Anomalías y eventos (DE.AE)
La actividad anómala se detecta de forma oportuna y el potencial impacto de los eventos es comprendido.
| Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|---|
DE.AE-1. Se establece y gestiona una línea base de operaciones de red y flujos de datos esperados para usuarios y sistemas. | Se definen y gestionan los parámetros esperables para usuarios privilegiados y sistemas críticos del centro de datos. | Se definen y gestionan los parámetros esperables de todos los usuarios y sistemas asociados a servicios críticos de la organización, así como aquellos sistemas de soporte u otros que deban ser monitoreados. Los desvíos son reportados al RSI. | Se documenta la línea base. Se define el procedimiento de monitoreo y actuación antes desvíos. Se generan indicadores y métricas sobre los eventos monitoreados. | La configuración de la línea base es revisada periódicamente o ante cambios tecnológicos y/o de los objetivos de negocio. Los indicadores son utilizados para la mejora continua y apoyar a la gestión de la línea base.
|
DE.AE-2. Los eventos detectados son analizados para entender los objetivos y métodos de ataque. | Se registran los eventos de los sistemas y redes. Los eventos irregulares detectados puntualmente se analizan. Se contacta al CERTuy o CSIRT que corresponda en los casos que sea necesario contar con asistencia. | Se revisan los eventos de los sistemas y redes, y de configuración y uso de WAF. Se cuenta con herramientas de apoyo automatizadas para el monitoreo de los eventos, excepciones y fallas. | Se define una política de auditoría y registro de eventos. Existen procedimientos documentados para la revisión y gestión de los eventos de los sistemas y redes y de configuración y uso de WAF. Los procedimientos incluyen la gestión de anomalías en alineación a la política y procedimiento de gestión de incidentes. | La revisión de los eventos se realiza a intervalos regulares y cuando se detecta actividad anormal para detectar objetivos, métodos de ataque, patrones, etc., permitiendo orientar y optimizar las estrategias y/o esfuerzos en ciberseguridad. La periodicidad de las revisiones se establece en los procedimientos y se informa al RSI y demás partes interesadas sobre los resultados de la revisión. |
DE.AE-3. Los datos de los eventos se agrupan y correlacionan desde múltiples fuentes y sensores. | Se revisan los eventos locales generados por el equipamiento y activos del centro de datos. Se deja registro de la revisión. | Los sistemas que soportan los servicios críticos emiten alertas de eventos de forma independiente, basados en las pautas establecidas por el apetito de riesgo de la organización. Se cuenta con un sistema de centralización de logs. | Se cuenta con procesos, procedimientos y herramientas para la centralización de logs. Se emiten alertas que permita tomar acciones para salvaguardar la confidencialidad, integridad y disponibilidad de los sistemas de información. | Se implementan procesos automatizados que permiten correlacionar información, pudiendo tomar acciones de forma automatizada. Se realiza una revisión periódica de los procedimientos, y la misma se utiliza para la mejora continua. |
DE.AE-4. Se determina el impacto de los eventos. | Se analiza el impacto de los eventos que afectan a los sistemas y servicios más críticos, dentro o fuera del centro de datos. La detección es reactiva.
| Se identifican los activos afectados tomando como base el inventario de activos críticos del centro de datos. Se establecen los umbrales tolerables de los activos (por ejemplo, tiempo de espera tolerable para una aplicación Web). Se automatizan algunas alertas ante incidentes. | Las actividades de identificación de impacto y determinación de umbrales están contenidas en el procedimiento de detección y monitoreo. Se automatizan las alertas ante incidentes correspondientes con los umbrales de tolerancia para los activos críticos del centro de datos. Se clasifican las alertas ante incidentes tomando en cuenta el riesgo asociado. | Se realizan actividades de control interno para verificar el cumplimiento con el procedimiento de detección y monitoreo. Los resultados de estas actividades se utilizan para la mejora del procedimiento y se retroalimentan las lecciones aprendidas. |
DE.AE-5. Se establecen los umbrales de alerta de incidentes. | Ver DE.AE-4 (nivel 1) | Ver DE.AE-4 (nivel 2) | Ver DE.AE-4 (nivel 3) | Ver DE.AE-4 (nivel 4) |