Esta publicación ofrece a las personas que practican la ciberseguridad recomendaciones detalladas sobre los registros que deben ser prioritarios para la ingestión por la plataforma Security Information and Event Management (SIEM). Las recomendaciones deben considerarse como orientación general; cada organización debe adaptar la recolección, la centralización y el análisis de registros a su entorno específico y a su perfil de riesgos.
Principios clave:
- Incremento gradual: Las personas responsables deben aplicar un enfoque de incorporación gradual del número y de los tipos de fuentes de datos admitidas por la plataforma SIEM, en lugar de añadirlos todos a la vez
- Enfoque orientado a la amenaza: el equipo de defensa puede usar la guía de identificadores de evento prioritarios como punto de partida para buscar actividad adversaria
- Adecuación al entorno: Las organizaciones deben consultar las recomendaciones específicas de los proveedores para obtener información adaptada a cada sistema operativo
Esta publicación es la tercera de una serie de guías sobre plataformas SIEM/SOAR:
- Guía para responsables - define las plataformas, describe las ventajas y los retos
- Guía para especialistas - proporciona principios de buenas prácticas para la implementación
- Registros prioritarios para la ingestión por SIEM - recomendaciones técnicas detalladas sobre las fuentes de registros
Consideraciones sobre riesgos
Las decisiones sobre registro deben basarse en el entorno específico y en el perfil de riesgos de la organización. Para cada fuente de datos su organización debe evaluar:
- Propósito de uso: No se recomienda registrar por registrar. Cada fuente debe tener un propósito claro o un caso de uso.
- Priorización: Las fuentes de datos de alta prioridad deben incorporarse en primer lugar en nuevos despliegues de SIEM, y su estado debe verificarse de forma periódica.
- Volumen de registros: Por ejemplo, el volumen de registros de un cortafuegos o del DNS puede eclipsar la importancia de la información recibida.
- Valor analítico: Las fuentes de datos de alto volumen pueden consultarse para detectar anomalías a lo largo del tiempo o correlaciones con otras fuentes de datos.
Consideraciones arquitectónicas
La arquitectura de registro incluye un proceso en dos fases:
- Generación, recolección y transmisión de registros a un punto de centralización
- Ingestión de esos registros por el SIEM, ya sea directamente desde la fuente o desde el punto de centralización
Es probable que las organizaciones tengan motivos legales o regulatorios para registrar distintas fuentes y enviar esos registros a un lugar centralizado. Sin embargo, los autores de la guía desaconsejan usar el SIEM como repositorio central para todos los registros.
Principio: El SIEM debe utilizarse únicamente para centralizar registros de seguridad concretos de acuerdo con el perfil de riesgos de la organización.
Categorías prioritarias de registro
Las siguientes categorías de fuentes de datos se presentan sin orden estricto de prioridad:
Prioridad 1-4 (Crítico)
- Registros EDR - Registros de detección y respuesta de endpoints
- Dispositivos de red - Cortafuegos, enrutadores, VPN
- Controlador de dominio Microsoft - Controladores de dominio de Active Directory
- Active Directory y servicios de dominio - Registros de seguridad de servicios de dominio
Prioridad 5-8 (Alta)
- Endpoints Windows - Registros de estaciones de trabajo y servidores Windows
- Sistemas de virtualización - Hipervisores y máquinas virtuales
- Tecnologías operativas - Sistemas de control industrial
- Plataformas en la nube - AWS, Azure, GCP
Prioridad 9-14 (Media)
- Contenedores - Docker, Kubernetes
- Bases de datos - Registros de sistemas de gestión de bases de datos
- Dispositivos móviles - Registros de MDM
- Servidor DNS de Windows - Registros analíticos de eventos
- Endpoints Linux - Registros de auditoría de Linux
- Apple macOS - Registros de endpoints macOS
Recomendaciones detalladas sobre registros
Registros EDR (detección y respuesta de endpoints)
| Categoría | Subcategoría | Evento |
|---|---|---|
| AmCache | Archivo del registro usado en la creación de procesos | Todos |
| Antivirus | Detección por firmas, alertas de reputación | Todos |
| Conexiones de red | Puertos, protocolos, direcciones IP | Todas activas |
| Eventos de archivos | Intentos de acceso fallidos, ejecución, descargas | Todos |
| Información del sistema | Nombre del sistema, nombre del host, zona horaria, SO | Todos |
| Registro de Windows | Hora de modificación, cambios, ubicación | Todos |
| Historial de comandos | Comandos ejecutados recientemente | Todos |
Dispositivos de red
| Función | Subcategoría | Evento |
|---|---|---|
| Cortafuegos | Flujos entrantes | Bloqueados |
| Cortafuegos | Flujos salientes | Bloqueados/Permitidos |
| Enrutadores/Conmutadores | Tráfico entrante/saliente | NetFlow |
| VPN | Conexiones permitidas/bloqueadas | Todos |
| Proxy web | Registros de solicitudes web, inspección SSL/TLS | Todos |
| Dispositivos de correo | Reputación IP y de dominio, remitentes, destinatarios | Todos |
Controlador de dominio Microsoft - ID de evento clave
| Categoría | Subcategoría | ID de evento |
|---|---|---|
| Inicio de sesión | Verificación de credenciales | 4776 |
| Kerberos | Servicio de autenticación | 4768 |
| Kerberos | Operaciones de tickets de servicio | 4769 |
| Gestión de cuentas | Gestión de cuentas de equipo | 4741, 4742, 4743 |
| Gestión de grupos de seguridad | Adición/eliminación de miembros de grupo | 4728, 4729, 4732, 4733 |
| Inicio/Cierre de sesión | Inicio correcto/error | 4624, 4625 |
| Servicios de directorio | Cambios en objetos del directorio | 5136, 5137, 5141 |
| Seguimiento de procesos | Creación de proceso | 4688 |
Endpoints Windows - ID de evento clave
| Categoría | Subcategoría | ID de evento |
|---|---|---|
| Registros de aplicaciones de Windows | Creación de proceso (Sysmon) | 1 |
| Registros de aplicaciones de Windows | Fallos (incluidos mensajes de error) | 1001 |
| Programador de tareas de Windows | Tarea ejecutada al iniciar sesión | 119 |
| PowerShell | Eventos de módulo/bloque de script | 4103, 4104 |
| Registros de seguridad de Windows | Registro de auditoría borrado | 1102 |
| Registros de seguridad de Windows | Nuevo proceso creado | 4688 |
| Registros de seguridad de Windows | Servicio instalado | 4697, 7045 |
| Registros de seguridad de Windows | Tarea programada creada/actualizada | 4698, 4702 |
| AppLocker | Archivo bloqueado/Política modificada | 8004, 8001 |
Plataformas en la nube
Amazon Web Services
| Servicio | Tipo de registros |
|---|---|
| CloudTrail | Todos los registros de API |
| VPC | Registros de flujo de red |
| S3 | Registros de acceso al servidor |
| IAM | Todos los eventos de autenticación |
| EC2 | Creación de instancias, modificación de grupos de seguridad |
Microsoft Azure
| Servicio | Tipo de registros |
|---|---|
| Entra ID | Registro unificado de auditoría |
| Azure AD | Registros de inicio de sesión |
| Office 365 | Registro unificado de auditoría |
| Máquinas virtuales | Registros del SO (Linux/Windows) |
| Almacenamiento | Registros de contenedores |
Endpoints Linux
| Categoría | Subcategoría | Evento |
|---|---|---|
| Acceso de usuario | Directorios sensibles (/sbin) | Todos |
| Autenticación | Sesiones SSH, inicios/cierres de sesión | Todos |
| Eventos privilegiados | Privilegios sudo/root | Modificación |
| Eventos del sistema | Montaje de discos, carga de módulos | Todos |
| Eventos de archivos | Intentos de acceso fallidos | Todos |
| Eventos de red | Cambios de nombre de host, conexiones | Todos |
Bases de datos
| Categoría | Subcategoría | Evento |
|---|---|---|
| Autenticación de usuarios | Inicio de sesión (éxito/fallo) | Todos |
| Acceso y acciones de usuarios | Acceso a tablas y objetos | Todos |
| Ejecución de consultas | Ejecución de consultas, método, tiempo de ejecución | Todos |
| Configuración del sistema | Cambios en la estructura de la base de datos, actualizaciones de versión | Todos |
Configuración de directivas de grupo
Para generar identificadores de evento específicos en las fuentes de registros se requieren los siguientes cambios en las directivas de grupo:
Directiva de grupo del controlador de dominio
| ID de evento | Objeto de directiva de grupo |
|---|---|
| 4768, 4769 | Auditar servicio de autenticación Kerberos |
| 4741, 4742, 4743 | Auditar administración de cuentas de equipo |
| 4728, 4729, 4732, 4733 | Auditar administración de grupos de seguridad |
| 4624, 4625 | Auditar eventos de inicio de sesión |
| 4688 | Auditar creación de procesos |
| 5136, 5137, 5141 | Auditar cambios en el servicio de directorios |
Directiva de grupo para endpoints Windows
| ID de evento | Objeto de directiva de grupo |
|---|---|
| 4103 | Activar registro de módulos |
| 4104 | Activar registro de bloques de script de PowerShell |
| 4624, 4625, 4648 | Auditar eventos de inicio de sesión |
| 4688 | Auditar creación de procesos |
| 4697 | Auditar extensión del sistema de seguridad |
| 8000, 8004, 8007 | Políticas de AppLocker |
Observaciones importantes sobre la configuración:
- Implementación gradual: Comience con las fuentes de mayor prioridad y añada las demás de forma progresiva
- Pruebas de rendimiento: Supervise el impacto en el rendimiento del sistema al habilitar el registro
- Retención y archivado: Planifique políticas de retención teniendo en cuenta los volúmenes de datos generados
- Correlación de eventos: Use marcas de tiempo e identificadores únicos para correlacionar eventos entre fuentes
Conclusión
Estas recomendaciones sobre registros prioritarios proporcionan un punto de partida para un entorno de red corporativo típico. Las organizaciones deben adaptar estas recomendaciones en función de sus amenazas, capacidades y necesidades únicas, teniendo en cuenta la fiabilidad y la visibilidad de cada registro, el posible impacto en el rendimiento y los costes organizativos de soporte y análisis de datos.
Recuerde: Una estrategia de registro efectiva es un equilibrio entre la cobertura, el rendimiento del sistema y las capacidades analíticas del equipo de seguridad.
