La generación y el análisis de registros es una parte importante de la industria de TI. Es un proceso de revisión, examen y comprensión de los archivos de registro, como los archivos de registro de la red y del sistema, para obtener información valiosa. Estos también son útiles para descifrar qué salió mal y cómo identificar un ataque de ciberseguridad. Estos archivos de registro de seguridad contienen marcas de tiempo que brindan detalles sobre qué evento sucedió cuando qué evento resultó en una falla particular o qué salió mal. Es importante comprender los diferentes tipos de fuentes de registro de seguridad y, por lo tanto, ahora veamos en detalle las fuentes de registro de seguridad más comunes.
1. Registros del sistema
System Monitor (o Sysmon) es una herramienta de software/controlador de dispositivo gratuito de Microsoft que supervisa y registra la actividad del sistema en el registro de eventos de Windows. Crea registros de varias actividades como creación de procesos, conexión de red, creación o modificación de archivos, cargas de controladores, acceso a disco sin procesar, subprocesos remotos, acceso a memoria de proceso en un solo lugar. Recibe actualizaciones periódicas de Microsoft, con nuevas funciones que se incorporan regularmente. Al analizar estos registros, cualquier actividad maliciosa se puede identificar fácilmente y puede ayudar a comprender cómo los intrusos intentan operar en su red. La limitación es que no se esconde de los adversarios y no genera un registro de eventos que genera.
2. Registros de seguridad de Windows
Es un registro que mantiene las actividades relacionadas con la seguridad en función de la política de auditoría del sistema. Es una gran herramienta para ver actividades no autorizadas intentadas y exitosas y para solucionar problemas. Los registros y las políticas están regidos por el administrador del sistema, lo que significa que puede eliminar registros específicos, separar derechos e incluso borrar el registro. Eso significa que una vez que la cuenta del administrador se ha visto comprometida, no se puede confiar en los registros de seguridad. También enumera las actividades de inicio/cierre de sesión, brindando la cuenta y la dirección IP con las que se inició sesión en el sistema, los cambios de políticas y privilegios, los eventos del sistema y el seguimiento de procesos.
3. Registros del sistema de Windows
Es un registro de eventos de la aplicación y del sistema y también incluye algunos mensajes de error o advertencia. Ayuda en casi todo tipo de solución de problemas para diferentes problemas de Windows. Registra registros como los componentes del sistema de Windows, como los controladores y los componentes de la interfaz integrada, y los registros relacionados con los programas instalados en el sistema. También realiza un seguimiento de los registros del tiempo de arranque del sistema. Utiliza identificadores de eventos (ID) para definir de manera única los eventos identificables que la computadora puede encontrar. A veces muestra errores básicos que no causan ningún daño, pero que los estafadores pueden usar para manipular a los usuarios para que piensen que es peligroso y luego les piden sus credenciales haciéndoles pensar que lo repararán.
4. Registros de flujo de red
Es un protocolo de red desarrollado por Cisco. Supervisa el flujo y el volumen del tráfico de la red y recopila información sobre el tráfico IP de los enrutadores y conmutadores. Con Netflow Collector and Analyzer, se puede ver de dónde viene y de dónde va el tráfico y cuánto tráfico se genera a través de las interfaces. Supervisa el ancho de banda de la red y los patrones de tráfico. Los administradores de red pueden usar los registros de Netflow para identificar qué usuarios, protocolos o aplicaciones consumen la mayor parte del ancho de banda y las causas de la congestión de la red.
5. Registros PCAP
La captura de paquetes (PCAP) es una interfaz de programación de aplicaciones (API) para recopilar tráfico de red. Se utiliza para capturar paquetes e incluso guardar esas capturas en un archivo y leer archivos que contienen paquetes guardados. Las aplicaciones incluyen recopilación de estadísticas de red, monitoreo de seguridad y depuración de red. Es compatible con múltiples herramientas de software donde los archivos empaquetados guardados se pueden alimentar para obtener resultados analizados fáciles de usar. Puede examinar direcciones IP, políticas, nombres de dominio, tipos de IP, marca de tiempo, puertos de origen y mucho más.
6. Registros del cortafuegos
Documenta cómo el firewall maneja los tipos de tráfico y proporciona información sobre las direcciones IP, los protocolos y los números de puerto de origen y destino. También indica cuando hay actividad maliciosa presente en la red identificando conexiones sospechosas. El registro del firewall de Windows indica la hora y la fecha de la conexión, el tipo de conexión (TCP/UDP), el puerto utilizado en su computadora, el paquete descartado o aceptado. También permite planificar los requisitos de ancho de banda en función del uso del ancho de banda en los cortafuegos. Proporciona información en tiempo real al administrador de la red para descubrir cualquier actividad sospechosa.
7. Registros de proxy
Contienen los registros de usuarios y aplicaciones que acceden a su red. Junto con las requests de sitios web de los usuarios, también incluye requests de aplicaciones o servicios. La información que rastrean incluye la fecha y la hora, la versión del protocolo HTTP, el método de solicitud HTTP, el tipo de contenido, el agente de usuario, el nombre de usuario autenticado del cliente, la IP del cliente y el puerto de origen, la acción del proxy, el recurso solicitado y mucho más. Durante la respuesta a un incidente, también es posible generar alertas según el contenido de los registros del servidor proxy.
8. Registros del historial del navegador
El historial del navegador es como un mapa de qué y cuándo ha visitado diferentes páginas web y aplicaciones. Pueden filtrar una cantidad sustancial de sus datos para determinar qué orígenes ha estado visitando el usuario. Se puede explotar usando varias técnicas como los selectores de color CSS (en su mayoría parcheados en los navegadores más nuevos), usando el tiempo de datos en caché, las API del navegador, los complementos se pueden piratear o las comunicaciones de red se pueden interceptar fuera de la máquina. Los registros del navegador le dicen a los forenses los sitios web visitados, la marca de tiempo, no. de veces que se accedió, se ingresaron datos en él o se descargó algo.
9. Registros de DNS
Proporciona información extremadamente detallada sobre los datos DNS que envía y recibe el servidor DNS. Los ataques de DNS incluyen secuestro de DNS, tunelización de DNS, ataques de denegación de servicio (DoS), comando y control y envenenamiento de caché. Por lo tanto, los registros de DNS ayudan a identificar la información relacionada con estos ataques para que se pueda encontrar la fuente. Estos incluyen datos detallados sobre los registros solicitados, la IP del cliente, los indicadores de solicitud, las transferencias de zona, los registros de consultas, el tiempo de velocidad y la firma de DNS.
Publicación traducida automáticamente
Artículo escrito por vanigupta20024 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA