Ir al contenido principal

[Logs I] Iniciando con el análisis de logs




En esta serie de entradas hablaremos sobre la importancia que tienen los logs para conseguir información en un ataque. El objetivo de esta serie de entradas es aprender a recopilar, administrar y analizar registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque.

¿Por qué es importante dar valor a los logs?

Un deficiente proceso de almacenado, procesado y análisis permite que a los atacantes ocultar su ubicación, malware instalado y actividades en los sistemas de las víctimas, incluso si las víctimas saben que sus sistemas han sido comprometidos, sin logs protegidos y completos, no conocen los detalles del ataque ni las acciones posteriores tomadas por los atacantes. Sin logs de auditoría sólidos, un ataque puede pasar desapercibido indefinidamente y los daños particulares causados pueden ser irreversibles. Aunque tengamos un sistema de almacenamiento de logs bastante robusto los atacantes confían en el hecho de que rara vez se revisan los logs, y no es posible detectar que los sistemas fueron comprometidos. Debido a procesos de análisis de registros deficientes o inexistentes, los atacantes a veces controlan las máquinas víctimas durante meses o años sin que nadie lo sepa, a pesar de que la evidencia del ataque se ha registrado en archivos de logs no examinados.

Controles de seguridad

Control Descripción
Utilizar tres fuentes de tiempo sincronizadas Usar un servidor de sincronización de hora en todos los dispositivos. 
Activar audit log Asegúrese de que el log local se encuentre habilitado en todos los sistemas y redes.
Habilitar el log detallado Asegúrese de que el sistema de log incluye información detallada como, fuente del origen, fecha, usuario, timestamp, dirección origen, dirección del destino y otros elementos
Garantizar almacenamiento adecuando para los logs Asegúrese de que los sistemas que están guardando logs tienen el espacio adecuando para guardarlos
Administrador central de logs Asegúrese de que los logs se están guardando en un sistema central de análisis y monitoreo
Implemente un SIEM o una herramienta de análisis de logs Implemente un Security Information and Event Management (SIEM) o herramientas de análisis de logs
Revisado regular de logs Revisión básica de logs para identificar anomalías
Mantenimiento regular al SIEM Configure regularmente su SIEM para detectar fácilmente las anomalías y los eventos sospechosos


Procedimientos y Herramientas

La mayoría de los sistemas operativos, servicios de red y tecnologías de firewalls, libres y comerciales, ofrecen capacidades de log. Tales logs deben ser activados y enviados a servidores de logs centralizados.
Los programas de análisis, como las soluciones SIEM para revisar los registros, pueden ser muy útiles, pero las capacidades empleadas para analizar los logs de auditoría son bastante extensas, incluso el análisis de una persona.
Las herramientas de mostrado de información en tiempo real pueden hacer que los logs sean mucho más útiles para la posterior inspección manual.
Tales herramientas pueden ser bastante útiles para identificar ataques sutiles, pero no remplazan a una persona humana revisando los logs manualmente.

Comentarios

  1. Me parece muy interesante, ¿Qué herramientas puedo usar para monitorear los logs ?

    ResponderBorrar

Publicar un comentario

Entradas más populares de este blog

Ventajas y Usos Frecuentes con Routers Mikrotik

VentajasPrecio: Cuenta con una gran variedad de precios, contando con equipos muy económicos para un usuario de casa hasta para una micro y mediana empresa, también existen alternativas para virtualizar en los siguientes posts estaré hablando de cómo realizar tu propio laboratorio.
Calidad: Mediante ha ido evolucionando Mikrotik han fabricado equipos mas duraderos y con un software mas robusto.
Aprendizaje: Este es una de las ventajas más importantes, es fácil de aprender para usuarios con conocimientos básicos en redes, y se cuentan con un sinfín de cursos y foros por internet.
Diversidad: Mikrotik es un producto que cuenta con una variedad de modelos que nos permiten realizar múltiples soluciones conducirán a su empresa en un ejemplo de administración y productividad.
Usos Frecuentes Por el Precio y Calidad del equipo, Mikrotik se ha manifestado en mayor parte para administradores de WISP, Hostpot una recomendación seria combinar con antenas Ubiquiti.
Se puede administrar anchos de banda…

Protección de correo electrónico y navegador web

Protección de correo electrónico y navegador web
Minimizar la superficie de ataque y la oportunidad para atacantes de manipular el comportamiento humano a través de su interacción con navegadores web y sistemas de correo electrónico.

¿Por qué es importante este control? Los navegadores web y los clientes de correo electrónico son puntos de entrada y ataque muy comunes debido a su complejidad técnica, flexibilidad y su interacción directa con los usuarios y con los otros sistemas y sitios web. El contenido puede diseñarse para atraer o engañar a los usuarios para que tomen medidas que aumenten en gran medida el riesgo y permitan la introducción de códigos maliciosos, la pérdida de datos valiosos y otros ataques. Dado que estas aplicaciones son el principal medio para que los usuarios interactúen con entornos que no son de confianza, estos son objetivos potenciales tanto para la explotación del código como para la ingeniería social.

Sub-controlTipo de activoFunción de seguridadControlD…

Conociendo a Mikrotik

Mikrotik es una empresa de Latvian que se fundó en los años 90’s para desarrollar Routers y Sistemas Inalámbricos para ISP. Mikrotik ahora proporciona hardware y software para la conectividad hacia internet en gran mayoría de los países del mundo, en el año 1997 crean su propio Software basado en el nucleo de Linux llamandolo RouterOs proporcionando gran estabilidad, controles y flexibilidad para todo tipo de datos y enrutamiento. Para el año 2002 deciden hacer su propio hardware creando el RouterBoard. Se tiene revendedores en gran parte del mundo en México teniendo como Principal a MikrotikMéxico(https://www.mikrotik-mexico.com.mx/). La fabrica se encuentra en Riga Capital de Latvian contando con mas de 280 empleados.