Toutes les actualités

Gestión de logs en caso de incidente ¿qué revisar?

Analizar y gestionar los logs es una tarea esencial para la monitorización de nuestros sistemas y la detección y gestión de incidentes. Sin embargo, en estos casos el tiempo es crucial y disponer de un buen plan es clave para recuperarnos de un ciberincidente.

photo de SCASSI
SCASSI
análisis de log

Los sistemas registran toda la actividad de los usuarios y de sus procesos internos, como inicios de sesión, origen de estos, tiempo de actividad u otras acciones en registros de eventos o logs y permiten a los administradores anticiparse a potenciales incidentes o situaciones problemáticas. Para analizarlos, necesitamos entender y como funcionan. Antes de lanzarnos de cabeza a la revisión de nuestros logs, debemos partir de un plan:

  1. Identificar aquellas fuentes de logs y herramientas automáticas que podemos utilizar durante el análisis.
  2. Copiar los registros de logs a una ubicación desde la que poder revisarlos.
  3. Minimizar el "ruido", es decir, la rutina: las entradas repetitivas que dificulten la revisión tras confirmar que se traten de eventos legítimos.
  4. Determinar si se puede confiar en las marcas de los tiempos del registro de logs, teniendo en cuenta la zona horaria.
  5. Centrarse en los cambios más recientes, errores, fallos, cambios de estado, eventos de acceso y de administración y en otros eventos sospechosos o inusuales en su entorno.
  6. Correlacionar las actividades con diferentes logs para hacerse una imagen completa.
  7. Desarrollar teorías sobre lo que ha podido ocurrir, para luego explorar los registros y confirmarlas o descartarlas.

La metodología de análisis es fundamental para invertir bien el tiempo y saber dónde buscar para resolver el incidente lo antes posible

Centra tus esfuerzos en buscar Registros de: Sistema operativo del servidor y equipos, aplicaciones, herramientas de seguridad, Proxy de salida y aplicación de usuario final, así como otras fuentes de seguridad.

¿Qué keywords buscar en sistemas Linux y aplicaciones principales (/var/log)?

  • Inicio de sesión exitosos: "Accepted password"; "Accepted publickey"; "session opened";
  • Inicio de sesión fallido: "authentication failure"; "failed password";
  • Usuario desconectado: "session closed";
  • Cuenta de usuario cambiada o eliminada: "password changed"; "new user"; "delete user";
  • Acciones Sudo: "sudo: … COMMAND=…" "FAILED su";
  • Fallo del servicio: "failed" or "failure";

 ¿Qué códigos buscar en sistemas Windows y aplicaciones principales (Registro de eventos de Windows (Seguridad, Sistema, Aplicación)?

  • Eventos de conexión o desconexión de usuarios: Éxito: "528", "540"; Desconexión: "538", "551", etc; Fallo: "529-537", "539";
  • Cambios en cuentas de usuario: Creación: "624"; Permitido: "626"; Cambios: "642"; Desactivación: "629"; Eliminada: "630";
  • Cambios en contraseña: Propia: "628"; Otros: "627";
  • Inicio o detención del sistema: "7035", "7036", etc;
  • Acceso de objeto denegado (auditorías permitidas): "560", "567", etc;

¿Qué buscar en dispositivos de Red (ejemplos basados en registros Cisco ASA)?

  • Tráfico permitido por el firewall: "Built … connection"; "access-list … permitted";
  • Tráfico bloqueado por el firewall: "access-list … denied"; “deny inbound"; “Deny … by";
  • Bytes transferidos: "Teardown TCP connection … duration … bytes …";
  • Ancho de banda y protocolo: "limit … exceeded"; "CPU utilization";
  • Actividad de ataque detectada: "attack from";
  • Cambios en cuentas de usuario: "user added"; "user deleted"; "User priv level changed";
  • Acceso de administrador: “AAA user …"; "User … locked out"; "login failed";

 ¿Qué buscar en servidores web?

  • Intentos excesivos de acceso a archivos inexistentes;
  • Código (SQL o HTML) como parte de la URL;
  • Acceso a extensiones no implementadas;
  • Mensajes de inicio, detención o fallo del servicio web;
  • Acceso a páginas de riesgo que aceptan entradas del usuario;
  • Códigos de error 200 en archivos que no son suyos;
  • Consulte los registros de todos los servidores de equilibrio de carga del grupo;
  • Autenticación de usuario fallida: Código "401", "403";
  • Solicitud inválida: Código "400";
  • Error interno del servidor: Código "500";

Sigue estos pasos a modo de checklist a la hora de revisar tus registros de logs en caso de incidente y optimiza tus procesos. Además, puedes seguir los pasos también para revisiones rutinarias de los registros, o confiar en profesionales experimentados que te ayude a hacerlo.

¿Te interesa este tema o te preocupa tu ciberseguridad? Síguenos en redes SCASSI Ciberseguridad para estar al día de todas nuestras novedades y consúltanos. ¡Estamos aquí para ayudarte!