Definición de correlación de eventos.

La correlación de eventos toma datos de las bitácoras de las diversas aplicaciones o de equipos, para luego analizar los datos e identificar las relaciones entre ellos. Las herramientas que utilizan la correlación de eventos pueden entonces realizar acciones, como enviar alertas por fallos, basándose en reglas definidas por el usuario.

La correlación y el monitoreo del rendimiento de la infraestructura de TI han sido elementos clave durante mucho tiempo. Ambas prácticas ayudan a los departamentos de TI a determinar la causa subyacente de un problema y resolverlo rápidamente para minimizar cualquier impacto y pérdida de negocio.

Casos de uso y técnicas de correlación de eventos.

En esencia, la correlación de eventos es una técnica que relaciona varios eventos con patrones identificables. Si esos patrones amenazan la seguridad, entonces se puede imponer una acción. La correlación de eventos también se puede realizar tan pronto como los datos sean indexados. Algunos casos importantes de uso incluyen:

• Inteligencia de datos
• Apoyo a las operaciones
• Análisis de causa raíz
• Detección de fraude

Es posible manejar eventos a través de algo tan simple como syslog, que le permite ver nuevos eventos a medida que llegan, pero la correlación de eventos es la técnica que asocia eventos variables entre sí. Esto se logra a menudo con el uso de herramientas de correlación de eventos y sistemas de alerta. Además, la correlación de eventos puede ayudar a los equipos de seguridad a identificar los más importantes.

Ejemplos de correlación de eventos.

Un ejemplo de correlación de eventos puede ocurrir con la detección de intrusión.

Tal vez hay una cuenta de empleado a la que no se ha accedido durante años, y de repente se nota un gran número de intentos de acceso. Esa cuenta puede empezar a ejecutar comandos sospechosos. A través de la correlación de eventos, un sistema de detección de intrusión puede enviar una alerta indicando que un ataque está en progreso.

¿Y si entre los miles de intentos de inicio de sesión, uno tuvo éxito? La correlación entra en juego al marcar este evento como “curioso”. Entonces, puede notar que 15 minutos antes, un puerto había sido escaneado. Ahora, puede que note que la dirección IP del escáner de puertos y los intentos de inicio de sesión son los mismos. Aquí es donde el contexto se añade a la correlación.

Entonces, el evento se marca con una preocupación elevada. Estos son eventos específicos que pueden relacionarse automáticamente entre sí. En el otro extremo, si realiza una correlación manual, se tendrá que confiar en la suerte más que en la habilidad, porque necesitará añadir contexto a los datos. Además, hay que ver cómo encajan las piezas para resolver el rompecabezas.

Otro ejemplo es la gestión de incidentes, en la que se escuchan cientos de alarmas que indican que los servidores y los servicios relacionados ya no son accesibles. Las herramientas de correlación de eventos pueden analizar los datos para determinar la causa raíz, lo que permite al departamento de TI centrarse en la implementación de una solución en lugar de dedicar un valioso tiempo a tratar de identificar la causa.

En entornos complejos, se pueden generar miles o millones de eventos en un corto periodo de tiempo. Estos eventos pueden variar desde críticos hasta informativos. Mientras que un buen analista puede identificar la causa raíz de las fallas, este tipo de conocimiento es costoso de obtener. Por lo tanto, la tecnología de correlación de eventos fue diseñada para automatizar y registrar las interrelaciones entre eventos en curso, de una manera más rentable.

Beneficios de la correlación de eventos.

La correlación de eventos ofrece un análisis lógico y de contexto completo a través de una secuencia de eventos relacionados. Como resultado, los analistas de seguridad pueden tomar una decisión sobre qué hacer para responder e investigar.

Se trata de convertir los datos crudos en alertas, alarmas e informes accionables con la ventaja de reglas definidas por el usuario. Entonces, la acción apropiada puede ser ejecutada. Algunos de los beneficios de usar técnicas de correlación de eventos incluyen:

• Visibilidad de amenazas en tiempo real. La correlación y el análisis activo de eventos pueden ayudar a los departamentos de ciberseguridad a detectar amenazas en tiempo real. Recordemos que las fallas, las brechas y los problemas operativos afectan a las empresas; en lugar de ello, estos pueden evitarse con éxito.
• Vigilancia de la seguridad de la red. La red puede ser monitorizada en todo momento. Además, se pueden identificar y remediar las fallas que afectan a los servicios empresariales.
• Informes de cumplimiento continuo. Las regulaciones federales, estatales y locales pueden requerir diferentes niveles de cumplimiento con los sistemas de seguridad y de redes. Las técnicas de correlación de eventos pueden utilizarse para garantizar un seguimiento constante de todas las infraestructuras de TI. Por medio de la correlación de eventos se pueden generar informes para detallar las amenazas y eventos relacionados con la seguridad, junto con los pasos necesarios para prevenir riesgos potenciales.
• Reduce los costos operativos. Las herramientas de correlación de eventos automatizan procesos como el análisis de grandes flujos de trabajo para reducir el número de alertas relevantes. Como resultado, el departamento de TI puede dedicar menos tiempo a tratar de darle sentido a todo esto y más tiempo a resolver las amenazas inmediatas.
• Mejora la gestión del tiempo. Se necesitan menos recursos ya que las herramientas de correlación de eventos son fáciles de usar y eficientes. Además, pueden ahorrar mucho tiempo para la correlación y el análisis de eventos.

Las técnicas de correlación de eventos están diseñadas para detectar eventos, darles sentido y asignar la acción de control apropiada. A medida que los datos se vuelven más complejos, la necesidad de inteligencia de correlación continuará aumentando en importancia.