¿Por qué necesitamos una solución centralizada que integre logs de nuestra infraestructura?
Muy bien, la respuesta es sencilla. Vivimos en una era en la que todo está informatizado, ahora se está poniendo de moda la seguridad informática (Menos mal), y las infraestructuras que manejamos no son precisamente pequeñas. Hay muchísimas soluciones de seguridad para implementar, las tiene de todo tipo, prevención de intrusos, detección de intrusos, firewalls, NAC’s… Pero eh… ¿Y todo lo que pasa?, ¿Dónde se queda registrado?, me vas a venir a hablar de loggers y de log management… pero y si te digo que hay una herramienta que aparte de hacer todo esto, te dice los ataques que tienes, las posibles vulnerabilidades y encima aprende por si sola, qué, ¿Te quedas loco?, pues no, lo has tenido delante de tus narices todo este tiempo, se llama SIEM (System information and event management) y sí, aparte de correlar eventos y parsear todo, te dice que esta pasando, fuerza bruta, buffer overflow, te están denegando el servicio, o acaban de hacer sudo… (Asústate si en un servidor en producción acaba de pasar esto).
Hay muchos SIEM y entre ellos hay muchas diferencias, el sistema de descubrimiento de log, las sondas, los conectores… Unos tiene machine learning para saber si este pico de conexiones es el partido del Madrid-Barcerlona y otros simplemente te avisan de que o espabilas o se te va a caer el servidor.
Hasta aquí vemos que no es una solución intrusiva, simplemente te avisa, es muy pesado, pero oye ya te ha avisado, ahora tómatelo como quieras. Hay plugins o puedes modificarlos para que actúen cuando se enfrentan a diferentes eventos, pero personalmente no lo recomiendo, puesto que aún le hace mucha falta inteligencia para saber que es lo que debería de hacer en cada caso. Aunque seguramente la líe menos que sus compañeros los humanos…