Ir al contenido principal

[Logs I] Iniciando con el análisis de logs




En esta serie de entradas hablaremos sobre la importancia que tienen los logs para conseguir información en un ataque. El objetivo de esta serie de entradas es aprender a recopilar, administrar y analizar registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque.

¿Por qué es importante dar valor a los logs?

Un deficiente proceso de almacenado, procesado y análisis permite que a los atacantes ocultar su ubicación, malware instalado y actividades en los sistemas de las víctimas, incluso si las víctimas saben que sus sistemas han sido comprometidos, sin logs protegidos y completos, no conocen los detalles del ataque ni las acciones posteriores tomadas por los atacantes. Sin logs de auditoría sólidos, un ataque puede pasar desapercibido indefinidamente y los daños particulares causados pueden ser irreversibles. Aunque tengamos un sistema de almacenamiento de logs bastante robusto los atacantes confían en el hecho de que rara vez se revisan los logs, y no es posible detectar que los sistemas fueron comprometidos. Debido a procesos de análisis de registros deficientes o inexistentes, los atacantes a veces controlan las máquinas víctimas durante meses o años sin que nadie lo sepa, a pesar de que la evidencia del ataque se ha registrado en archivos de logs no examinados.

Controles de seguridad

Control Descripción
Utilizar tres fuentes de tiempo sincronizadas Usar un servidor de sincronización de hora en todos los dispositivos. 
Activar audit log Asegúrese de que el log local se encuentre habilitado en todos los sistemas y redes.
Habilitar el log detallado Asegúrese de que el sistema de log incluye información detallada como, fuente del origen, fecha, usuario, timestamp, dirección origen, dirección del destino y otros elementos
Garantizar almacenamiento adecuando para los logs Asegúrese de que los sistemas que están guardando logs tienen el espacio adecuando para guardarlos
Administrador central de logs Asegúrese de que los logs se están guardando en un sistema central de análisis y monitoreo
Implemente un SIEM o una herramienta de análisis de logs Implemente un Security Information and Event Management (SIEM) o herramientas de análisis de logs
Revisado regular de logs Revisión básica de logs para identificar anomalías
Mantenimiento regular al SIEM Configure regularmente su SIEM para detectar fácilmente las anomalías y los eventos sospechosos


Procedimientos y Herramientas

La mayoría de los sistemas operativos, servicios de red y tecnologías de firewalls, libres y comerciales, ofrecen capacidades de log. Tales logs deben ser activados y enviados a servidores de logs centralizados.
Los programas de análisis, como las soluciones SIEM para revisar los registros, pueden ser muy útiles, pero las capacidades empleadas para analizar los logs de auditoría son bastante extensas, incluso el análisis de una persona.
Las herramientas de mostrado de información en tiempo real pueden hacer que los logs sean mucho más útiles para la posterior inspección manual.
Tales herramientas pueden ser bastante útiles para identificar ataques sutiles, pero no remplazan a una persona humana revisando los logs manualmente.

Comentarios

  1. Me parece muy interesante, ¿Qué herramientas puedo usar para monitorear los logs ?

    ResponderBorrar

Publicar un comentario

Entradas más populares de este blog

Defensa contra malware

controlar la instalación, propagación y ejecución de código malicioso en múltiples puntos de la organización, al mismo tiempo que optimizar el uso de automatización para permitir la actualización rápida de la defensa, la recopilación de datos y la acción correctiva. ¿Por qué es importante este control? El software malicioso (malware) es un aspecto integral y peligroso de las amenazas en Internet, ya que está diseñado para atacar sus sistemas, dispositivos y sus datos. Se mueve rápidamente, cambia rápidamente y entra a través de múltiples y diversos puntos, como dispositivos de usuario final, archivos adjuntos de correo electrónico, páginas web, servicios en la nube, acciones del usuario y medios extraíbles. El malware moderno está diseñado para evitar las defensas y atacarlas o deshabilitarlas. Las defensas contra malware deben ser capaces de operar en este entorno dinámico a través de la automatización a gran escala, la actualización rápida y la integración con procesos como la re

Inventario de Software autorizados y no autorizados

Gestione activamente todo software en la red (inventario, seguimiento y corrección), de tal manera que solo software autorizado esté instalado y pueda ejecutarse, y que el software no autorizado y no gestionado sea encontrado y se prevenga su instalación y ejecución. ¿Por qué es importante este control? Los atacantes escanean continuamente a las organizaciones objetivo en busca de versiones vulnerables de software que pueden explotarse de forma remota. Algunos atacantes también distribuyen páginas web, archivos de documentos, archivos multimedia y otros contenidos hostiles a través de sus propias páginas web o sitios de terceros de confianza. Cuando las víctimas desprevenidas acceden a este contenido con un navegador vulnerable u otro programa del lado del cliente, los atacantes comprometen sus máquinas, a menudo instalando programas de puerta trasera y bots que le dan al atacante un control a largo plazo del sistema. Algunos atacantes sofisticados pueden usar exploits d

[Logs II] Instalar ELK elastic stack 7.5

Requerimientos Ubuntu 18.04.3 LTS 4 GB de Ram ¿Qué es entonces el ELK Stack? ELK es la sigla para tres proyectos open source: Elasticsearch, Logstash y Kibana. Elasticsearch es un motor de búsqueda y analítica. Logstash es un pipeline de procesamiento de datos del lado del servidor que ingesta datos de una multitud de fuentes simultáneamente, los transforma y luego los envía a como Elasticsearch. Kibana permite a los usuarios visualizar los datos en cuadros y gráficos con Elasticsearch. Si quieres aprender mas del proyecto puedes visitar https://www.elastic.co/es/what-is/elk-stack Instalar elasticsearch La opción de instalación mas conveniente para Ubuntu es usar los paquetes deb. El paquete deb de elasticsearch funciona para sistemas operativos Debian y sus derivados, los puedes bajar directamente del sitio web de elasticsearch o desde el repositorio usando APT. El paquete que vamos a instalar usa la licencia de elastic, que es o