¿Qué es el análisis de registros?
El análisis de registros es un proceso que proporciona visibilidad del rendimiento y el estado de la infraestructura de TI y las pilas de aplicaciones mediante la revisión e interpretación de los registros que generan la red, los sistemas operativos, las aplicaciones, los servidores y otros componentes de hardware y software.
Los registros suelen contener datos de series temporales que se transmiten mediante recopiladores en tiempo real o se almacenan para su posterior consulta. Los análisis de registros ofrecen información sobre el rendimiento del sistema y pueden indicar posibles problemas, como vulneraciones de seguridad o fallos inminentes de hardware.

Resumen del servicio de nube VMware vRealize Log Insight Cloud

Solucione problemas de forma rápida e inteligente con VMware Aria Operations for Logs
¿Qué ventajas tiene el análisis de registros?
- Conformidad: muchos organismos públicos o normativos exigen que las organizaciones demuestren su conformidad con las numerosas normativas que afectan a casi todas las entidades. El análisis de los archivos de registro puede demostrar que la organización cumple los requisitos de la ley de transferibilidad y responsabilidad de seguros médicos (HIPAA), la normativa del sector de tarjetas de pago (PCI), el Reglamento General de Protección de Datos (RGPD) u otras normativas.
- Mejoras en la seguridad: a medida que la ciberdelincuencia se organiza cada vez más, también aumenta la necesidad de implementar contramedidas más sólidas. El análisis de registros de eventos proporciona herramientas potentes para tomar medidas proactivas y permite realizar exámenes forenses con posterioridad si se produce una vulneración o una pérdida de datos. El análisis de registros puede utilizar los datos de supervisión de la red para detectar intentos de acceso no autorizado, así como garantizar que las operaciones de seguridad y los cortafuegos estén configurados de forma óptima.
- Eficiencia: un marco de análisis de registros ayuda a mejorar la eficiencia en toda la organización. Los recursos de TI de cada departamento pueden compartir un único repositorio de registros, y el análisis de los datos de registro de una organización puede ayudar a detectar errores o tendencias en cada unidad de negocio y departamento, lo que permite una corrección rápida.
- Alta disponibilidad: las medidas oportunas basadas en la información identificada por el análisis de registros pueden evitar que un problema cause tiempo de inactividad. Esto, a su vez, puede ayudar a garantizar que la organización cumpla sus objetivos empresariales y que la organización de TI cumpla sus compromisos de prestar servicios con una garantía de tiempo de actividad determinada.
- Aprovisionamiento controlado: aunque las organizaciones deben planificarse para satisfacer los picos de demanda, el análisis de registros puede ayudar a prever si hay suficiente CPU, memoria, espacio en disco y ancho de banda de red para satisfacer las necesidades actuales y las tendencias previstas. Un aprovisionamiento excesivo desperdicia un valioso dinero del departamento de TI, y un aprovisionamiento deficiente puede provocar interrupciones del servicio cuando las organizaciones se esfuerzan por comprar recursos adicionales o por utilizar los recursos de nube para satisfacer las necesidades.
- Efectividad de los equipos de ventas y marketing: al hacer un seguimiento de ciertos parámetros como el volumen de tráfico y las páginas que visitan los clientes, el análisis de registros puede ayudar a los profesionales de ventas y marketing a comprender qué programas son efectivos y qué se debe cambiar. Los patrones de tráfico también pueden ayudar a rediseñar el sitio web de una organización para facilitar a los usuarios la navegación a la información a la que acceden con más frecuencia.
¿Por qué es importante el análisis de registros?
Dado que los registros ofrecen visibilidad del rendimiento y el estado de las aplicaciones, el análisis de registros permite a los equipos de operaciones y desarrollo comprender y corregir cualquier problema de rendimiento que surja durante las operaciones empresariales.
El análisis de registros tiene muchas funciones importantes, como las siguientes:
- Conformidad con los mandatos normativos y de control, así como con las políticas internas
- Seguimiento de las vulneraciones de seguridad y el robo de datos para determinar las partes responsables y corregir las vulneraciones
- Ayuda en el diagnóstico y la solución de problemas de la pila completa
- Seguimiento de anomalías en el comportamiento de los usuarios para detectar intenciones maliciosas o sistemas en riesgo
- Asistencia en la investigación forense de ataques de programas maliciosos, filtración de datos o robos por parte de los empleados
Algunos organismos reguladores insisten en que las organizaciones realicen análisis de archivos de registro para obtener la certificación de conformidad con sus normativas. Todas las organizaciones que quieran mejorar su situación de ciberseguridad necesitarán experiencia en análisis de registros para ayudar a descubrir y corregir todo tipo de ciberamenazas. Algunos de los requisitos de cumplimiento normativo que ayuda a cumplir el análisis de registros son los especificados a continuación: ISO/IEC 27002: 2013, en relación con el código de prácticas para la seguridad del entorno de TI; PCI DSS V3.1, que se refiere a la privacidad de las tarjetas de crédito y otra información financiera; y NIST 800-137, respecto a la supervisión continua para las organizaciones de TI nacionales.
¿Cómo se lleva a cabo el análisis de registros?
Los registros son relaciones de series temporales de acciones y actividades generadas por las aplicaciones, las redes, los dispositivos (incluidos los programables y los de Internet de las cosas [IdC]) y los sistemas operativos. Por lo general, se almacenan en un archivo o base de datos, o en una aplicación dedicada llamada «recopilador de registros» para el análisis de registros en tiempo real.
Una tarea de los analistas de registros es ayudar a interpretar todos los datos y mensajes de registro en contexto, lo que requiere la normalización de los datos de registro para garantizar el uso de una terminología común. Esto evita la confusión que podría surgir si una función se señaliza como «normal» y otra como «verde» cuando ambas significan que no se requiere ninguna acción.
Por lo general, los datos de registro se recopilan, limpian, estructuran o normalizan para el programa de análisis de registros y, a continuación, se ofrecen para que los expertos los analicen con el fin de detectar patrones o descubrir anomalías, como un ciberataque o el robo de datos. Para analizar los archivos de registro se suelen seguir estos pasos:
- Recopilación de datos: los datos de los sondeos del hardware y el software se recopilan en una base de datos central.
- Indexación de datos: los datos de todas las fuentes se centralizan e indexan para acelerar las búsquedas, lo que mejora la capacidad de los profesionales de TI para detectar rápidamente problemas o patrones.
- Análisis: las herramientas de análisis de registros (como la normalización, el reconocimiento de patrones, la correlación y el etiquetado) se pueden realizar de forma automática mediante herramientas de aprendizaje automático o manualmente cuando sea necesario.
- Supervisión: una plataforma de análisis de registros autónoma en tiempo real puede generar alertas cuando se detectan anomalías. Este tipo de análisis de registros automatizado es la base de la supervisión más continua de toda la pila de TI.
- Informes: tanto los informes como los paneles de gestión tradicionales forman parte de una plataforma de análisis de registros, que proporciona vistas rápidas o históricas de los parámetros para las partes interesadas a cargo de las operaciones, el desarrollo y la gestión.
¿Cuáles son las prácticas recomendadas sobre el análisis de registros?
Estos son algunos de los componentes de un sistema eficaz de análisis de registros:
Normalización: la conversión de los datos de los distintos registros a un formato coherente ayuda a garantizar que se puedan hacer comparaciones de elementos similares y que los datos se puedan almacenar e indexar de forma centralizada, independientemente del origen del registro.
Reconocimiento de patrones: se pueden aplicar herramientas modernas de aprendizaje automático para descubrir patrones en los datos de registro que podrían apuntar a anomalías; por ejemplo, comparando los mensajes ocultos en una lista externa para ayudar a determinar si hay una amenaza oculta en el patrón. Esto puede ayudar a filtrar las entradas de registro rutinarias para que el análisis pueda centrarse en las que puedan indicar algún tipo de anomalía real.
Etiquetado y clasificación: el etiquetado con palabras clave y la clasificación por tipo permite aplicar filtros que pueden acelerar la identificación de datos útiles. Por ejemplo, todas las entradas de la clase «LINUX» se pueden descartar cuando se realiza el seguimiento de un virus que ataca los servidores de Windows.
Correlación: los analistas pueden combinar registros de múltiples fuentes para ayudar a decodificar un evento que no se puede ver fácilmente con los datos de un solo registro. Esto puede ser especialmente útil durante y después de los ciberataques, donde la correlación entre los registros de los dispositivos de red, los servidores, los cortafuegos y los sistemas de almacenamiento podría indicar datos relevantes para el ataque e indicar patrones que no eran evidentes en un solo registro.
Inteligencia artificial: las herramientas de inteligencia artificial y aprendizaje automático incorporadas en los sistemas modernos de análisis de registros pueden reconocer y descartar o ignorar automáticamente las entradas de registro que no ayudan a descubrir anomalías o vulneraciones de seguridad. Esta función, que a veces se denomina «ignorancia artificial», permite el análisis de registros para enviar alertas sobre eventos rutinarios programados que no se produjeron cuando debían.
Estructuración: para aportar el máximo valor, todos los datos de registro deben estar en un repositorio central y estructurados de manera que sean comprensibles para las personas y las máquinas. Gracias a los avances en las herramientas de análisis de registros, gran parte del trabajo más duro se puede hacer de forma automática. Por lo tanto, las organizaciones deben practicar el registro de pila completa en todos los componentes del sistema para obtener la vista más íntegra de las actividades y las anomalías.