Correlacion de logs
¿Qué es Correlacion de logs?
Correlacion de logsVincular eventos de varias fuentes de logs por campos comunes, ventanas de tiempo o secuencia para revelar actividad multietapa que un solo log no muestra.
La correlacion de logs la realizan los motores de reglas de los SIEM y las cadenas de deteccion que enlazan eventos relacionados entre hosts, usuarios y sensores de red. Las reglas suelen unir por identificadores como nombre de usuario, IP de origen, nombre de host o hash de proceso y aplican restricciones temporales (por ejemplo cinco logins fallidos seguidos de uno correcto en diez minutos). Los motores con estado siguen sesiones, cuentan ocurrencias y disparan alertas cuando se cumple un patron. Una buena correlacion reduce el ruido frente a las firmas de un solo evento y muestra el avance de la kill-chain. Los retos son la normalizacion de esquemas, el desfase horario, las claves de alta cardinalidad y reglas que generalicen sin generar demasiados falsos positivos.
● Ejemplos
- 01
Correlar el clic en un correo de phishing con una anomalia de proceso hijo en el mismo equipo en 15 minutos.
- 02
Enlazar un login VPN desde un nuevo pais con una asignacion de rol privilegiado en el plano de control cloud.
● Preguntas frecuentes
¿Qué es Correlacion de logs?
Vincular eventos de varias fuentes de logs por campos comunes, ventanas de tiempo o secuencia para revelar actividad multietapa que un solo log no muestra. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Correlacion de logs?
Vincular eventos de varias fuentes de logs por campos comunes, ventanas de tiempo o secuencia para revelar actividad multietapa que un solo log no muestra.
¿Cómo defenderse de Correlacion de logs?
Las defensas contra Correlacion de logs combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Correlacion de logs?
Nombres alternativos comunes: Correlacion de eventos, Regla de correlacion.