Correlacion de logs
¿Qué es Correlacion de logs?
Correlacion de logsVincular eventos de varias fuentes de logs por campos comunes, ventanas de tiempo o secuencia para revelar actividad multietapa que un solo log no muestra.
La correlacion de logs la realizan los motores de reglas de los SIEM y las cadenas de deteccion que enlazan eventos relacionados entre hosts, usuarios y sensores de red. Las reglas suelen unir por identificadores como nombre de usuario, IP de origen, nombre de host o hash de proceso y aplican restricciones temporales (por ejemplo cinco logins fallidos seguidos de uno correcto en diez minutos). Los motores con estado siguen sesiones, cuentan ocurrencias y disparan alertas cuando se cumple un patron. Una buena correlacion reduce el ruido frente a las firmas de un solo evento y muestra el avance de la kill-chain. Los retos son la normalizacion de esquemas, el desfase horario, las claves de alta cardinalidad y reglas que generalicen sin generar demasiados falsos positivos.
● Ejemplos
- 01
Correlar el clic en un correo de phishing con una anomalia de proceso hijo en el mismo equipo en 15 minutos.
- 02
Enlazar un login VPN desde un nuevo pais con una asignacion de rol privilegiado en el plano de control cloud.
● Preguntas frecuentes
¿Qué es Correlacion de logs?
Vincular eventos de varias fuentes de logs por campos comunes, ventanas de tiempo o secuencia para revelar actividad multietapa que un solo log no muestra. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Correlacion de logs?
Vincular eventos de varias fuentes de logs por campos comunes, ventanas de tiempo o secuencia para revelar actividad multietapa que un solo log no muestra.
¿Cómo funciona Correlacion de logs?
La correlacion de logs la realizan los motores de reglas de los SIEM y las cadenas de deteccion que enlazan eventos relacionados entre hosts, usuarios y sensores de red. Las reglas suelen unir por identificadores como nombre de usuario, IP de origen, nombre de host o hash de proceso y aplican restricciones temporales (por ejemplo cinco logins fallidos seguidos de uno correcto en diez minutos). Los motores con estado siguen sesiones, cuentan ocurrencias y disparan alertas cuando se cumple un patron. Una buena correlacion reduce el ruido frente a las firmas de un solo evento y muestra el avance de la kill-chain. Los retos son la normalizacion de esquemas, el desfase horario, las claves de alta cardinalidad y reglas que generalicen sin generar demasiados falsos positivos.
¿Cómo defenderse de Correlacion de logs?
Las defensas contra Correlacion de logs combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Correlacion de logs?
Nombres alternativos comunes: Correlacion de eventos, Regla de correlacion.
● Términos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- defense-ops№ 626
Agregacion de logs
Recopilacion, normalizacion y almacenamiento centralizado de los registros de eventos de muchos sistemas en una sola plataforma para busqueda, analisis y retencion.
- defense-ops№ 307
Ingenieria de deteccion
Disciplina de disenar, probar, desplegar y mantener detecciones de seguridad como codigo, con cobertura medible sobre tecnicas adversarias.
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
- defense-ops№ 1062
SOAR
Plataforma que automatiza y orquesta los flujos de trabajo del SOC encadenando detecciones, enriquecimientos y acciones de respuesta en playbooks que se ejecutan en las herramientas de seguridad.