Cómo hacer la revisión de Logs al ocurrir un Incidente de Seguridad.

Fuente:  SANS Institute.  Autores: Anton Chuvakin & Lenny Zeltser.

REVISION DE LOGS

ENFOQUE GENERAL.

  1. Identificar cuáles son las fuentes de log disponibles y las herramientas automatizadas que se pueden utilizar para realizar la revisión.
  2. Realizar una copia de los logs a otra ubicación en la que puedan revisarse sin alterar los registros originales.
  3. Eliminar el ruido relacionado con líneas repetitivas, después de confirmar que el evento registrado era benigno.
  4. Considerar la zona horaria al analizar la fecha y hora de los eventos registrados.
  5. Mantener el enfoque en todos los eventos asociados a:
    1. 1 Cambios
    2. 1 Fallas
    3. 1 Errores
    4. 1 Accesos
    5. 1 Eventos Administrativos
    6. 1 Eventos Inusuales.
  6. Revisar los logs un período de tiempo anterior y posterior al incidente de seguridad.
  7. Correlacionar los distintos eventos registrados en los logs para tener una imagen completa de lo que ocurrió.
  8. Desarrollar Teorías acerca de lo que ocurrió y luego verifique si los logs confirman o descartan la teoría.

DONDE BUSCAR.

  • Repositorios de logs de los Sistemas Operativos existentes en los Servidores y Estaciones de Trabajo.
  • Repositorios de los Servidores de Aplicación como WEB y/o Base de Datos.
  • Logs de las herramientas de Seguridad como Antivirus, Firewall, IPS.
  • Registros de Eventos en las Aplicaciones de los Usuarios.
  • No Olvide revisar cualquier otro evento de seguridad aunque provenga de fuentes que no registran Logs.

 

 

 

 

 

Anuncios