En esta serie de entradas hablaremos sobre la importancia que tienen los logs para conseguir información en un ataque. El objetivo de esta serie de entradas es aprender a recopilar, administrar y analizar registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque.
¿Por qué es importante dar valor a los logs?
Un deficiente proceso de almacenado, procesado y análisis permite que a los atacantes ocultar su ubicación, malware instalado y actividades en los sistemas de las víctimas, incluso si las víctimas saben que sus sistemas han sido comprometidos, sin logs protegidos y completos, no conocen los detalles del ataque ni las acciones posteriores tomadas por los atacantes. Sin logs de auditoría sólidos, un ataque puede pasar desapercibido indefinidamente y los daños particulares causados pueden ser irreversibles. Aunque tengamos un sistema de almacenamiento de logs bastante robusto los atacantes confían en el hecho de que rara vez se revisan los logs, y no es posible detectar que los sistemas fueron comprometidos. Debido a procesos de análisis de registros deficientes o inexistentes, los atacantes a veces controlan las máquinas víctimas durante meses o años sin que nadie lo sepa, a pesar de que la evidencia del ataque se ha registrado en archivos de logs no examinados.Controles de seguridad
Control | Descripción |
Utilizar tres fuentes de tiempo sincronizadas | Usar un servidor de sincronización de hora en todos los dispositivos. |
Activar audit log | Asegúrese de que el log local se encuentre habilitado en todos los sistemas y redes. |
Habilitar el log detallado | Asegúrese de que el sistema de log incluye información detallada como, fuente del origen, fecha, usuario, timestamp, dirección origen, dirección del destino y otros elementos |
Garantizar almacenamiento adecuando para los logs | Asegúrese de que los sistemas que están guardando logs tienen el espacio adecuando para guardarlos |
Administrador central de logs | Asegúrese de que los logs se están guardando en un sistema central de análisis y monitoreo |
Implemente un SIEM o una herramienta de análisis de logs | Implemente un Security Information and Event Management (SIEM) o herramientas de análisis de logs |
Revisado regular de logs | Revisión básica de logs para identificar anomalías |
Mantenimiento regular al SIEM | Configure regularmente su SIEM para detectar fácilmente las anomalías y los eventos sospechosos |
Procedimientos y Herramientas
La mayoría de los
sistemas operativos, servicios de red y tecnologías de firewalls, libres y
comerciales, ofrecen capacidades de log. Tales logs deben ser activados y
enviados a servidores de logs centralizados.
Los programas de análisis,
como las soluciones SIEM para revisar los registros, pueden ser muy útiles,
pero las capacidades empleadas para analizar los logs de auditoría son bastante
extensas, incluso el análisis de una persona.
Las herramientas
de mostrado de información en tiempo real pueden hacer que los logs sean mucho más
útiles para la posterior inspección manual.
Tales
herramientas pueden ser bastante útiles para identificar ataques sutiles, pero
no remplazan a una persona humana revisando los logs manualmente.
Me parece muy interesante, ¿Qué herramientas puedo usar para monitorear los logs ?
ResponderBorrar