.
Existen soluciones disponibles para facilitar la consolidación y agregación de registros tanto locales como remotos de toda
la organización mediante el uso de herramientas de software o dispositivos de hardware. Lo que falta en las soluciones
actuales de análisis de registros es la capacidad de filtrar de manera inteligente la información pertinente necesaria para
determinar actividades de alto riesgo, enviar notificaciones a las personas correspondientes, sin importar su capacidad
técnica, documentar la resolución de excepciones y establecer un flujo de trabajo para escalar excepciones según sea
necesario.
Políticas de auditoría
La auditoría para eventos de seguridad en sistemas informáticos críticos es un requisito esencial de una buena política de
seguridad. La política de auditoría de Windows define qué eventos de seguridad tienen resultados de acierto o de error
auditados y los registra en el Registro de seguridad. Por ejemplo, Windows 2003 cuenta con nueve políticas de auditoría
pero ya que está predeterminado, sólo dos están habilitadas.
•
•
Eventos de inicio de sesión en la cuenta: auditoría de aciertos
Eventos de inicio de sesión: auditoría de aciertos
Las otras categorías de auditoría (eventos de administración, acceso al servicio de directorio, acceso a objetos, cambio de
política, uso de privilegios, seguimiento de procesos y eventos del sistema) no están configuradas para auditoría. Cada
organización debe determinar su postura de seguridad y habilitar la auditoría correspondiente. Independientemente de la
configuración de su infraestructura, el análisis y monitoreo efectivo de los registros es necesario para garantizar que se
logren los objetivos de seguridad, riesgos y control.
Solución de CaseWare™ Monitor
Nuestra solución se centra en la automatización de los análisis, la presentación de informes, las alertas y la administración
de excepciones dentro del entorno de registros de Windows de la organización. Como se indica en la Figura 1, las políticas
de auditoría se configuran y se distribuyen mediante Políticas de grupo a los clientes y servidores dentro del entorno. Los
resultados de los registros se recopilan en un servidor centralizado de CaseWare™ Monitor para su análisis e interrogación.
Una vez finalizado, CaseWare™ Monitor utiliza un marco de monitoreo que examina todas las actividades electrónicas para
detectar eventos notificables y alertar a las personas correspondientes.
Figura 1 — Monitoreo de eventos de Windows
Cliente de Windows
Cliente de Windows
Registros y configuraciones
Registros y configuraciones
Excepciones
Servidor de aplicación CaseWare™ Monitor
Marco CaseWare™ Monitor
Definiciones de riesgo y control
Centro de desarrollo de normas
Sistemas de alerta
Enrutamiento de excepciones
Escalamiento de excepciones
Administración de programaciones
Tendencias
Reportes
Tableros
Registros y configuraciones
Registros y configuraciones
Servidor de Windows
Registros y configuraciones
Servidor de Windows
Controlador de dominio
de Active Directory (AD)
Flujo de trabajo y presentación de informes
Cuando se detectan eventos o secuencias de eventos, se activan alertas y le sigue un estricto proceso de corrección para
garantizar que las actividades de alto riesgo sean abordadas según lo estipulado por las políticas de seguridad de la
compañía.
Otros aspectos clave de la solución son la automatización de los reportes y la visualización del entorno de control.
Los siguientes tableros estándar se incluyen en el marco:
• Tendencias de los resultados en todas las fechas
• Agrupación por clasificación de riesgo
• Agrupación por estado (nuevas, pendientes, atrasadas, etc.)
• Comparaciones entre las redes y los usuarios
E J E M P LO S D E R E P O R T E S Y A L E R TA S
Alertas basadas en las actividades
Intentos fallidos de acceso a un archivo compartido
Creación de nuevas cuentas
Creación de políticas y modificaciones a políticas existentes
Las personas que están de vacaciones tienen acceso a recursos del sistema
Acceso a recursos del sistema en horarios no habituales
Identificar personas agregadas a grupos específicos, por ejemplo, VPN, administrador, asesores,
usuarios del sistema, etc
Se agrega un controlador de dominio
Identificar rápidamente a usuarios con varios bloqueos forzados
Identificar intentos de inicio de sesión en estaciones de trabajo restringidas
Identificar intentos de inicio de sesión con un tipo de inicio de sesión no válido
Identificar intentos de inicio de sesión con contraseñas que caducaron y sin cambio de contraseña
Identificar intentos de inicio de sesión de cuentas inhabilitadas
Identificar intentos de inicio de sesión mediante el uso de cuentas que caducaron
Identificar nuevo inicio de sesión con privilegios especiales asignados
Inicio de sesión correcto con una cuenta de servicio en la consola
Cuentas reactivadas
Identificar intentos de inicio de sesión por parte de nombres de dominio no reconocidos
Error de autenticación del Servidor Radius
Identificar intentos de inicio de sesión con la cuenta predeterminada del administrador
Inicio de sesión incorrecto con el nombre de usuario del Administrador pero con un dominio
desconocido
Identificar inicios de sesión por lotes por parte de cuentas asignadas a personas
Usuarios con contraseñas más antiguas que la duración requerida para una contraseña
Usuarios con acceso telefónico al servidor de acceso remoto habilitado
Cuentas de equipo inactivas
Identificar usuarios a los que se les otorgaron nuevas maneras para conectarse a las computadoras
Alertas de configuración de Active Directory
Cuentas que nunca iniciaron sesión
Cuentas que caducaron
Usuarios que no necesitan cambiar contraseñas
Uso de cuentas de servicio
Cuentas que no están vinculadas a un usuario específico sino que son utilizadas por un grupo
Identificar usuarios/objetos extraños en los grupos del Controlador de dominios
Identificar servidores sin registro habilitado
Identificar ex empleados con cuentas activas
Cambios en las cuentas de usuario
Identificar cambios de grupo (que no sea eliminación, creación o cambio de membresía)
Identificar cambios en grupos universales con seguridad habilitada
Identificar cambios de Dominio y Relaciones de confianza en el dominio
BENEFICIOS
DESAFÍOS DEL NEGOCIO
SOLUCIÓN DE CASEWARE™ MONITOR
REQUISITOS DE LAS PARTES INTERESADAS
Requisitos de cumplimiento y escalada
de riesgos
•
Proporciona definición y monitoreo de controles a nivel
empresarial y garantiza su implementación efectiva en todos los
procesos de negocio
•
•
Detecta violaciones en la fuente de datos
Distribuye los resultados en toda la empresa por normas definidas
por el cliente a través de tableros, correo electrónico, SMS
Proporciona un flujo de trabajo para la corrección, incluida la
detección de la resolución de errores
Permite a los usuarios definir controles en varios procesos de
negocio con una vista consolidada
Aumenta la eficiencia al hacer repetitivos los análisis con la
capacidad de adaptar tolerancias
Las reglas comerciales y los parámetros se pueden personalizar y
las organizaciones pueden construir nuevas lógicas
El monitoreo también puede aplicarse a las métricas del negocio
Las excepciones se identifican tan pronto como se producen
AUTOMATIZACIÓN
Automatizar la detección y corrección de
violaciones en el control
•
•
•
•
•
•
INTEGRACIÓN
Se integra perfectamente a las soluciones
existentes
•
•
•
•
No se requieren modificaciones a los sistemas subyacentes que
se monitorean
Acceso no intrusivo a los datos y no se pueden modificar los datos
de origen
Seguridad del usuario y del grupo con soporte LDAP
Criptografía de seguridad
OPTIMIZACIÓN DEL PROCESO
Aumenta la eficiencia del proceso y reduce
los costos
•
•
•
•
•
Las excepciones se detectan de manera más oportuna
Disminuye los costos re recuperación
Mayor nivel de automatización
El cumplimiento y otros informes se generan de manera
automática
El conocimiento y la experiencia se capturan en los sistemas de
control y se hacen repetibles
CaseWare RCM Inc.
1420 Blair Place, Suite 400
Ottawa, Ontario, Canadá K1J 9L8
Teléfono: +613 842 7920 ext. 712
Fax: +613 842 9475
Correo electrónico: [email protected]
www.caseware.com
Copyright © 2010 CaseWare RCM Inc. Todos los derechos reservados. Ninguna parte de este manual deberá ser transmitida, en ninguna forma o por
ningún medio (fotocopia, electrónico, mecánico, grabado o de otra forma) o reproducida, almacenada en un sistema de recuperación, sin el permiso por
escrito del Editor. Todas las marcas registradas son propiedad de sus respectivas compañías.
Descargar