Recopilar Registros de Proveedores de Servicios
Descripción
Recopilar registros de proveedores de servicios, donde sea soportado. Los ejemplos de implementación incluyen recopilar eventos de autenticación y autorización, eventos de creación y eliminación de datos y eventos de gestión de usuarios.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
Plataforma de gestión de registros y observabilidad de alto rendimiento diseñada para datos a escala de petabytes con búsqueda en tiempo real
CrowdStrike · Suscripción por GB
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Compromiso de Cuenta SaaS Sin Visibilidad de Auditoría
ConfidencialidadLos atacantes comprometen credenciales de plataformas de proveedores de servicios en la nube (Microsoft 365, AWS, Salesforce) y la organización no tiene visibilidad de eventos de autenticación, cambios de privilegios o acceso a datos porque los registros del proveedor de servicios no se recopilan.
Exfiltración de Datos en la Nube mediante APIs de Proveedor No Monitoreadas
ConfidencialidadLos datos sensibles almacenados en plataformas en la nube se acceden o exportan a través de APIs de proveedores y mecanismos de compartición, pero sin recopilar registros del proveedor de servicios la organización no puede detectar acceso no autorizado a datos ni exfiltración desde estas plataformas.
Actividad de Administrador en la Sombra en Servicios en la Nube
IntegridadLa escalación de privilegios no autorizada o la creación de cuentas de administrador en proveedores de servicios en la nube pasa desapercibida porque los eventos de gestión de usuarios de estas plataformas no se recopilan ni monitorean por el equipo de seguridad empresarial.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Integración con APIs de Registro de Proveedores de Servicios en la Nube
La organización no ha configurado la recopilación de registros de proveedores de servicios en la nube (AWS CloudTrail, Azure Activity Logs, Google Cloud Audit Logs, Microsoft 365 Unified Audit Log), dejando toda la actividad basada en la nube sin monitorear.
Registros de Aplicaciones SaaS No Reenviados al SIEM Central
Las aplicaciones SaaS críticas para el negocio tienen capacidades de registro de auditoría, pero sus registros no se reenvían al SIEM empresarial, creando brechas de visibilidad para aplicaciones que procesan datos sensibles fuera de la infraestructura local.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |