"Monitorizamos procesos de negocio, no solamente servidores. Barcelona/04 es vital para nuestro día a día"

"Antes, podíamos llegar a la oficina por la mañana y encontrarnos que los procesos nocturnos habían fallado. Ahora podemos descansar tranquilos."

"El proyecto duró entre 3 y 4 semanas, fue realmente muy rápido"

"Las soluciones de monitorización tradicionales son muy costosas, complejas e inflexibles"

"Los competidores que conozco de los productos de Barcelona/04 están más lejos de las realidades de los clientes"

"Prácticamente las quejas de los usuarios ya no existen"

"Además de ofrecer un mejor costo, nos resultó funcional y simple de manejar. Es muy visual, fácil de administrar y mantener"

"El tiempo de respuesta del sistema se redujo inmediatamente a menos de la mitad del nivel máximo establecido en nuestro SLA"

"La suite de seguridad de Barcelona/04 ha obtenido una clasificación de excelente"

 

"Es fácil de usar, tiene tiempos de implantación increíblemente cortos, es más económica y el know-how se queda en ING"

"Para cumplir los objetivos de Sligro, la opción más acertada era VISUAL Message Center de Barcelona/04, capaz de hacer exactamente lo que necesitaban"

"¡Recomendaría totalmente la solución!"

"Al poco tiempo de instalarlo, descubrimos un error en un programa, y pudimos resolverlo incluso antes de que el usuario llamara al Departamento Informático.”

"Barcelona/04 nos ayuda a ser proactivos. Como resultado, los clientes están altamente satisfechos, y también nuestro personal técnico"

"La implementación debía tomar 14 días y realmente tomó 14 días. Estamos muy contentos con la precisión y responsabilidad del equipo de Barcelona/04"

"La solución de Barcelona/04 ayudó a mejorar la calidad de servicio de Banco Patagonia"

"Es una solución compatible con ITIL V3 que se adapta a las necesidades de cualquier CIO"

 “Optimizamos nuestro proceso de control y monitoreo y logramos una gestión de seguridad simple y homogénea”

"Gracias a VISUAL Message Center, el Departamento de IT obtiene a diario información en tiempo real de cualquier incidente en la seguridad de la compañía"

"Fuimos capaces de alinear dos mundos: IT y negocio. Ahora podemos controlar los procesos completamente y determinar la causa raíz de un incidente realmente rápido"

"La implantación fue exitosa. Se realizó en el tiempo estimado, sin ningún problema"

"El valor que obtenemos de Barcelona/04 es inmenso comparado con su coste. VISUAL Message Center mantiene nuestros tiempos de respuesta en un nivel óptimo y protege nuestros servicios de negocio críticos"

"El proyecto realmente funciona. Esto da visibilidad y credibilidad al departamento"

"Ahora podemos decir que somos la sucursal más avanzada en nuestra región en temas de monitorización"

"Barcelona/04 nos dio visibilidad y proactividad"

"VISUAL Message Center nos permite llevar a cabo chequeos adicionales que antes no podíamos hacer, y nos da la estabilidad y la habilidad para monitorizar nuevos elementos con más eficiencia que antes"

"Sin Barcelona/04 no es posible cumplir con nuestro SLA"

"La implementación fue rápida y sencilla"

"Elegimos Barcelona/04 por sus rápidos tiempos de implantación, sumados a la profesionalidad que vimos en su gente"

"Centralizamos en una sola consola los eventos de todas nuestras plataformas, sistemas y bases de datos. Los reportes personalizados nos ayudan a demostrar la consecución de los Niveles de Servicio acordados"

"Ni siquiera podemos imaginar trabajar sin los productos Barcelona/04, y siempre que hemos necesitado soporte han estado inmediatamente disponibles"

"Barcelona/04 nos ha permitido implementar rápidamente controles SOX, y VISUAL Message Center mantiene sana nuestra infraestructura TI. ¡Me encantan!"

"Afortunadamente decidimos realizar este proyecto con Barcelona/04, porque la nueva regulación es aún más exigente"

"Con Barcelona/04, hemos dado un gran salto cualitativo aumentando la calidad de nuestros servicios de negocio"

"Lo que me gusta es la flexibilidad que ofrece para manejar incidentes de forma proactiva y de acuerdo a su impacto en el negocio. Otorga visibilidad a procesos y aplicaciones, y su usabilidad en múltiples plataformas"

"Saber en qué estado están los componentes de infraestructura te da el poder y la tranquilidad de saber que está todo funcionando"

“Con Barcelona/04, Itaú ya superó diversas auditorías internas, externas y del Banco Central”

 

"Estamos monitorizando a fondo, con VISUAL Message Center, cada uno de los servidores, lo que antes era imposible de realizar por falta de tiempo. El software lo hace por nosotros"

"Barcelona/04 nos ha ayudado a fortalecer las políticas de seguridad lógica de nuestros sistemas y nuestros procesos de control de accesos de una forma extremadamente fácil"

"No tuvimos ninguna observación (de auditoría) y regularizamos los puntos de la auditoría anterior"

"VISUAL Message Center nos ha ayudado a implementar fácilmente ITIL. Nuestros gestores y clientes están felices, y desde luego también lo estamos nosotros"

"Con este proyecto hemos mejorado nuestros sistemas sin aumentar nuestros recursos. Barcelona/04 nos ha ayudado de manera excepcional"

Más testimonios

Home | Soluciones | Por Área | Seguridad | Correlacion de Eventos

Correlación de Eventos

Printer-friendly versionSend to friend

¿A qué llamamos Correlación de Eventos?

Inicialmente, correlación de eventos es la posibilidad de relacionar eventos entre sí, en pos de una finalidad específica. Muchas veces, sólo se menciona a la correlación como a una repetición de un mismo evento en el tiempo; o a la ejecución de una alerta, un aviso, o a una acción correctiva. Sin embargo, cuando con nuestros clientes hablamos de correlación surgen matices y es por eso que consideramos importante abordar este tema en profundidad

Correlación de Eventos es…

  • Filtrado de eventos: descartar eventos irrelevantes, duplicados y falsos positivos.
  • Mejora de eventos: agregar información relevante inexistente en el evento original.
  • Enmascarado de eventos (Event masking): agrupar diversos eventos en un único evento. Ej Fallo de creación de cuenta.
  • Análisis de Causa/Raíz: análisis de las dependencias entre eventos que determina la real causa del problema.
  • Automatización de acciones: generación de alertas, acciones correctivas y gestión de incidentes.

Fuente: http://en.wikipedia.org/wiki/Event_correlation

Las soluciones de Barcelona/04 disminuyen la complejidad de análisis y dan mayor precisión y confianza al proceso de inferencia, buscando la reacción proactiva e inmediata ante la aparición de cualquier evento relevante. Ante la existencia de gran volumen de eventos, hacer un análisis de los mismos puede ser muy complejo y a veces parece imposible en la práctica; pero mediante mecanismos que combinan eventos y reglas de comportamiento, se pueden deducir o inferir situaciones o casos de problemas a resolver. Para simplificar el análisis se han reducido aquí las necesidades de correlación de eventos a tres casos prácticos con los cuales nos enfrentamos habitualmente:

1 - Ocurrencias conocidas de eventos

Este tipo de correlación puede utilizar Filtrado de eventos y Enmascarado de eventos. El objetivo es que ante la generación de múltiples eventos que están asociados a un mismo “hecho”, sólo se destaque el que resulta de interés.

Ver ejemplo.

2 - Enriquecimiento de eventos

Este tipo de correlación se relaciona con la Mejora de eventos y permite agregar información relevante que originalmente no existe al evento, así como también la adaptación del mismo para su correcta interpretación.

Casos típicos encontrados:

  • Traducciones de todo tipo, incluyendo códigos de mensaje, códigos de error, identificadores de archivos, usuarios u objetos, etc.
  • Adición de información no existente relevante al evento.
  • Sugerencias que sean significativas al evento.
  • Acciones a tomar ante dicho evento.
  • Categorización de eventos en base a criterios personalizables

Ver ejemplo.

3 - Posibilidades lógicas o patrones de relación

La aproximación por posibilidades lógicas plantea patrones de correlación generales (sin interesar qué evento es o de qué plataforma viene) y la idea es dar solución a ellos. Un patrón es la forma en que los eventos se correlacionan.

Los patrones con los que trabaja Barcelona/04 son los siguientes:

  • Patrón I: Repetición de un mismo evento
  • Patrón II: Condicionalidad de eventos con intervalos de tiempo flexible
  • Patrón III: Secuencialidad obligada con intervalos de tiempo fijos
  • Patrón IV: Secuencialidad posible con intervalos de tiempo fijos
  • Patrón V: Jerarquización de eventos o causa raíz

Ver ejemplo.

¿Qué correlaciones se ofrecen con VISUAL Message Center?

¿Cómo podemos ayudarle?

Nuestros agentes de Seguridad están orientados y desarrollados para ofrecer una gran cantidad de correlaciones automáticas que generen información relevante, útil y afín a los requerimientos más solicitados por el mercado, con la finalidad de disminuir la complejidad, eliminar información irrelevante y enriquecer los eventos

VISUAL Message Center, el producto insignia de Barcelona/04, ofrece soporte a las correlaciones en base a ocurrencias conocidas de eventos, en base al enriquecimiento de eventos y en base a posibilidades lógicas o patrones de relación.*

A continuación, algunos ejemplos:

Ocurrencias conocidas de eventos

La creación de un usuario en algunas plataformas genera múltiples eventos, pero todos ellos están asociados al mismo “hecho”. Aquí aplicaríamos tanto el enmascarado de eventos como el filtrado de eventos.

El procedimiento comenzaría por correlacionar los múltiples eventos e identificarlos como un solo hecho. Así se evitaría la tormenta de eventos irrelevantes o falsos positivos.

Enriquecimiento de eventos

Nuestros agentes de Seguridad están orientados y desarrollados para ofrecer una gran cantidad de correlaciones automáticas que generen información relevante, útil y afín a los requerimientos más solicitados por el mercado, con la finalidad de disminuir la complejidad, eliminar información irrelevante y enriquecer los eventos.

Ejemplos:

Traducciones
Traducción de todo tipo de códigos a información relevante, descripciones y errores, entre otros.

Adición de información, sugerencias y acciones a tomar
Adiciones de información tales como descripciones, sugerencias y acciones a tomar de acuerdo al evento generado.

Categorización de usuarios privilegiados
Categorización de usuarios, incluyendo privilegiados. Clasificación de archivos sensibles o confidenciales. Organización automática en categoría y sub-categoría. Aquí estamos aplicando las definiciones de enmascarado de eventos y filtrado de eventos.

Posibilidades lógicas o patrones de relación

A continuación se muestran diferentes patrones de relación con ejemplos asociados. Los ejemplos son instancias puntuales de esos patrones para ilustrar la presentación del caso, pero debe tenerse en cuenta que los patrones son genéricos y aplicables a cualquier clase de evento de monitorización.

Patrón I: Repetición de un mismo evento
Este patrón responde a los casos de eventos similares repetidos según algún criterio común. La acción más frecuente en este caso es la inferencia y la ejecución de una acción automática.

Por usuario: Login fallido repetido para un mismo usuario
En este caso se detecta que es el mismo usuario y se correlacionan las repeticiones en el mismo sistema.

Por estación de trabajo o IP: Login fallido repetido por estación de trabajo o IP
En este caso el criterio de correlación es la estación de trabajo. La inferencia es que alguien está probando con cuentas diferentes desde un mismo puesto de trabajo.

Aquí estamos aplicando la definición de filtrado de eventos, enmascarado de eventos y automatización de acciones.

Patrón II: Condicionalidad de eventos con intervalos de tiempo flexible
Ciertos eventos, si ocurren, deben guardar una condicionalidad pre-establecida. Si la condición no se cumple, generalmente se considera anormal y la acción más común es notificar. Por supuesto, no se obliga la ocurrencia de todos los eventos, sino solamente de los que sea necesario.

Un ejemplo habitual es el ingreso físico al lugar de trabajo relacionado con el login en la red. Existen diferentes opciones que se pueden plantear, como por ejemplo, que alguien ingrese a su empresa sin haber hecho login en la red. Pero SI lo hace, DEBE existir un registro de su entrada al edificio.

Aquí estamos aplicando la definición de filtrado de eventos, enmascarado de eventos, mejora de eventos y automatización de acciones.

Patrón III: Secuencialidad obligada con intervalos de tiempo fijos
A diferencia del caso anterior, a veces se necesita que los eventos ocurran en tiempos pre-establecidos relativos entre sí y en forma obligatoria. La ausencia de uno de ellos es problemática.

Un ejemplo claro en este caso sería el de un mensaje que debe ser atendido o respondido en un intervalo de tiempo x. Si apareciera un evento que requiere intervención de una persona, y no se detectara el evento de respuesta o atención en un tiempo establecido, deberá escalarse o tomar una acción específica.

Aquí estamos aplicando la definición de filtrado de eventos, enmascarado de eventos, mejora de eventos y automatización de acciones.

Patrón IV: Secuencialidad posible con intervalos de tiempo fijos
En este patrón se plantea el caso de eventos que no están condicionados entre sí pero que, sin embargo, si se presentan en una secuencia específica en un intervalo de tiempo, puede inferirse algo.

Un ejemplo de esto es la creación de un usuario, obtención de permisos especiales y posteriormente el acceso al sistema. Si estos eventos ocurren en tiempos muy lejanos o en una secuencia diferente, puede no haber interés en relacionarlos. Pero si se dan secuencialmente y en un lapso de tiempo corto, se puede inferir una actividad sospechosa que debe ser alertada o notificada.

Aquí estamos aplicando la definición de filtrado de eventos, enmascarado de eventos, mejora de eventos y automatización de acciones.

Patrón V: Jerarquización de eventos o causa raíz
En este caso se relacionan los eventos para jerarquizarlos entre sí, reducir complejidad e inferir la causa raíz de un problema.

Tomemos como ejemplo la existencia de una aplicación ACME, que tiene su esquema de permisos basados en un perfil de grupo. Se plantea un caso en el que se puede detectar cuál es la real causa de una serie de eventos que se van a recibir. Si, por ejemplo, se da que alguien le quita atributos especiales necesarios al perfil de grupo de la aplicación en cuestión, seguramente esta aplicación dejará de funcionar.

Cuando el usuario ingrese a la aplicación seguramente recibirá un error de la aplicación, o un error de permiso a algún archivo de la aplicación por parte del sistema operativo.

Lo interesante en este ejemplo es poder asociar que la quita de un atributo especial a un perfil de grupo es la causa raíz de esta serie de eventos asociados.

Aquí estamos aplicando la definición de filtrado de eventos, enmascarado de eventos, mejora de eventos, análisis de Causa/Raíz y automatización de acciones.

* Además, puede ajustarse a otros tipos de correlaciones que Ud. conozca y no estén aquí mencionadas.