Fuente: SANS Institute. Autores: Anton Chuvakin & Lenny Zeltser.
ENFOQUE GENERAL.
- Identificar cuáles son las fuentes de log disponibles y las herramientas automatizadas que se pueden utilizar para realizar la revisión.
- Realizar una copia de los logs a otra ubicación en la que puedan revisarse sin alterar los registros originales.
- Eliminar el ruido relacionado con líneas repetitivas, después de confirmar que el evento registrado era benigno.
- Considerar la zona horaria al analizar la fecha y hora de los eventos registrados.
- Mantener el enfoque en todos los eventos asociados a:
- 1 Cambios
- 1 Fallas
- 1 Errores
- 1 Accesos
- 1 Eventos Administrativos
- 1 Eventos Inusuales.
- Revisar los logs un período de tiempo anterior y posterior al incidente de seguridad.
- Correlacionar los distintos eventos registrados en los logs para tener una imagen completa de lo que ocurrió.
- Desarrollar Teorías acerca de lo que ocurrió y luego verifique si los logs confirman o descartan la teoría.
DONDE BUSCAR.
- Repositorios de logs de los Sistemas Operativos existentes en los Servidores y Estaciones de Trabajo.
- Repositorios de los Servidores de Aplicación como WEB y/o Base de Datos.
- Logs de las herramientas de Seguridad como Antivirus, Firewall, IPS.
- Registros de Eventos en las Aplicaciones de los Usuarios.
- No Olvide revisar cualquier otro evento de seguridad aunque provenga de fuentes que no registran Logs.
Todo lo relacionado con WatchGuard, eScan, Paessler y nuestros comentarios acerca de Seguridad IT 