Realizar Revisiones de Registros de Auditoría
Descripción
Realizar revisiones de registros de auditoría para detectar anomalías o eventos anormales que puedan indicar una amenaza potencial. Realizar revisiones de forma semanal o más frecuente.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
Plataforma de gestión de registros y observabilidad de alto rendimiento diseñada para datos a escala de petabytes con búsqueda en tiempo real
CrowdStrike · Suscripción por GB
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Tiempo de Permanencia Prolongado del Atacante por Registros No Revisados
ConfidencialidadLos registros de auditoría capturan indicadores de compromiso incluyendo intentos fallidos de autenticación, eventos de escalación de privilegios y patrones inusuales de acceso a datos, pero sin revisión regular estas advertencias pasan desapercibidas mientras los atacantes operan libremente durante meses.
Indicadores de Amenaza Interna Omitidos en Datos de Registro Obsoletos
ConfidencialidadLos registros de auditoría contienen patrones que indican amenazas internas como acceso a datos fuera de horario, descargas masivas o abuso de privilegios, pero sin revisiones semanales de registros estas anomalías de comportamiento nunca se señalan ni investigan.
Ataques de Fuerza Bruta que Tienen Éxito Sin Escalación de Alertas
ConfidencialidadLos ataques de fuerza bruta y rociado de contraseñas generan patrones obvios en los registros de los sistemas de autenticación, pero sin revisiones programadas de registros y detección de anomalías estos ataques tienen éxito antes de que alguien note las anomalías de autenticación.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Proceso ni Cadencia Programada de Revisión de Registros
La organización recopila registros de auditoría pero no tiene un proceso para revisarlos regularmente, tratando la recopilación de registros como una casilla de verificación de cumplimiento en lugar de una capacidad activa de detección de amenazas.
Sin Criterios Definidos de Detección de Anomalías para Revisiones de Registros
Incluso cuando se revisan los registros, los analistas carecen de criterios definidos para lo que constituye una anomalía o evento anormal, resultando en una calidad de revisión subjetiva e inconsistente que omite indicadores sutiles de compromiso.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |