¿Cuáles son los incidentes / eventos de seguridad más relevantes que una empresa debe monitorear con las herramientas de gestión de eventos? Relacionado con servidores, antivirus, redes, etc.
¿Cuáles son los incidentes / eventos de seguridad más relevantes que una empresa debe monitorear con las herramientas de gestión de eventos? Relacionado con servidores, antivirus, redes, etc.
Debes registrarlo todo y analizar cualquier cosa. Las personas que intentan destruir sus sitios y servidores. Todos estos son incidentes relevantes ya que representan una amenaza.
No es relevante decir qué es un incidente, ya que cada intento podría ser un evento relevante en algún momento. Lo importante es catalogarlos con diferentes niveles. Algunas amenazas representan un peligro mayor que otras. Algunos de ellos pueden contener mucho "comportamiento normal". La cuestión es que algunas cosas solo se vuelven relevantes después de analizarlas durante un período de tiempo más largo. Podrías notar que un atacante está haciendo todo lo posible por entrar. Podría obtener un servidor pirateado y luego tendría que poder regresar y buscar eventos de seguridad relacionados para aprender del incidente.
Depende de la fuente de los registros! Si el origen de los registros es Windows, busque fallos de inicio de sesión en la cuenta, restablecimiento de la contraseña o intento de cambio, eliminación o creación de una nueva cuenta, conflicto en los nombres de host. Puede visitar ultimatewindowssecurity donde puede encontrar eventos críticos para buscar.
En los registros de firewall, puede verificar el escaneo de puertos (una IP del host visita más de 100 puertos de destino en poco tiempo), los inicios de sesión de FTP en SAP, la actividad de malware.
Verifique el alto consumo de ancho de banda por cualquier aplicación o proceso.
En los registros de proxy, verifique la inyección SQL, el templado de datos, las consultas de búsqueda, etc.
Casos de uso:
Avise si se intentan 5 intentos de inicio de sesión fallidos con nombres de usuario diferentes desde la misma IP a la misma máquina en 15 minutos y luego, si se produce una conexión exitosa desde la misma IP a cualquier máquina.
Avise si un IP realiza una exploración del host y luego si la misma IP establece una conexión exitosa y luego se establece una conexión hacia atrás desde la IP conectada a la IP de conexión.
Lea otras preguntas en las etiquetas incident-response soc