La idea sería prevenir a un atacante que haya robado una cuenta de root / admin o haya escalado para borrar sus propias actividades o incluso leer los rastros de lo que está haciendo. Supongamos que estamos bajo Linux, iniciamos sesión con auditd, tenemos registros centralizados y podemos usar MAC con SELinux. Pero también me interesan las respuestas en Windows.
Una solución sería prohibir que todas las cuentas raíz accedan a los registros. Los registros se gestionan solo mediante procesos autorizados en servidores específicos de logrotate, syslog y todo lo relacionado con SIEM. Así que solo el SOC puede leer y analizar los registros de los administradores. Sólo un proceso de purga puede eliminar registros antiguos. ¿Alguien puede confirmar que esto es factible?
¿Es posible tener algo más flexible donde los administradores con sus propios privilegios de root puedan leer los registros de otras cuentas de root?