Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Guía para CIS Control 8: Gestión de registros de auditoría

Guía para CIS Control 8: Gestión de registros de auditoría

Jun 16, 2022

Introducción a CIS Control 8

CIS Control 8 Center for Internet Security (CIS) versión 8 cubre la gestión de registros de auditoría. (En la versión 7, este tema estaba cubierto por el Control 6.) Este control de seguridad detalla salvaguardias importantes para establecer y mantener registros de auditoría, incluyendo su recolección, almacenamiento, sincronización de tiempo, retención y revisión.

Contenido relacionado seleccionado:

Se configuran independientemente dos tipos de registros durante la implementación del sistema:

  • Los registros del sistema proporcionan datos sobre eventos a nivel de sistema como los tiempos de inicio y fin de procesos.
  • Los registros de auditoría incluyen eventos a nivel de usuario como inicios de sesión y acceso a archivos. Los registros de auditoría son críticos para investigar incidentes de ciberseguridad y requieren más esfuerzo de configuración que los registros del sistema.

Gestión de registros

Debido a que los entornos de TI generan tantos eventos, necesita una gestión de registros para asegurarse de capturar información valiosa y poder analizarla rápidamente. Todos los activos de software y hardware, incluidos cortafuegos, proxies, VPNs y sistemas de acceso remoto, deben estar configurados para retener datos valiosos.

Además, las mejores prácticas recomiendan que las organizaciones escaneen sus registros periódicamente y los comparen con su inventario de activos de TI (que debe ser ensamblado de acuerdo con CIS Control 1) para evaluar si cada activo está conectado activamente a su red y generando registros como se espera.

Un aspecto del manejo efectivo de registros que a menudo se pasa por alto es la necesidad de tener todos los sistemas sincronizados en tiempo con un servidor central de Protocolo de Tiempo de Red (NTP) para establecer una secuencia clara de eventos.

El papel de la gestión de registros

La gestión de registros implica la recolección, revisión y retención de registros, así como la alerta sobre actividades sospechosas en la red o en un sistema. Una gestión adecuada de registros ayuda a las organizaciones a detectar signos tempranos de una violación o ataque que aparecen en los registros del sistema.

También les ayuda a investigar y recuperarse de incidentes de seguridad. Los registros de auditoría proporcionan un nivel de detalle forense, incluyendo un registro paso a paso del origen, identidad y metodología de los atacantes. Los registros de auditoría también son críticos para la investigación de incidentes, indicándote cuándo y cómo ocurrió el ataque, qué información fue accedida y si los datos fueron robados o destruidos. Los registros son igualmente esenciales para investigaciones de seguimiento y pueden ser utilizados para identificar el comienzo de cualquier ataque prolongado que haya pasado desapercibido durante semanas o meses.

A continuación, se presenta un desglose del CIS Control 8: Audit Log Management para guiar sus esfuerzos de cumplimiento.

Medida de protección 8.1: Establezca y mantenga un proceso de gestión de registros de auditoría

Establezca y mantenga un proceso de gestión de registros de auditoría que defina los requisitos de registro de la empresa. Como mínimo, aborde la recolección, revisión y retención de registros de auditoría para los activos de la empresa. Revise y actualice la documentación anualmente o cuando cambios significativos en la empresa puedan impactar esta salvaguarda.

¿Por qué es necesaria la auditoría de registros?

Los registros de auditoría capturan y registran eventos y cambios en dispositivos de TI a través de la red. Como mínimo, los datos del registro deben incluir:

  • Grupo — El equipo, organización o cuenta de donde proviene la actividad
  • Actor — Los UUID, nombres de usuario y nombres de tokens de API de la cuenta responsable de la acción
  • Nombre del evento — El nombre estándar para un evento específico
  • Descripción — Una descripción comprensible que puede incluir enlaces a información relacionada
  • Acción — Cómo fue alterado el objeto
  • Tipo de acción — El tipo de acción, como crear, leer, actualizar o eliminar
  • Cuando — La marca de tiempo sincronizada con NTP
  • Dónde — El país de origen, número de identificación del dispositivo o dirección IP de origen

Los administradores de sistemas y auditores utilizan estos detalles para examinar la actividad sospechosa de la red y resolver problemas. Los registros proporcionan una base para el comportamiento normal y una visión del comportamiento anormal.

Ventajas del registro de auditoría

El registro de auditoría tiene las siguientes ventajas:

  • Mejora de la seguridad, basada en las percepciones de la actividad
  • Prueba de cumplimiento con estándares y regulaciones como HIPAA y PCI DSS
  • Gestión de riesgos para controlar los niveles de riesgo y demostrar la debida diligencia a las partes interesadas

Los cuatro pasos del registro de auditoría

Paso 1. Inventario de sus sistemas y hardware y establecimiento de prioridades preliminares.

Realice un inventario de todos los dispositivos y sistemas dentro de la red, incluyendo:

  • Computadoras
  • Servidores
  • Dispositivos móviles
  • Plataformas de almacenamiento de archivos
  • Dispositivos de red como cortafuegos, conmutadores y enrutadores

Asigne un valor a los datos almacenados en cada activo. Considere el valor de los roles que estos activos desempeñan y la criticidad de los datos para fines comerciales. El objetivo es una evaluación de riesgo estimada para cada activo para futuras evaluaciones.

Paso 2. Consolide y reemplace los activos.

Utilice el inventario para evaluar el equipo y las plataformas obsoletas para su reemplazo. Incluya el tiempo estimado necesario para implementar los reemplazos o consolidar plataformas con un objetivo final de auditar su entorno.

Determine fácilmente los activos auditados frente a los activos que requieren un esfuerzo adicional de auditoría. Documente todo para medir el progreso y crear una referencia para los auditores.

Paso 3. Categorice los recursos restantes de más a menos auditable.

Revise sus sistemas restantes y determine cómo se relacionan con el almacenamiento de datos o el control de acceso. Clasifique los activos basándose en la probabilidad esperada de una auditoría. Asegúrese de que la información con el mayor riesgo o valor esté almacenada en los sistemas más fácilmente auditables.

Paso 4. Busque una solución de auditoría que cubra la mayor cantidad de activos en el menor tiempo.

Al seleccionar una solución, busque un proveedor con un amplio conjunto de herramientas y un excelente servicio al cliente. El proveedor debe tener un historial comprobado de proporcionar mejoras y actualizaciones de productos para mantenerse al día con los requisitos de auditoría en constante cambio y el entorno de riesgo.

Para simplificar la gestión, minimice la cantidad de licencias, contactos y acuerdos de soporte. Además, busque licencias flexibles, escalabilidad y almacenamiento centralizado a largo plazo que satisfaga sus necesidades.

Medida de protección 8.2: Recolectar registros de auditoría

Recolecte registros de auditoría. Asegúrese de que el registro esté habilitado en todos los activos empresariales según el proceso de gestión de registros de auditoría de la empresa.

Cada organización debe auditar lo siguiente:

  • Sistemas, incluyendo todos los puntos de acceso
  • Dispositivos, incluyendo servidores web, servidores de autenticación, switches, routers y estaciones de trabajo
  • Aplicaciones, incluyendo cortafuegos y otras soluciones de seguridad

Medida de protección 8.3: Asegure un almacenamiento adecuado de registros de auditoría

Asegúrese de que los destinos de registro mantengan almacenamiento adecuado para cumplir con el proceso de gestión de registros de la empresa.

Almacenar registros de auditoría es un requisito de la mayoría de las regulaciones legales y estándares. Además, el almacenamiento de registros es necesario para permitir el análisis forense para investigar y remediar un evento.

Los tipos clave de datos a retener incluyen:

  • Identificadores de usuario y credenciales
  • Identidades de terminal
  • Cambios en la configuración del sistema
  • Fecha y hora del evento
  • Intentos de inicio de sesión exitosos y fallidos

La publicación NIST SP 800-92 Secciones 5.1 y 5.4 hablan sobre el desarrollo de políticas y la gestión de almacenamiento a largo plazo.

Períodos de retención de registros

La política organizacional debe determinar cuánto tiempo cada registro debe almacenar datos dependiendo del valor de los datos y otros factores:

  • No almacenado — Datos de poco valor
  • Solo a nivel de sistema — Datos de cierto valor para la administración del sistema pero no suficientes para ser enviados a la infraestructura de gestión de registros
  • Tanto a nivel de sistema como de infraestructura — Datos requeridos para retención y centralización
  • Infraestructura solamente — Cuando los registros del sistema tienen capacidad de almacenamiento limitada

La política también establece la rotación local de registros para todas las fuentes de registro. Puede configurar sus registros para que roten regularmente y cuando el registro alcance su tamaño máximo. Si los registros están en un formato propietario que no permite una rotación fácil, debe decidir si dejar de registrar, sobrescribir las entradas más antiguas o detener el generador de registros.

Los períodos de retención de registros dependen de la naturaleza de su negocio y de sus políticas organizativas. La mayoría de las empresas conservan registros de auditoría, registros de IDS y registros de firewall por lo menos durante dos meses. Algunas regulaciones exigen desde seis meses hasta siete años.

Si debe retener registros durante un período relativamente largo, debe elegir un formato de registro para todos los datos archivados y usar un tipo específico de medio de respaldo seleccionado por su presupuesto y otros factores. Verifique la integridad de los registros transferidos y almacene el medio de manera segura fuera del sitio.

Medida de protección 8.4: Estandarizar la sincronización de tiempo

Estandarice la sincronización de tiempo. Configure al menos dos fuentes de tiempo sincronizadas en los activos empresariales, donde sea posible.

Cada host que genera registros hace referencia a un reloj interno para marcar eventos con una fecha y hora. La falta de sincronización de los registros con una fuente de tiempo central puede causar problemas con la investigación forense de las líneas de tiempo de incidentes y llevar a interpretaciones erróneas de los datos de registro. Sincronizar las marcas de tiempo entre activos permite la correlación de eventos y un rastro de auditoría preciso, especialmente si los registros provienen de múltiples hosts.

Medida de protección 8.5: Recolecte registros de auditoría detallados

Configure el registro detallado de auditoría para los activos empresariales que contienen datos sensibles. Incluya la fuente del evento, fecha, nombre de usuario, marca de tiempo, direcciones de origen, direcciones de destino y otros elementos útiles que podrían ayudar en una investigación forense.

El análisis forense de los registros es imposible sin detalles. Más allá de la información indicada en la salvaguarda, también es necesario capturar entradas de eventos ya que proporcionan información relacionada con un evento específico que ocurrió e impactó un dispositivo cubierto.

Recolecte registros de auditoría detallados para:

  • Eventos del sistema operativo — Inicio y apagado del sistema, inicio y apagado de servicios, cambios en las conexiones de red o fallos, y intentos exitosos y fallidos de cambiar la configuración y controles de seguridad del sistema
  • Registros de auditoría del sistema operativo — Intentos de inicio de sesión, funciones realizadas después del inicio de sesión, cambios en las cuentas, información y operaciones

Cada registro de auditoría debe proporcionar lo siguiente:

  • Marca temporal
  • Evento, estado y cualquier código de error
  • Tiempo de servicio/comando/aplicación
  • Usuario o cuenta de sistema asociada con el evento
  • Dispositivo utilizado e IPs de origen y destino
  • ID de sesión de terminal
  • Navegador web
  • Otros datos según sea necesario

Medida de protección 8.6: Recolecte registros de auditoría de consultas DNS

Recolecte registros de auditoría de consultas DNS en activos empresariales, donde sea apropiado y soportado.

La importancia de recopilar registros de auditoría de consultas DNS

La recolección de registros de auditoría de consultas DNS reduce el impacto de un ataque DNS. El evento registrado puede incluir:

  • Actualizaciones dinámicas
  • Transferencias de zona
  • Limitación de tasa
  • Firma de DNS
  • Otros detalles importantes

Riesgos y ataques de DNS

El secuestro de DNS utiliza malware para modificar los servidores de nombres configurados en las estaciones de trabajo y hacer que las solicitudes de DNS se envíen a servidores maliciosos. El secuestro permite el phishing, el pharming, la distribución de malware y la publicación de una versión desfigurada de su sitio web.

El túnel DNS se refiere al acceso a consultas DNS, términos y respuestas que contienen cargas de datos que posiblemente transportan malware, datos robados, protocolos bidireccionales, derechos e información de comando y control.

Los ataques de denegación de servicio (DoS) aumentan la carga en su servidor hasta que no puede responder a solicitudes legítimas.

El envenenamiento de la caché DNS, también conocido como suplantación, es similar al secuestro, donde el resolutor DNS acepta un registro de origen inválido debido a una vulnerabilidad.

Medida de protección 8.7: Recolecte registros de auditoría de solicitudes de URL

Recolecte registros de auditoría de solicitudes de URL en activos empresariales, donde sea apropiado y soportado.

Las solicitudes de URL pueden exponer información a través de la cadena de consulta y pasar datos sensibles a los parámetros en la URL. Los atacantes luego obtienen nombres de usuario, contraseñas, tokens y otra información potencialmente sensible. Usar HTTPS no resuelve esta vulnerabilidad.

Los posibles riesgos asociados a las solicitudes de URL incluyen:

  • Navegación forzada
  • Manipulación o recorrido de ruta
  • Inyección de recursos

Medida de protección 8.8: Recolecte registros de auditoría de línea de comandos

Recopile registros de auditoría de línea de comandos. Ejemplos de implementaciones incluyen la recopilación de registros de auditoría de PowerShell®, BASH®, y terminales administrativos remotos.

Un actor de amenazas puede utilizar una transmisión de datos insegura, como cookies y formularios, para inyectar un comando en el shell del sistema de un servidor web. El atacante luego aprovecha los privilegios de las aplicaciones vulnerables. La inyección de comandos incluye la ejecución directa de comandos de shell, inyectando archivos maliciosos en el entorno de ejecución y explotando vulnerabilidades de archivos de configuración.

Un riesgo asociado con un exploit de línea de comandos es la ejecución de comandos arbitrarios en el sistema operativo, especialmente cuando una aplicación pasa datos suministrados por el usuario no seguros a una shell del sistema.

Por lo tanto, las organizaciones deben registrar datos sobre el uso de la línea de comandos.

Medida de protección 8.9: Centralice los registros de auditoría

En la medida de lo posible, centralice la recolección y retención de registros de auditoría en todos los activos empresariales.

Los hackers suelen utilizar la táctica de eliminar archivos de registro locales para eliminar evidencia de su actividad. Una base de datos centralizada y secure database de datos de registro frustra esta táctica y permite la comparación de registros en múltiples sistemas.

Medida de protección 8.10: Retenga registros de auditoría

Retenga registros de auditoría en los activos empresariales por un mínimo de 90 días.

Los beneficios de la retención de registros incluyen facilitar el análisis forense de ataques descubiertos mucho tiempo después de que el sistema fue comprometido. Muchas normas y regulaciones exigen la retención de registros de auditoría para cumplir con la conformidad, y la preservación de los datos de registros ayuda a asegurar la integridad de los datos.

Los registros rastrean todos los cambios en los registros para que pueda descubrir modificaciones no autorizadas realizadas por una fuente externa o debido a errores en el desarrollo interno o la administración del sistema.

Medida de protección 8.11: Realice revisiones de registros de auditoría

Realice revisiones de los registros de auditoría para detectar anomalías o eventos inusuales que podrían indicar una amenaza potencial. Realice revisiones semanalmente o con mayor frecuencia.

Revise los registros para detectar eventos anormales que podrían señalar una amenaza. Úselos para hacer coincidir los endpoints con el inventario y configurar nuevos endpoints si es necesario. Además, revise los registros de auditoría para asegurarse de que el sistema genere los registros apropiados.

Realice revisiones semanalmente o con mayor frecuencia.

Medida de protección 8.12 Recopile registros de proveedores de servicios

Recolecte registros de proveedores de servicios, donde sea compatible. Las implementaciones de ejemplo incluyen la recolección de eventos de autenticación y autorización, eventos de creación y disposición de datos, y eventos de gestión de usuarios.

Aunque su proveedor de servicios pueda garantizar la seguridad, usted desea verificar la integridad de los registros que recibe y asegurarse de que el proveedor cumple con las regulaciones. Además, en caso de un incidente, necesita los datos para el análisis forense.

El proveedor debe recopilar eventos de autenticación y autorización, eventos de creación y disposición de datos, y eventos de gestión de usuarios.

A medida que la computación en la nube crece, los atacantes están apuntando cada vez más a los servicios. Un hacker podría falsificar una URL y redirigir al usuario a un sitio de proveedor falso o causar otros daños. Si un proveedor de servicios experimenta un problema de seguridad, puede que no notifique a sus clientes con prontitud. Además, podrías descubrir que el proveedor de servicios no tiene el nivel de seguridad que esperas o requieres.

Resumen

El Control 8 contiene salvaguardias actualizadas para la gestión de registros de auditoría, una función crítica requerida para establecer y mantener registros de auditoría, incluyendo la recolección, almacenamiento, sincronización de tiempo, retención y revisión.

Cada salvaguarda aborda un aspecto de la gestión de registros de auditoría para ayudarlo a mantener el cumplimiento con los estándares y proporcionarle información en caso de auditorías o ataques.

FAQ

¿Qué significa registro de auditoría?

Un registro de auditoría es un método para retener datos sobre eventos a nivel de usuario. Contiene información específica para ayudar a identificar al actor y las acciones realizadas.

¿Cuál es la función de un registro de auditoría?

El registro se puede utilizar para análisis forense en caso de un ataque y para determinar la integridad de los datos del registro. También proporciona prueba de cumplimiento con los estándares.

¿Qué debe incluirse en un registro de auditoría?

Un registro de auditoría debe incluir lo siguiente:

  • Grupo
  • Actor
  • Tipo de acción
  • Nombre y descripción del evento
  • Marca temporal
  • Ubicación de origen

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Dirk Schrader

Vicepresidente de Investigación de Seguridad

Dirk Schrader es un Resident CISO (EMEA) y VP de Security Research en Netwrix. Con 25 años de experiencia en seguridad informática y certificaciones como CISSP (ISC²) y CISM (ISACA), trabaja para promover la ciberresiliencia como un enfoque moderno para enfrentar las amenazas cibernéticas. Dirk ha trabajado en proyectos de ciberseguridad en todo el mundo, comenzando en roles técnicos y de soporte al inicio de su carrera y luego pasando a posiciones de ventas, marketing y gestión de productos tanto en grandes corporaciones multinacionales como en pequeñas startups. Ha publicado numerosos artículos sobre la necesidad de abordar la gestión de cambios y vulnerabilidades para lograr la ciberresiliencia.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad