T44.1: Implements Audit Log

InterSystems IRIS proporciona capacidades de auditoría completas que permiten a los administradores rastrear actividades del sistema y usuario. La auditoría se controla a través de la página Auditing del Management Portal, accesible vía System Administration > Security > Auditing. El sistema organiza eventos de auditoría en categorías basándose en su fuente, principalmente %System (eventos centrales del sistema) y %Ensemble (eventos de integración).

Los administradores pueden habilitar o deshabilitar auditoría en múltiples niveles: globalmente para todos los eventos, por categoría de fuente, o para tipos de eventos individuales. Este control granular permite a las organizaciones enfocar esfuerzos de auditoría en eventos críticos de seguridad mientras minimizan impacto en rendimiento y requisitos de almacenamiento. Cuando habilita o deshabilita un evento, el cambio tiene efecto inmediatamente sin requerir reinicio del sistema.

Los eventos de auditoría del sistema clave incluyen:

• Login/Logout: Rastrea intentos de autenticación y terminación de sesión
• Protect: Registra cambios a ajustes de seguridad y recursos protegidos
• DirectMode: Monitorea acceso directo al sistema y uso de modo programador
• UserChange: Registra modificaciones a cuentas de usuario y credenciales
• ConfigChange: Rastrea cambios de configuración a ajustes del sistema

La base de datos de auditoría (IRISAUDIT) almacena todos los registros de auditoría, y la configuración apropiada asegura que actividades relevantes de seguridad se capturen para cumplimiento, análisis forense y propósitos de monitoreo de seguridad.

La base de datos IRISAUDIT sirve como repositorio central para todos los eventos de auditoría en InterSystems IRIS. Esta base de datos dedicada asegura que los datos de auditoría permanezcan separados de los datos de aplicación y puedan protegerse con controles de acceso apropiados. El Management Portal proporciona una interfaz amigable para ver y analizar registros de auditoría a través de la página View Audit Database.

Al revisar logs de auditoría, los administradores pueden aplicar varios filtros para reducir los registros de interés. Los criterios de búsqueda comunes incluyen:

• Rangos de fecha y hora para enfocarse en períodos específicos
• Tipos de evento para rastrear categorías particulares de actividad
• Nombres de usuario para investigar acciones por usuarios específicos
• Fuentes de evento para distinguir entre eventos de sistema y aplicación
• Estado de éxito o fallo para identificar incidentes de seguridad

Cada registro de auditoría proporciona detalles completos sobre el evento auditado. Los Elementos de un Evento de Auditoría incluyen:

• EventType: La categoría de evento (e.g., Login, Protect, UserChange)
• EventData: Detalles específicos sobre qué ocurrió
• EventSource: El código fuente o componente que generó el evento
• Username: La cuenta de usuario asociada con el evento
• Roles: Los roles activos en el momento del evento
• ClientIPAddress: La dirección de red del cliente
• SystemIPAddress: La dirección IP de la instancia IRIS
• UTCTimeStamp: El momento preciso en que ocurrió el evento en UTC

Para análisis avanzado, los administradores pueden usar consultas SQL directamente contra las tablas de base de datos de auditoría. Esto habilita reportes complejos, análisis de tendencias e integración con sistemas de gestión de información y eventos de seguridad (SIEM).

El monitoreo efectivo de seguridad requiere no solo recopilar datos de auditoría, sino analizarlos para comprender las causas raíz de eventos e identificar problemas potenciales de seguridad. Cada registro de auditoría en InterSystems IRIS contiene múltiples campos diseñados para ayudar a administradores a realizar análisis de causa raíz.

El campo EventData es particularmente valioso ya que contiene información específica del evento que explica qué realmente ocurrió. Por ejemplo:

• Para eventos Login, EventData muestra si la autenticación fue exitosa o falló y el método de autenticación usado
• Para eventos Protect, identifica qué recurso o ajuste de seguridad fue modificado
• Para eventos UserChange, detalla qué aspectos de la cuenta de usuario fueron alterados
• Para eventos ConfigChange, registra qué parámetros de configuración fueron modificados

El campo EventSource ayuda a identificar dónde en el sistema se originó el evento. Esto podría ser una clase, rutina o componente del sistema específico. Comprender la fuente ayuda a determinar si el evento fue disparado por actividad administrativa legítima, comportamiento de aplicación o acceso potencialmente no autorizado.

El análisis de causa raíz a menudo requiere examinar múltiples registros de auditoría relacionados para establecer una línea de tiempo y patrón. Por ejemplo, una serie de intentos de inicio de sesión fallidos desde la misma dirección IP seguido por un inicio de sesión exitoso podría indicar un ataque de fuerza bruta. Un evento UserChange creando una nueva cuenta privilegiada fuera de horas normales de negocio podría señalar actividad no autorizada.

Los eventos clave de seguridad que merecen investigación incluyen:

• Múltiples intentos de autenticación fallidos
• Escalación de privilegios o cambios de asignación de roles
• Acceso a recursos sensibles fuera de patrones normales
• Cambios de configuración a ajustes de seguridad
• Acceso DirectMode, especialmente desde usuarios o ubicaciones inesperadas

Al correlacionar datos de auditoría con logs del sistema y comprender patrones operacionales normales, los administradores pueden distinguir entre actividades rutinarias e incidentes de seguridad genuinos que requieren respuesta.

La base de datos de auditoría crece continuamente a medida que InterSystems IRIS registra eventos, haciendo el mantenimiento regular esencial para rendimiento del sistema y gestión de almacenamiento. El Management Portal proporciona varias operaciones para administración de base de datos de auditoría, accesibles a través de System Administration > Security > Auditing.

Copy Audit Database: Esta operación permite a administradores duplicar registros de auditoría desde la base de datos IRISAUDIT a otro namespace. La operación copy es útil para crear copias de trabajo de datos de auditoría para análisis sin afectar la base de datos de auditoría de producción. Puede especificar rangos de fecha para copiar solo registros relevantes, y la operación preserva todos los detalles y relaciones de registros de auditoría.

Export Audit Database: Exportar crea archivos externos conteniendo registros de auditoría, habilitando archivado a largo plazo y cumplimiento con políticas de retención de datos. InterSystems IRIS soporta múltiples formatos de exportación:

• Formato XML para almacenamiento independiente de plataforma y análisis fácil
• Formatos personalizados para integración con herramientas de análisis de auditoría externas
• La operación de exportación puede filtrar registros por rango de fecha, tipo de evento y otros criterios

Los archivos de auditoría exportados pueden almacenarse en medios externos seguros, transferirse a sistemas centralizados de gestión de logs o retenerse para propósitos de cumplimiento. Muchas organizaciones implementan políticas que requieren retención de datos de auditoría por períodos específicos (e.g., 7 años para datos financieros).

Purge Audit Database: La operación de purga elimina permanentemente registros de auditoría de la base de datos IRISAUDIT basándose en criterios especificados, típicamente rangos de fecha. La purga es esencial para prevenir crecimiento ilimitado de base de datos, pero debe realizarse cuidadosamente:

• Siempre exporte o copie datos antes de purgar si se requiere retención
• Verifique que criterios de purga coincidan con políticas de retención de datos de su organización
• Pruebe operaciones de purga en sistemas no productivos primero
• Documente actividades de purga para auditoría de cumplimiento

Mejores Prácticas de Mantenimiento:

• Establezca un horario de mantenimiento regular (semanal, mensual o basándose en tamaño de base de datos)
• Monitoree tamaño de base de datos IRISAUDIT y tendencias de crecimiento
• Automatice operaciones de exportación y purga donde sea posible
• Mantenga datos de auditoría exportados en ubicaciones seguras y respaldadas
• Documente sus políticas de retención y mantenimiento de auditoría
• Pruebe procedimientos de restauración para datos de auditoría exportados periódicamente

El mantenimiento apropiado de base de datos de auditoría asegura que la auditoría permanezca efectiva sin degradar rendimiento del sistema o agotar recursos de almacenamiento.