Log´s mínimos a tener activos

Log´s mínimos a tener activos

Objetivo: Identificar el tipo de log para que la herramienta SIEM(QRADAR) los detecte como eventos de seguridad.

NOTA:  Por parte del SOC se realiza como SUGERENCIA el encendido de los logs en el presente documento, bajo el entendido que se debe realizar un análisis por parte del ADMINISTRADOR DE LA PLATAFORMA en cuanto a capacidad de procesamiento y almacenamiento a nivel del servidor para estos logs.

Windows: Para los dispositivos Windows al instalar el agente, automáticamente se habilitan log´s de “seguridad” “aplicación” “sistema”.  Sin embargo, a nivel de políticas de auditoria en el servidor, se solicita comprobar en el visor de eventos que estos mismos “seguridad” “aplicación” “sistema” estén habilitados.

NOTA: Para log´s de auditoría de Windows se sugiere tener activos como mínimo los siguientes eventID´s:

1102 - borrado de registro de auditoría de eventos

4625 - autenticaciones fallidas

4624 - autenticación exitosa (debería cotejar con el 4625)

4649 – Ataque de replay detectado

4688 – Creación de un proceso. Se puede utilizar para la detección del borrado de shadow copies si se puede contrastar con esta regex en el Process Commandline:

[(?i)(.+?)wmic(.+)shadowcopy(.+)delete(.+) or (?i)(.+?)vssadmin(.+)delete(.+) or (?i)(.+?)wbadmin(.+)delete(.+)]

4698 - Tarea programada creada

4728 – Usuario añadido a grupo global con privilegios

4782 - Se accedió al hash de una contraseña de cuenta

4769 – Se solicitó un ticket de servicio Kerberos. Se podría usar para detectar ataques de Kerberoasting si se tiene en cuenta: ( este toca ajustarlo bien para que no genere mucho ruido)

• Ticket Encryption Type = 0x17
• Ticket Options = 0x40810000
• Misma IP origen
• Mismo usuario

4799 - Se enumero pertenencia a un grupo local de seguridad.

4946 - Se agregó una regla a la lista de excepciones del Firewall de Windows

4947 - Se modificó una regla en la lista de excepciones del Firewall de Windows

...