INTEGRACIONES NATIVAS

Monitoreo y análisis de logs de Stormshield con Log360

Resumen general

Los firewalls Stormshield Network Security (SNS) son fundamentales para la defensa perimetral, la prevención de intrusiones y la gestión segura del tráfico en entornos empresariales. Sin embargo, los logs de seguridad que generan, desde intentos de autenticación y coincidencias de reglas hasta anomalías a nivel de sistema, requieren un análisis estructurado para descubrir amenazas reales. Log360, la solución de SIEM unificada de ManageEngine, se integra de manera eficiente con los dispositivos Stormshield para centralizar, correlacionar y analizar los datos de logs. Esta integración permite a los equipos de seguridad contar con visibilidad en tiempo real, informes listos para el cumplimiento y detección proactiva de amenazas, todo dentro de una consola unificada.

Cómo Log360 recopila y analiza los logs de Stormshield

Log360 recopila logs de Stormshield a través del protocolo Syslog. Al configurar el dispositivo Stormshield para reenviar los logs al oyente de Syslog en Log360, cada evento relevante, ya sea relacionado con el tráfico, la autenticación, las reglas de firewall o IDS/IPS, se transmite en tiempo real al motor de SIEM. Una vez ingeridos, Log360 analiza estos logs utilizando las reglas de formato de log predefinidas de Stormshield. Los eventos se normalizan e indexan para una búsqueda y correlación eficientes. Metadatos clave como direcciones IP, nombres de usuario, puertos, ID de reglas y gravedad se extraen y asignan a la taxonomía de eventos de seguridad de Log360, lo que permite tanto el análisis detallado como la correlación de alto nivel.

Funciones de monitoreo y análisis

Con los logs de Stormshield incorporados, Log360 proporciona monitoreo y análisis por capas a través de:

Resumen general de eventos de Stormshield: Agregue y monitoree todos los tipos de logs generados por Stormshield en una vista unificada. Filtre los logs por gravedad, origen, interfaz e ID de regla para evaluar rápidamente el estado y las tendencias de actividad del firewall.
Informes de inicio de sesión: Controle los intentos de inicio de sesión correctos y fallidos a la interfaz de gestión de Stormshield. Identifique patrones de acceso inusuales, como inicios de sesión durante horas no laborables o múltiples intentos fallidos desde la misma IP, que son indicadores clave de intentos de llenado de credenciales o fuerza bruta.
Gestión de reglas de firewall: Creación, eliminación, modificaciones y concordancias de reglas, asegurando la trazabilidad de los cambios de reglas.
Gestión de cuentas: Creación de usuarios administrativos, cambios de rol e intentos de configuración no autorizados.
Archivo y cumplimiento a largo plazo: Conservar logs normalizados durante un periodo prolongado para cumplir con los mandatos de cumplimiento ISO, PCI DSS, GDPR y otros

Eventos críticos de Stormshield monitoreados

Log360 audita continuamente una gama de categorías de eventos de Stormshield:

Eventos de autenticación: Intentos de inicio de sesión correctos y fallidos, acceso a la consola de administrador, inicios de sesión de administración remota.
Eventos de tráfico: Tráfico aceptado y denegado por la política de firewall, traducciones NAT y patrones específicos de protocolo.
Eventos de IDS/IPS: Coincidencias de firmas, inspecciones de paquetes y detecciones de intrusión en tiempo real.
Eventos del sistema: Reinicios del dispositivo, fallos de servicios, cambios de configuración y umbrales de uso del disco.
Informes de gravedad del dispositivo: Eventos categorizados por gravedad (información, advertencia, crítica), ayudando a la priorización.

Ventajas clave

Visibilidad centralizada: Vea los logs de Stormshield junto con los logs de otros dispositivos de red y seguridad dentro de una única interfaz.
Detección de amenazas más rápida: Identifique y responda rápidamente a ataques como intentos de fuerza bruta, movimiento lateral y exfiltración.
Pista de auditoría de la actividad del firewall: Obtenga transparencia con informes detallados sobre cambios de reglas, intentos de acceso y actividad de administrador.
Cumplimiento regulatorio: Cumpla con los requisitos de auditoría con informes predefinidos y personalizados asignados a estándares de cumplimiento.
Investigación simplificada: Utilice las líneas de tiempo de incidentes y las vistas de log ricas en contexto para investigar incidentes de seguridad con el mínimo esfuerzo.

Abordar los principales desafíos de seguridad de Stormshield

Desafío de seguridad de Stormshield	Cómo Log360 lo resuelve
Falta de almacenamiento y análisis de logs centralizados	Log360 agrega los logs de Stormshield y los almacena en un repositorio seguro y con capacidad de búsqueda.
Visibilidad limitada de las amenazas en tiempo real	Los dashboards y las alertas en tiempo real ayudan a detectar anomalías a medida que ocurren.
Dificultad para correlacionar los logs de Stormshield con logs de otros dispositivos	Log360 correlaciona los logs de múltiples fuentes para una detección completa de amenazas.
Pistas de auditoría inadecuadas para los cambios en la regla del firewall y en la cuenta	Los informes dedicados rastrean cada cambio de regla, inicio de sesión y actualización de la configuración.
Informes de cumplimiento que consumen mucho tiempo	Los informes específicos de Stormshield listos para usar simplifican el cumplimiento con un esfuerzo mínimo.
Alto ruido en alertas de IDS/IPS	El filtro basado en la gravedad y el ajuste de alertas reducen los falsos positivos y priorizan las amenazas.