ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Log´s mínimos a tener activos

Security CISO TPSReseña18 de Mayo de 2023

414 Palabras (2 Páginas)52 Visitas

Página 1 de 2

Log´s mínimos a tener activos

Objetivo: Identificar el tipo de log para que la herramienta SIEM(QRADAR) los detecte como eventos de seguridad.

NOTA:  Por parte del SOC se realiza como SUGERENCIA el encendido de los logs en el presente documento, bajo el entendido que se debe realizar un análisis por parte del ADMINISTRADOR DE LA PLATAFORMA en cuanto a capacidad de procesamiento y almacenamiento a nivel del servidor para estos logs.

Windows: Para los dispositivos Windows al instalar el agente, automáticamente se habilitan log´s de “seguridad” “aplicación” “sistema”.  Sin embargo, a nivel de políticas de auditoria en el servidor, se solicita comprobar en el visor de eventos que estos mismos “seguridad” “aplicación” “sistema” estén habilitados.

NOTA: Para log´s de auditoría de Windows se sugiere tener activos como mínimo los siguientes eventID´s:

1102 - borrado de registro de auditoría de eventos

4625 - autenticaciones fallidas

4624 - autenticación exitosa (debería cotejar con el 4625)

4649 – Ataque de replay detectado

4688 – Creación de un proceso. Se puede utilizar para la detección del borrado de shadow copies si se puede contrastar con esta regex en el Process Commandline:

[(?i)(.+?)wmic(.+)shadowcopy(.+)delete(.+) or (?i)(.+?)vssadmin(.+)delete(.+) or (?i)(.+?)wbadmin(.+)delete(.+)]

4698 - Tarea programada creada

4728 – Usuario añadido a grupo global con privilegios

4782 - Se accedió al hash de una contraseña de cuenta

4769 – Se solicitó un ticket de servicio Kerberos. Se podría usar para detectar ataques de Kerberoasting si se tiene en cuenta: ( este toca ajustarlo bien para que no genere mucho ruido)

  • Ticket Encryption Type = 0x17
  • Ticket Options = 0x40810000
  • Misma IP origen
  • Mismo usuario

4799 - Se enumero pertenencia a un grupo local de seguridad.

4946 - Se agregó una regla a la lista de excepciones del Firewall de Windows

4947 - Se modificó una regla en la lista de excepciones del Firewall de Windows

4950 - Se cambió una configuración en el Firewall de Windows

5025 - El servicio de Firewall de Windows se ha detenido.

2. Adicional a lo anterior, si el servidor tiene instalado un antivirus, deben permitir en las políticas la comunicación del agente WINCOLLECT10 con el QRADAR.

Linux: Para los servidores Linux se sugiere el envío de todos los log´s por medio de la sintaxis *.* en la configuración que se realice en el RSYSLOG del equipo, para ello se debería tener en cuenta la siguiente configuración:

*.* @172.20.90.43:514

Sin embargo, si es requerido por el administrador solo el envío de log´s de seguridad de la maquina aplicar las siguientes sintaxis como ejemplo:

Ejemplo: kernel.*  @172.20.90.43:514

Ejemplo:  auth.* @172.20.90.43:514

Si es requerido algún otro se debe configurar según lo indicado anteriormente.

...

Descargar como (para miembros actualizados) txt (3 Kb) pdf (89 Kb) docx (475 Kb)
Leer 1 página más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com