Como procedimiento de seguridad recomendado, configure la auditoría y el registro en el sistema de vRealize Automation de acuerdo con las recomendaciones de VMware.

El registro remoto en un host de log central proporciona un almacén seguro para los archivos de log. Mediante la recopilación de archivos de log en un host central, puede supervisar el entorno con una sola herramienta. Además, puede realizar análisis agregados y buscar evidencias de amenazas, como ataques coordinados a varias entidades en la infraestructura. El inicio de sesión en un servidor de log centralizado y seguro puede ayudar a prevenir la adulteración de logs, además de proporcionar un registro de auditoría a largo plazo.

Garantizar la seguridad del servidor de registro remoto

A menudo, después de que los atacantes vulneran la seguridad de la máquina host, intentan buscar y manipular los archivos de log para borrar su rastro y mantener el control sin ser descubiertos. La protección correcta del servidor de registro remoto permite impedir que se adulteren los logs.

Utilizar un servidor NTP autorizado

Asegúrese de que todas las máquinas host usen el mismo origen de hora relativo, incluido el desfase de localización correspondiente, y que puedan relacionar el origen de hora relativo con un tiempo acordado estándar, como la hora universal coordinada (UTC). Un enfoque disciplinado en los orígenes de hora le permite realizar un seguimiento de las acciones de un intruso y relacionarlas de forma rápida al revisar los archivos de log pertinentes. Una configuración incorrecta de la hora puede dificultar la inspección y la correlación de los archivos de log a fin de detectar ataques; también puede hacer imprecisas las auditorías.

Utilice al menos tres servidores NTP de orígenes de hora externos, o bien configure algunos servidores NTP locales en una red de confianza que, a su vez, obtenga la hora de al menos tres orígenes de hora externos.