Contacto
Volver

Análisis de los registros en caso de incidente: ¿qué hay que examinar?

Imagen del slider

26 de febrero de 2023

El análisis y la gestión de los registros son fundamentales para la supervisión de nuestros sistemas, así como para la detección y gestión de incidentes. Sin embargo, en estas situaciones, el tiempo es un factor crucial, por lo que es imprescindible contar con un plan de recuperación eficaz.

Los sistemas registran todas las actividades de los usuarios y los procesos internos —como las conexiones, su origen, el tiempo de actividad y otras acciones— en registros de eventos, lo que permite a los administradores anticiparse a posibles incidentes o problemas. Para analizarlos, es necesario comprender su funcionamiento. Antes de lanzarnos de cabeza a examinar nuestros registros, conviene establecer un plan:

  1. Identificar las fuentes de registros y las herramientas automatizadas que podemos utilizar durante el análisis.
  2. Copia los registros del diario en una ubicación desde la que puedas consultarlos.
  3. Reduzca al mínimo el «ruido», es decir, las rutinas: las entradas repetitivas que dificultan la verificación una vez confirmada su legitimidad.
  4. Determinar si las marcas de tiempo que figuran en el registro del diario son fiables, teniendo en cuenta la zona horaria.
  5. Céntrate en las modificaciones, los errores, las averías, los cambios de estado, los eventos de acceso y de administración más recientes, así como en cualquier otro evento sospechoso o inusual en tu entorno.
  6. Relaciona las actividades con los distintos registros para obtener una visión general.
  7. Elabora hipótesis sobre lo que pudo haber ocurrido y, a continuación, revisa los archivos para confirmarlas o descartarlas.

La metodología de análisis es fundamental para invertir el tiempo de forma adecuada y saber dónde buscar para resolver el incidente lo antes posible.

Centra tus esfuerzos en la búsqueda de registros procedentes del sistema operativo y el hardware del servidor, las aplicaciones, las herramientas de seguridad, el proxy de salida y las aplicaciones de los usuarios, así como de otras fuentes de seguridad. A modo de ejemplo, te sugerimos los siguientes puntos de búsqueda, inspirados en la metodología SANS.

¿Qué palabras clave hay que buscar enlos sistemas Linux y en las principales aplicaciones (/var/log)?

  • Conexiones correctas: «Contraseña aceptada»; «Clave pública aceptada»; «Sesión abierta»;
  • Error de conexión: «error de autenticación»; «contraseña incorrecta»;
  • Usuario desconectado: «sesión cerrada»;
  • Cuenta de usuario modificada o eliminada: «contraseña modificada»; «nuevo usuario»; «eliminar usuario»;
  • Acciones de sudo: «sudo: … COMANDO=…» «FALLO su»;
  • Fallo del servicio: «error» o «fallo»;

 ¿Qué códigos hay que buscar enlos sistemas Windows y en las principales aplicaciones(registro de eventos de Windows)?

  • Eventos de conexión o desconexión del usuario: Éxito: «528», «540»; Desconexión: «538», «551», etc.; Fallo: «529-537», «539»;
  • Modificaciones realizadas en las cuentas de usuario: Creación: «624»; Autorizado: «626»; Modificaciones: «642»; Desactivación: «629»; Eliminado: «630»;
  • Cambios en la contraseña: Personal: «628»; Otros: «627»;
  • Inicio o apagado del sistema: «7035», «7036», etc.
  • Acceso al objeto denegado (auditorías autorizadas): «560», «567», etc.

¿Qué hay que buscar en los dispositivos de red (ejemplos basados en registros de Cisco ASA)?

  • Tráfico autorizado por el cortafuegos: «Conexión establecida»; «Lista de acceso autorizada»;
  • Tráfico bloqueado por el cortafuegos: «lista de acceso… denegada»; «denegar el tráfico entrante»; «denegar… por»;
  • Bytes transferidos: «Cerrando la conexión TCP... duración... bytes...»;
  • Ancho de banda y protocolo: «límite… superado»; «uso del procesador»;
  • Se ha detectado actividad de ataque: «ataque procedente de»;
  • Cambios realizados en las cuentas de usuario: «usuario añadido»; «usuario eliminado»; «nivel de privilegios del usuario modificado»;
  • Acceso de administrador: «Usuario AAA…»; «Usuario… bloqueado»; «Error de conexión»;

 ¿Cuáles son los criterios para elegir un servidor web?

  • Intentos excesivos de acceder a archivos inexistentes;
  • Código (SQL o HTML) en la URL;
  • Acceso a las extensiones no implementadas;
  • Mensajes que indican el inicio, la parada o un fallo del servicio web;
  • Acceso a páginas de riesgo que aceptan entradas del usuario;
  • Códigos de error 200 en archivos que no te pertenecen;
  • Comprueba los registros de todos los servidores de equilibrio de carga;
  • La autenticación del usuario ha fallado: código «401», «403»;
  • Solicitud no válida: Código «400»;
  • Error interno del servidor: Código «500»;

Siga estos pasos como lista de verificación al revisar sus registros de incidentes para optimizar sus procesos. También puede utilizarlos para las revisiones periódicas de los registros o encargar esta tarea a profesionales con experiencia.

¿Te interesa este tema o te preocupa tu ciberseguridad? Síguenos en las redes socialesde SCASSI Cybersecuritypara estar al tanto de nuestras novedades y no dudes en ponerte en contacto con nosotros si tienes alguna pregunta. ¡Estamos aquí para ayudarte!