Gestión y Monitorización de Logs Sentinel

Jacinto Grijalba GonzálezSecurity Solutions

Technology Sales Specialist

jgrijalba@novell.com

© 2011 NetIQ Corporation. All rights reserved.2

Log Management

• Informes de auditoría y cumplimiento• Recolección, Almacenamiento y Análisis• Analíticas avanzadas

CISO

NetIQ®Security SolutionsNetIQ®Sentinel™

© 2011 NetIQ Corporation. All rights reserved.3

NetIQ Sentinel Log Manager Recopilación, Almacenamiento y Gestión de Logs

© 2011 NetIQ Corporation. All rights reserved.4

Log Management

Monitorización y Correlación

• Monitorización en tiempo real• Análisis de históricos• Respuestas automáticas

• Informes de auditoría y cumplimiento• Recolección, Almacenamiento y Análisis• Analíticas avanzadas

CISO

NetIQ®Security SolutionsNetIQ®Sentinel™

© 2011 NetIQ Corporation. All rights reserved.5

Pulse para editar los formatos del texto del esquema

Segundo nivel del esquema

− Tercer nivel del esquema

Cuarto nivel del esquema

− Quinto nivel del esquema

− Sexto nivel del esquema

− Séptimo nivel del esquema

− Octavo nivel del esquema

• Noveno nivel del esquemaClick to edit the outline text format (24pt)

– Second Outline Level (20pt)

– Third Outline Level (16pt)

– Fourth Outline Level (14pt)

– Fifth Outline Level (12pt)

Descripción: entorno centralizado para visualizar en tiempo real los eventos generados para monitorización, informes y gestión de incidencias

Beneficios:

•Identificar tendencias, ataques o violaciones

•Priorizar y gestionar esfuerzos de corrección

•Manipular e interactuar con datos en tiempo real

•Generación manual de incidencias

NetIQ Sentinel SIEM Monitorización, Análisis y Correlación

© 2011 NetIQ Corporation. All rights reserved.6

Log Management

Monitorización y Correlación

Integración con la identidad

• Monitorización en tiempo real• Análisis de históricos• Respuestas automáticas

• Informes de auditoría y cumplimiento• Recolección, Almacenamiento y Análisis• Analíticas avanzadas

• Gestión del riesgo en los accesos a la información• Monitorización de violaciones de seguridad de la identidad• Visión global

CISO

NetIQ®Security SolutionsNetIQ®Sentinel™

© 2011 NetIQ Corporation. All rights reserved.7

Gestión del riesgoHerramientas operativas del día a día

¿Quién?

¿Como?

¿Por qué?

Nueva Versión Sentinel 7

© 2011 NetIQ Corporation. All rights reserved.9

Sentinel

Sentinel LM

Anormaly Detection

Security Intelligence

NetIQ Sentinel7

NetIQ Sentinel LM

Dos Soluciones complementadas entre sí

Una solución única con las fortalezas de ambas dos

Solución diferenciadora

NetIQ Security ManagementSIM + SEM = SIEM

© NetIQ, Inc. All rights reserved.10

RE

SP

UE

ST

A

NetIQ®Security Solutions Modelo de referencia de Burton

LoggingAgente

Gestión de Identidades• Control de Accesos• Directorios• Aprovisionamiento

LoggingAgente

Gestión de Sistemas• Configuración de Host y DB• Gestión de parches• Gestión de vulnerabilidades

LoggingAgente

Control Perimetral• Routers• Firewalls• Escaneres de contenido

LoggingAgente

Detección de Intrusiones / Respuestas• Network IDS• Network IPS• Otros sensores

INPUTS

RECOLECCION / AGREGACION / CORRELACION

ANALISIS EN TIEMPO REAL / RESPUESTAS ANALISIS EN TIEMPO REAL / RESPUESTAS

INTEGRACION DE OPERACIONES ADMINISTRACION / VISUALIZACION

Recopiladores

Distribuidos

Políticas Reglas / de

Cumplimiento

Central / Recopilado

Master

RE

SP

UE

ST

A

Source: Burton Group – Diana Kelley

Raw Log

Alertas de seguridad

Informes

Visualización Network / Security Operations Help Desk Ticketing

Firmas / Patrones

© 2011 NetIQ Corporation. All rights reserved.11

What’s Happening In My Environment?

Anomaly Detection • Discrepancy or deviation from

an established rule, trend, or pattern

• Something I can’t necessarily foresee but I want to monitor

Correlation• Relationship between two or

more sets of data• Something I can foresee and

want to take immediate action

© 2011 NetIQ Corporation. All rights reserved.12

Security IntelligenceAnomaly Detection

Anomaly detection es la manera más eficiente de detectar ataques y descubrir nuevos ataques no identificados en reglas ya existentes

● Rápida detección de anomalías analizando solo cuando los cambios ocurren

● La correlación es un sistema muy efectivo, pero se debe saber la regla que activará un suceso ya descubierto

● Security Intelligence da un valor agregado sin necesidad de construir reglas de correlación.

● Security Intelligence complementa a las reglas de correlación autalimentado el ciclo de ataques conocidos.

© 2011 NetIQ Corporation. All rights reserved.13

Interfaz Security Intelligence

© 2011 NetIQ Corporation. All rights reserved.14

+1 713.548.1700 (Worldwide)888.323.6768 (Toll-free)info@netiq.comNetIQ.com

Worldwide Headquarters1233 West Loop South Suite 810 Houston, TX 77027 USA http://community.netiq.com