¿A qué registros e identificadores de eventos debo prestar atención cuando observo una máquina basada en Windows (estación de trabajo, servidor, controlador de dominio)?
Suponiendo que pueda agregarlos a un informe, ¿qué información debo incluir en las revisiones de los Procedimientos Operativos Estándar (SOP)?
Para el análisis de registros, OSSEC tiene algunos archivos con reglas específicas de MS diseñadas para extraer eventos de seguridad interesantes. Para ver las reglas individuales uno puede leer estos archivos:
[/ var / ossec / rules] # ls -l ms *
-r-xr-x --- 1 raíz ossec 31423 sep 7 2010 msauth_rules.xml
-r-xr-x --- 1 raíz ossec 11978 7 de septiembre de 2010 ms_dhcp_rules.xml
-r-xr-x --- 1 raíz ossec 1547 sep 7 2010 ms-exchange_rules.xml
-r-xr-x --- 1 raíz ossec 2077 sep 7 2010 ms_ftpd_rules.xml
-r-xr-x --- 1 root ossec 2190 sep 7 2010 ms-se_rules.xml
Para obtener la última copia de estos archivos de reglas, puede dirigirse a bitbucket - > enlace
(bajo Fuente - > ossec-hids / etc / rules /)
Lea otras preguntas en las etiquetas audit windows attack-prevention logging