Agregacion de logs
¿Qué es Agregacion de logs?
Agregacion de logsRecopilacion, normalizacion y almacenamiento centralizado de los registros de eventos de muchos sistemas en una sola plataforma para busqueda, analisis y retencion.
La agregacion de logs consiste en enviar los registros de servidores, endpoints, servicios en la nube, dispositivos de red y aplicaciones a un repositorio central, como un SIEM o un data lake. Agentes o reenviadores syslog recogen los eventos brutos, los normalizan a un esquema comun, los enriquecen con metadatos y los escriben en almacenamiento indexado para que los analistas puedan consultar toda la infraestructura. Es la base de la deteccion, la caza de amenazas, la respuesta a incidentes y la retencion para cumplimiento. Las preocupaciones operativas incluyen sincronizacion horaria, cobertura de fuentes, precision del parseo, coste de almacenamiento y proteccion de la integridad de los logs.
● Ejemplos
- 01
Reenviar auditd de Linux, el registro de eventos de Windows y AWS CloudTrail a un mismo indice del SIEM.
- 02
Usar un relay syslog para enviar registros del firewall a un bucket de almacenamiento frio durante un ano.
● Preguntas frecuentes
¿Qué es Agregacion de logs?
Recopilacion, normalizacion y almacenamiento centralizado de los registros de eventos de muchos sistemas en una sola plataforma para busqueda, analisis y retencion. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Agregacion de logs?
Recopilacion, normalizacion y almacenamiento centralizado de los registros de eventos de muchos sistemas en una sola plataforma para busqueda, analisis y retencion.
¿Cómo funciona Agregacion de logs?
La agregacion de logs consiste en enviar los registros de servidores, endpoints, servicios en la nube, dispositivos de red y aplicaciones a un repositorio central, como un SIEM o un data lake. Agentes o reenviadores syslog recogen los eventos brutos, los normalizan a un esquema comun, los enriquecen con metadatos y los escriben en almacenamiento indexado para que los analistas puedan consultar toda la infraestructura. Es la base de la deteccion, la caza de amenazas, la respuesta a incidentes y la retencion para cumplimiento. Las preocupaciones operativas incluyen sincronizacion horaria, cobertura de fuentes, precision del parseo, coste de almacenamiento y proteccion de la integridad de los logs.
¿Cómo defenderse de Agregacion de logs?
Las defensas contra Agregacion de logs combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Agregacion de logs?
Nombres alternativos comunes: Centralizacion de logs, Recoleccion de logs.
● Términos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- forensics-ir№ 627
Análisis de registros
Revisión sistemática de registros de sistema, aplicaciones y seguridad para detectar, investigar y reconstruir eventos relevantes para la seguridad.
- defense-ops№ 628
Correlacion de logs
Vincular eventos de varias fuentes de logs por campos comunes, ventanas de tiempo o secuencia para revelar actividad multietapa que un solo log no muestra.
- defense-ops№ 416
Monitorizacion de Integridad de Archivos (FIM)
Control de seguridad que detecta cambios inesperados en archivos criticos del sistema operativo, aplicaciones y configuracion comparandolos con una linea base criptografica.
- forensics-ir№ 524
Respuesta a incidentes
Proceso organizado para preparar, detectar, analizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, capturando además lecciones aprendidas.