Gestión de Registros de Auditoría
Recopilar, alertar, revisar y retener registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque.
Plantillas de Políticas Relacionadas
Salvaguardas (12)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 8.1 | Establecer y Mantener un Proceso de Gestión de Registros de Auditoría | Proteger |
IG1
IG2
IG3
|
7 | 5 |
| 8.2 | Recopilar Registros de Auditoría | Detectar |
IG1
IG2
IG3
|
8 | 5 |
| 8.3 | Asegurar Almacenamiento Adecuado de Registros de Auditoría | Proteger |
IG1
IG2
IG3
|
7 | 5 |
| 8.4 | Estandarizar la Sincronización de Tiempo | Proteger |
IG2
IG3
|
5 | 3 |
| 8.5 | Recopilar Registros de Auditoría Detallados | Detectar |
IG2
IG3
|
8 | 5 |
| 8.6 | Recopilar Registros de Auditoría de Consultas DNS | Detectar |
IG2
IG3
|
9 | 6 |
| 8.7 | Recopilar Registros de Auditoría de Solicitudes URL | Detectar |
IG2
IG3
|
8 | 5 |
| 8.8 | Recopilar Registros de Auditoría de Línea de Comandos | Detectar |
IG2
IG3
|
8 | 5 |
| 8.9 | Centralizar Registros de Auditoría | Detectar |
IG2
IG3
|
8 | 5 |
| 8.10 | Retener Registros de Auditoría | Proteger |
IG2
IG3
|
7 | 5 |
| 8.11 | Realizar Revisiones de Registros de Auditoría | Detectar |
IG2
IG3
|
8 | 5 |
| 8.12 | Recopilar Registros de Proveedores de Servicios | Detectar |
IG3
|
6 | 3 |
Detalles de Verificación de Auditoría
Establecer y mantener un proceso de gestión de registros de auditoría que defina los requisitos de registro de la empresa. Como mínimo, abordar la recopilación, revisión y retención de registros de auditoría para activos empresariales. Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Recopilar registros de auditoría. Asegurar que el registro, según el proceso de gestión de registros de auditoría de la empresa, se haya habilitado en todos los activos empresariales.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Asegurar que los destinos de registro mantengan almacenamiento adecuado para cumplir con el proceso de gestión de registros de auditoría de la empresa.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Estandarizar la sincronización de tiempo. Configurar al menos dos fuentes de tiempo sincronizadas en los activos empresariales, donde sea soportado.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Configurar el registro detallado de auditoría para activos empresariales que contengan datos sensibles. Incluir la fuente del evento, fecha, nombre de usuario, marca de tiempo, direcciones de origen, direcciones de destino y otros elementos útiles que puedan ayudar en una investigación forense.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Recopilar registros de auditoría de consultas DNS en activos empresariales, donde sea apropiado y soportado.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
El filtrado DNS está activo y bloqueando dominios maliciosos conocidos.
Configuración de filtrado DNS, estadísticas de bloqueo
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Técnico | Configuración de filtrado DNS y estadísticas de bloqueo | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Recopilar registros de auditoría de solicitudes URL en activos empresariales, donde sea apropiado y soportado.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Recopilar registros de auditoría de línea de comandos. Los ejemplos de implementación incluyen recopilar registros de auditoría de PowerShell®, BASH™ y terminales administrativas remotas.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Centralizar, en la medida de lo posible, la recopilación y retención de registros de auditoría en todos los activos empresariales.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Retener registros de auditoría en todos los activos empresariales por un mínimo de 90 días.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Realizar revisiones de registros de auditoría para detectar anomalías o eventos anormales que puedan indicar una amenaza potencial. Realizar revisiones de forma semanal o más frecuente.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Recopilar registros de proveedores de servicios, donde sea soportado. Los ejemplos de implementación incluyen recopilar eventos de autenticación y autorización, eventos de creación y eliminación de datos y eventos de gestión de usuarios.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |