Los sistemas registran toda la actividad de los usuarios y de sus procesos internos, como inicios de sesión, origen de estos, tiempo de actividad u otras acciones en registros de eventos o logs y permiten a los administradores anticiparse a potenciales incidentes o situaciones problemáticas. Para analizarlos, necesitamos entender y como funcionan. Antes de lanzarnos de cabeza a la revisión de nuestros logs, debemos partir de un plan:
- Identificar aquellas fuentes de logs y herramientas automáticas que podemos utilizar durante el análisis.
- Copiar los registros de logs a una ubicación desde la que poder revisarlos.
- Minimizar el "ruido", es decir, la rutina: las entradas repetitivas que dificulten la revisión tras confirmar que se traten de eventos legítimos.
- Determinar si se puede confiar en las marcas de los tiempos del registro de logs, teniendo en cuenta la zona horaria.
- Centrarse en los cambios más recientes, errores, fallos, cambios de estado, eventos de acceso y de administración y en otros eventos sospechosos o inusuales en su entorno.
- Correlacionar las actividades con diferentes logs para hacerse una imagen completa.
- Desarrollar teorías sobre lo que ha podido ocurrir, para luego explorar los registros y confirmarlas o descartarlas.
La metodología de análisis es fundamental para invertir bien el tiempo y saber dónde buscar para resolver el incidente lo antes posible
Centra tus esfuerzos en buscar Registros de: Sistema operativo del servidor y equipos, aplicaciones, herramientas de seguridad, Proxy de salida y aplicación de usuario final, así como otras fuentes de seguridad.
¿Qué keywords buscar en sistemas Linux y aplicaciones principales (/var/log)?
- Inicio de sesión exitosos: "Accepted password"; "Accepted publickey"; "session opened";
- Inicio de sesión fallido: "authentication failure"; "failed password";
- Usuario desconectado: "session closed";
- Cuenta de usuario cambiada o eliminada: "password changed"; "new user"; "delete user";
- Acciones Sudo: "sudo: … COMMAND=…" "FAILED su";
- Fallo del servicio: "failed" or "failure";
¿Qué códigos buscar en sistemas Windows y aplicaciones principales (Registro de eventos de Windows (Seguridad, Sistema, Aplicación)?
- Eventos de conexión o desconexión de usuarios: Éxito: "528", "540"; Desconexión: "538", "551", etc; Fallo: "529-537", "539";
- Cambios en cuentas de usuario: Creación: "624"; Permitido: "626"; Cambios: "642"; Desactivación: "629"; Eliminada: "630";
- Cambios en contraseña: Propia: "628"; Otros: "627";
- Inicio o detención del sistema: "7035", "7036", etc;
- Acceso de objeto denegado (auditorías permitidas): "560", "567", etc;
¿Qué buscar en dispositivos de Red (ejemplos basados en registros Cisco ASA)?
- Tráfico permitido por el firewall: "Built … connection"; "access-list … permitted";
- Tráfico bloqueado por el firewall: "access-list … denied"; “deny inbound"; “Deny … by";
- Bytes transferidos: "Teardown TCP connection … duration … bytes …";
- Ancho de banda y protocolo: "limit … exceeded"; "CPU utilization";
- Actividad de ataque detectada: "attack from";
- Cambios en cuentas de usuario: "user added"; "user deleted"; "User priv level changed";
- Acceso de administrador: “AAA user …"; "User … locked out"; "login failed";
¿Qué buscar en servidores web?
- Intentos excesivos de acceso a archivos inexistentes;
- Código (SQL o HTML) como parte de la URL;
- Acceso a extensiones no implementadas;
- Mensajes de inicio, detención o fallo del servicio web;
- Acceso a páginas de riesgo que aceptan entradas del usuario;
- Códigos de error 200 en archivos que no son suyos;
- Consulte los registros de todos los servidores de equilibrio de carga del grupo;
- Autenticación de usuario fallida: Código "401", "403";
- Solicitud inválida: Código "400";
- Error interno del servidor: Código "500";
Sigue estos pasos a modo de checklist a la hora de revisar tus registros de logs en caso de incidente y optimiza tus procesos. Además, puedes seguir los pasos también para revisiones rutinarias de los registros, o confiar en profesionales experimentados que te ayude a hacerlo.
¿Te interesa este tema o te preocupa tu ciberseguridad? Síguenos en redes SCASSI Ciberseguridad para estar al día de todas nuestras novedades y consúltanos. ¡Estamos aquí para ayudarte!