Recopilar Registros de Auditoría
Descripción
Recopilar registros de auditoría. Asegurar que el registro, según el proceso de gestión de registros de auditoría de la empresa, se haya habilitado en todos los activos empresariales.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
Plataforma de gestión de registros y observabilidad de alto rendimiento diseñada para datos a escala de petabytes con búsqueda en tiempo real
CrowdStrike · Suscripción por GB
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Puntos Ciegos que Permiten Compromiso No Detectado
ConfidencialidadLos atacantes apuntan específicamente a activos donde el registro de auditoría está deshabilitado o no se recopila, sabiendo que sus actividades no dejarán rastro forense, permitiendo tiempos de permanencia prolongados y exfiltración de datos no detectada.
Manipulación Sin Evidencia en Sistemas Sin Registro
IntegridadLas personas internas maliciosas o atacantes externos modifican datos críticos, configuraciones o controles de acceso en sistemas donde los registros de auditoría no se recopilan, haciendo imposible detectar o atribuir cambios no autorizados.
Explotación Anti-Forense de Brechas de Registro
ConfidencialidadLos atacantes sofisticados enrutan sus actividades a través de activos sin recopilación de registros, usando estos puntos ciegos como áreas de preparación para movimiento lateral y almacenamiento de datos mientras permanecen invisibles al monitoreo de seguridad.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Registro de Auditoría Deshabilitado en Activos Empresariales Críticos
Servidores clave, bases de datos, dispositivos de red y servicios en la nube tienen el registro de auditoría deshabilitado por defecto o intencionalmente apagado para conservar recursos, creando puntos ciegos forenses en toda la infraestructura.
Recopilación de Registros Inconsistente entre Tipos de Activos
El registro está habilitado en algunas categorías de activos (por ejemplo, controladores de dominio) pero no en otras (por ejemplo, servidores Linux, dispositivos de red, aplicaciones SaaS), dejando porciones significativas del entorno sin rastros de auditoría.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |