Soporte lógico de monitorización de sistemas

 
  Actualmente se vive en un mundo donde las tecnologías de la información (TI) se emplean para prácticamente todo, especialmente en el ámbito comercial.
  Mas para poder garantizar el rendimiento y la seguridad de infraestructuras informáticas, es necesario monitorizar los sistemas informáticos relacionados con dichas tecnologías.
  Partiendo de la base de que un buen sistema de monitorización permite detectar problemas para los sistemas informáticos, incluso antes de que afecten a los usuarios, y así tener siempre disponibles todos los recursos sin que afecte en el día a día, urge la necesidad de contar con herramientas con las que monitorizar el ordenador de manera efectiva.
  En entradas anteriores ya se ha hablado de algunos soportes lógicos que tienen la finalidad de monitorizar (de un modo u otro) estos sistemas informáticos o, al menos, una parte de su infraestructura. Así, en entradas anteriores se ha hablado de Zabbix, Elastic Stack, Dynatrace o PRTG Network Monitor.
  La monitorización de TI es el proceso continuo de supervisión, análisis y gestión de la infraestructura tecnológica (servidores, redes, aplicaciones y bases de datos) delsistema informático de, normalmente, alguna organización. Su objetivo principal es asegurar la alta disponibilidad, rendimiento y seguridad, detectando problemas proactivamente para evitar fallos.
  En general se monitorizan métricas críticas como uso de UCP, espacio en disco, latencia de red, tiempo de actividad ("uptime", en inglés) y rendimiento de aplicaciones.
  Los beneficios más relevantes de este tipo de monitorización son:
  •   Reducción de interrupciones: La prevención de fallos y la optimización de recursos minimizan gastos en reparaciones y mantenimiento correctivo. Además, permite mejorar la planificación de la infraestructura, evitando inversiones innecesarias y maximizando el aprovechamiento de los recursos disponibles.
  •   Optimización de recursos: Al monitorizar servidores, es posible detectar cuellos de botella y aplicar mejoras para garantizar la estabilidad del sistema. La monitorización ayuda a ajustar la carga de trabajo, distribuyendo los recursos de manera eficiente para evitar sobrecargas o subutilización de soportes físico y lógico.
  •   Mejora en la toma de decisiones: Contar con datos precisos sobre el estado del sistema facilita la elección de determinadas acciones con conocimiento de causa y permite anticiparse a posibles problemas. La generación de informes detallados proporciona información clave para optimizar estrategias de IT y mejorar la eficiencia operativa.
  •   Seguridad proactiva: El sistema de monitorización permite identificar fallos antes de que generen problemas graves, reduciendo tiempos de inactividad y mejorando la experiencia del usuario. Las alertas automáticas notifican al equipo técnico en cuanto se detectan anomalías, facilitando una respuesta rápida y eficiente.

TIPOS

  Existen dos tipos principales de sistemas de monitorización, aunque ambos se complementan para ofrecer una visión completa del estado de la infraestructura TI:
  •   Activos: Realizan comprobaciones y pruebas de rendimiento en intervalos definidos.
  •   Pasivos: Registran eventos sin intervenir en el funcionamiento del sistema.

IMPLEMENTACIÓN

  Los pasos para implementar un sistema de monitorización en un equipo informático son:
  •   Análisis de necesidades y objetivos: Es fundamental definir qué elementos del sistema se deben monitorizar y cuáles son los indicadores clave de rendimiento ["Key Performance Indicator" ("KPI"), en inglés; métrica cuantificable utilizada para evaluar el éxito de una empresa, proyecto o acción específica en el cumplimiento de sus objetivos. Estos indicadores permiten medir el rendimiento, identificar áreas de mejora y facilitar la toma de decisiones basadas en datos]. La identificación de puntos críticos en la infraestructura es clave para una monitorización efectiva.
  •   Selección de herramientas y plataformas: Es necesario escoger entre las diversas herramientas de monitorización que existen en el mercado. La elección dependerá de las necesidades específicas de la empresa y del presupuesto disponible. Deben considerarse factores como la facilidad de integración, la escalabilidad y el soporte técnico al elegir una solución.
  •   Configuración de alertas y umbrales: Establecer umbrales de rendimiento y alertas automáticas permite actuar rápidamente ante cualquier incidente. Es recomendable clasificar las alertas según su nivel de gravedad (informativas, advertencias y críticas) para priorizar la respuesta adecuada. Además, se debe definir con precisión qué eventos o métricas deben generar una alerta, evitando tanto falsas alarmas como la falta de notificación ante incidencias importantes.
  •    Establecimiento de protocolos de actuación: Se deben definir protocolos claros para la resolución de problemas y la asignación de responsabilidades dentro del equipo técnico. Para ello, establece flujos de trabajo bien documentados que incluyan la identificación del problema, la asignación de responsabilidades y los pasos a seguir para su resolución.
  •    Evaluación y mantenimiento continuo: La monitorización debe ser un proceso dinámico, con revisiones periódicas y ajustes según sean necesarios. Analizar métricas clave, ajustar umbrales de alerta y actualizar las herramientas de monitorización permite optimizar el rendimiento del sistema.

HERRAMIENTAS

  En la actualidad, existen numerosos soportes lógicos destinados a la monitorización de sistemas informáticos según las necesidades del usuario.

Centreon
  Se trata de un soporte lógico de monitorización de ordenador de código abierto y empresarial publicado por la compañía del mismo nombre.
  Este soporte lógico proporciona visibilidad centralizada, alertas en tiempo real y cuadros de mando personalizados para asegurar el rendimiento digital y reducir tiempos de inactividad.
  Sus características y beneficios relevantes son:
  •   Monitorización 360°: Abarca servidores, redes (conmutadores, enrutadores), aplicaciones, bases de datos y soporte físico.
  •   Basado en estándares: Utiliza tecnología probada como Centreon Engine y Broker, siendo compatible con complementos de Nagios.
  •   Alertas y notificaciones: Envía avisos automáticos ante comportamientos inusuales o fallos en los servicios.
  •   Escalabilidad: Permite crecer desde redes pequeñas hasta grandes infraestructuras distribuidas.
  •   Interfaz de red: Proporciona un panel de control intuitivo para visualizar el estado de la infraestructura en tiempo real.
  •   Versiones: Ofrece una versión de código abierto gratuita y versiones comerciales (IT Edition, Business) con soporte y funciones avanzadas.

Datadog

  Datadog es un servicio de monitorización para aplicaciones en la nube, que proporciona monitorización de servidores, bases de datos, herramientas y servicios, a través de una plataforma de análisis de datos basada en SaS.
  Este soporte lógico centraliza métricas, trazas y registros de servidores, bases de datos y herramientas, ofreciendo una vista unificada para DevOps y TI. Permite detectar problemas, mejorar el rendimiento y automatizar alertas mediante numerosas integraciones.
  Sus características más relevantes son:
  •   Monitoreo de Infraestructura: Supervisión de servidores, redes y contenedores (Kubernetes, AWS, Azure, GCP).
  •   SRA (Supervisión del Rendimiento de las Aplicaciones): Traza distribuida para identificar cuellos de botella a nivel de código.
  •   Gestión de Registros: Almacenamiento y análisis de registros en tiempo real.
  •   Seguridad: Detección de amenazas en entornos en la nube.
  •   Cuadro de mando: Visualizaciones personalizables para el rendimiento.

Falcon
  Falcon, de Crowdstrike, es una plataforma de ciberseguridad nativa de la nube líder, diseñada para proteger puntos finales ("endpoints", en inglés; componentes situados en el extremo de un canal de comunicación con la red y se utilizan para intercambiar datos de ida y vuelta con ella), cargas de trabajo en la nube e identidades. Utiliza inteligencia artificial y análisis de comportamiento en tiempo real para detener ransomware, soporte lógico malicioso y ataques sofisticados, superando a los antivirus convencionales.
  Sus características principales son:
  •   Protección de puntos finales (NGAV): Reemplaza el antivirus tradicional mediante el uso de IA y aprendizaje automático para bloquear amenazas conocidas y desconocidas.
  •   Detección y Respuesta (EDR): Falcon Insight captura y registra actividades para proporcionar visibilidad en tiempo real y permitir una respuesta rápida ante incidentes.
  •   Inteligencia de amenazas: Falcon Intelligence proporciona contexto sobre los atacantes y sus métodos para anticiparse a los riesgos.
  •   Seguridad en la nube: Protege contenedores y entornos de nube híbrida.
  •   Cacería de Amenazas ("Threat Hunting", en inglés): El equipo de Falcon OverWatch ofrece vigilancia 24/7 para identificar actividades maliciosas ocultas.

Heimdal
  Se trata de una plataforma unificada de ciberseguridad avanzada diseñada para proteger entornos corporativos y de MSPs (proveedores de servicios gestionados) contra amenazas complejas. A diferencia de los antivirus tradicionales, Heimdal funciona como una solución integral que monitorea, detecta, previene y responde a incidentes en tiempo real, cubriendo puntos finales (equipos), redes, correos electrónicos y gestión de identidades desde una única consola.
  De este modo, la monitorización de este soporte lógico transforma la seguridad reactiva en proactiva, permitiendo a los equipos de TI automatizar la defensa y anticiparse a ataques de ransomware, fugas de datos y programas maliciosos sofisticados. 
  Las características más relevantes de este soporte lógico son:
  •   Prevención de Amenazas ("Threat Prevention", en inglés): Utiliza inteligencia artificial y algoritmos de aprendizaje de máquina para analizar el tráfico de red (DNS, HTTP, HTTPS) y bloquear amenazas antes de que infecten el equipo, incluso atacando a nivel de red.
  •   Gestión de Vulnerabilidades y Parches ("Patch Management", en inglés): Automatiza la actualización de soporte lógico de terceros y de Windows para cerrar brechas de seguridad críticas.
  •   Detección de puntos finales y respuesta: Actúa como un "centinela" que monitoriza continuamente el comportamiento del punto final, permitiendo a los administradores investigar y remediar amenazas rápidamente.
  •   Control de Privilegios y Aplicaciones: Monitorea y gestiona los derechos de acceso de los usuarios, limitando quién puede ejecutar aplicaciones, lo que reduce el riesgo de infecciones por ransomware.
  •   Seguridad en el Correo Electrónico: Protege contra phishing, correo basura y programas maliciosos transmitido por correo electrónico.
  Por otra parte, Heimdal posee las siguientes ventajas:
  •   Visibilidad Unificada: Proporciona un cuadro de mando que permite ver el estado de seguridad de múltiples clientes o departamentos, facilitando la toma de decisiones.
  •   Monitorización 24/7: Ofrece análisis continuo de tráfico y comportamiento para detección proactiva.
  •   Reducción de "ruido": Se enfoca en alertas de alta fidelidad, reduciendo falsos positivos.
  •   Compatibilidad: Funciona en Windows, macOS, Linux y Android

Nagios
  Nagios es un sistema de monitorización de redes ampliamente utilizado, de código abierto, que vigila los equipos y servicios que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado.
  Se trata de un soporte lógico que proporciona una gran versatilidad para consultar prácticamente cualquier parámetro de interés de un sistema, y genera alertas, que pueden ser recibidas por los responsables correspondientes mediante (entre otros medios) correo electrónico y mensajes SMS, cuando estos parámetros exceden de los márgenes definidos por el administrador de red.
  Sus características más relevantes son:
  •   Monitorización: Supervisa la disponibilidad y rendimiento de equipos y servicios (HTTP, SMTP, POP3, SNMP, carga de CPU, uso de disco, etc.).
  •   Funcionamiento: Utiliza una arquitectura cliente-servidor donde el núcleo ("core", en inglés) ejecuta «complementos» (guiones externos) para comprobar el estado de los recursos.
  •   Alertas: Envía notificaciones por correo electrónico u otros medios cuando un servicio falla o presenta comportamientos extraños.
  •   Interfaz: Ofrece un cuadro de mando en línea, generalmente sobre Linux, que permite visualizar la red y el historial de datos.
  •   Versiones: Existe la versión gratuita Nagios Core (de código abierto) y Nagios XI (versión comercial con más características).

Nessus
  Desarrollado por Tenable, es uno de los escáneres de vulnerabilidades más utilizados en ciberseguridad, diseñado para identificar fallos de seguridad, parches faltantes, soporte lógico obsoleto y configuraciones incorrectas en sistemas, redes y dispositivos. Funciona mediante escaneos automatizados y basados en una base de datos actualizada, permitiendo a los profesionales de seguridad, auditores y probadores de penetración detectar y priorizar riesgos para proteger infraestructuras.
  Nessus es considerado una herramienta esencial en la gestión proactiva de vulnerabilidades y en el pirateo ético para reducir la superficie de ataque. 
  Sus principales características son:
  •   Identificación de vulnerabilidades: Detecta parches faltantes, programas maliciosos, y configuraciones incorrectas en sistemas operativos (Windows, Linux), aplicaciones y bases de datos.
  •   Análisis de cumplimiento: Evalúa la configuración contra políticas de seguridad estándar.
  •   Informes detallados: Genera reportes exhaustivos para ayudar en la remediación rápida de amenazas.
  •   Versiones: Ofrece Nessus Essentials (versión gratuita limitada), Nessus Professional (estándar de la industria) y Nessus Expert (para entornos avanzados). 

OpenVAS
  Originalmente conocido como GNessUs, es el componente de escaneo de Greenbone Vulnerability Management (GVM), un marco de soporte lógico de varios servicios y herramientas que ofrecen escaneo y gestión de vulnerabilidades informáticas.
  Esta herramienta se emplea para detectar fallos de seguridad, configuraciones incorrectas y servicios expuestos en redes y sistemas. Permite realizar auditorías de seguridad, genera informes detallados y prioriza riesgos, siendo una herramienta esencial en la ciberseguridad preventiva.
  Sus características clave son:
  •   Amplia base de datos: Detecta más de 100.000 vulnerabilidades conocidas (CVE) con actualizaciones diarias de pruebas de red (NVTs).
  •   Componentes: Se compone del escáner (OpenVAS Scanner), el gestor de vulnerabilidades (GVM) y la interfaz web (Greenbone Security Assistant - GSA).
  •   Funcionalidades: Soporta escaneos autenticados y no autenticados, análisis programados, y ajustes personalizados de rendimiento.
  •   Licencia: Es de código abierto bajo la Licencia Pública General de GNU (GPL), lo que lo hace una alternativa gratuita y personalizable a herramientas comerciales.
  •   Uso: Es ampliamente utilizado por profesionales de ciberseguridad y equipos de Equipo Rojo ("Red Team", en inglés) para auditorías y cumplimiento normativo.

Prometheus
  Prometheus es un soporte lógico especializado como sistema de monitorización y alertas escrito en el lenguaje de programación Go. Todos los datos y métricas se almacenan en la base de datos como series temporales (junto al instante de tiempo en el que el valor se ha registrado). También es posible añadir etiquetas de tipo clave-valor junto a estas métricas.
  Dichas métricas pueden ser de cualquier tipo, y dependerán de la naturaleza de la aplicación o del sistema que se quiera monitorizar. Todas las mediciones y métricas recogidas ayudarán a diagnosticar errores o problemas de servicio en los sistemas y aplicaciones que se monitorizan.
  De este modo, Prometheus es especialmente útil en entornos dinámicos donde se requiere un alto rendimiento para identificar problemas en contenedores o servicios. 
  Sus principales componente son:
  •   Servidor: Recopila y almacena datos.
  •   Exportadores ("Exporters", en inglés): Agentes que recogen métricas de sistemas de terceros y las exponen a este programa.
  •   Pushgateway: Soporta trabajos efímeros ("batch jobs", en inglés) para enviar métricas.
  Este soporte lógico tiene las siguientes características relevantes:
  •   Base de datos de series temporales: Almacena datos eficientemente etiquetados con pares clave-valor.
  •   Modelo Extracción ("Pull", en inglés): El servidor de Prometheus sondea periódicamente los objetivos para obtener métricas.
  •   PromQL: Un lenguaje de consulta flexible para analizar los datos recopilados.
  •   Alertmanager: Gestiona alertas basadas en las métricas recopiladas.
  •   Ecosistema: Se integra frecuentemente con otros soportes lógicos de monitorización de TI (Grafana, por ejemplo) para la visualización de datos.

Red Canary
  Este soporte lógico posee servicios de Detección y Respuesta Gestionadas (MDR). Proporciona monitorización 24/7, inteligencia de amenazas y detección activa de actividades maliciosas en puntos de conexión, nube e identidades para detener ataques antes de que impacten en el negocio.
  Esta herramienta actúa como un socio de seguridad que combina análisis humano con inteligencia artificial para fortalecer la postura de seguridad de las empresas, siendo especialmente útil para equipos de TI que necesitan soporte externo especializado.
  De entre sus múltiples características destacan las siguientes:
  •   MDR (Managed Detection and Response): Combina tecnología de automatización con analistas expertos para detectar comportamientos sospechosos que las herramientas automatizaciones simples suelen pasar por alto.
  •   Monitorización 24/7: Vigilancia continua de la red, puntos finales (dispositivos), cargas de trabajo en la nube, identidades y aplicaciones SaaS.
  •   Integración: Funciona integrándose con herramientas de seguridad existentes, incluyendo soluciones de socios como CrowdStrike, Microsoft y SentinelOne.
  •   Detección de amenazas: Se especializa en identificar ransomware, programas maliciosos y comportamientos de adversarios, ayudando a las empresas a reducir el "ruido" de falsos positivos.
  •   Respuesta Activa: Ayuda a contener y remediar amenazas a través de su plataforma, que incluye la investigación detallada de incidentes. 

Wazuh
  Se trata de un sistema de detección de intrusos basado en anfitrión de código abierto y libre (HIDS). Realiza análisis de registro, comprobación de integridad, supervisión del registro de Windows, detección de rootkits, alertas basadas en el tiempo y respuesta activa. Proporciona detección de intrusiones para la mayoría de los sistemas operativos, incluyendo Linux, AIX, HP-UX, macOS, Solaris y Windows. Wazuh tiene una arquitectura centralizada y multiplataforma que permite que múltiples sistemas sean fácilmente monitorizados y administrados.
  Sus componentes son:
  •   Agente: Diseñado para realizar una serie de tareas con el objetivo de detectar amenazas y, cuando sea necesario, activar respuestas automáticas. Estos agentes pueden ser configurados y administrados desde el servidor de Wazuh.
  •   Servidor: Se encarga de analizar los datos recibidos de los agentes, procesar los eventos a través de decodificadores y reglas, y utilizar la inteligencia de amenazas para buscar los conocidos IOC (Indicadores de Compromiso).
  •   Elastic Stack: Las alertas generadas por este soporte lógico son enviadas a Elasticsearch, donde son indexadas y almacenadas.
  Sus características relevantes son:
  •   Detección de amenazas: Analiza registros, detecta soporte lógico malicioso, y monitoriza comportamientos sospechosos para identificar intrusiones.
  •   Monitorización de Integridad (FIM): Supervisa archivos críticos, detectando cambios en permisos, contenido y atributos.
  •   Cumplimiento normativo: Ayuda a cumplir estándares como PCI DSS (conjunto global de requisitos de seguridad obligatorios para cualquier entidad que almacene, procese o transmita datos de tarjetas de crédito o débito), GDPR (normativa europea más estricta sobre privacidad y seguridad de datos personales), y HIPAA (ley federal de EE. UU. de 1996 que protege la privacidad y seguridad de los datos médicos personales), facilitando auditorías.
  •   Respuesta activa: Capacidad para tomar acciones automáticas, como bloquear una dirección IP que intenta un ataque, para minimizar el impacto.
  •   Versatilidad: Compatible con Windows, Linux, macOS, y entornos de nube. 

  Aguardo que la presente entrada haya sido interesante para el lector; de ser así, espero que éste la comente y/o la comparta, por favor.
Publicado por en
Etiquetas: , , , , , , , , , , , , , , , ,

No hay comentarios:

Publicar un comentario

Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.

Suscribirse a: Enviar comentarios (Atom)