Recopilar Registros de Auditoría Detallados
Descripción
Configurar el registro detallado de auditoría para activos empresariales que contengan datos sensibles. Incluir la fuente del evento, fecha, nombre de usuario, marca de tiempo, direcciones de origen, direcciones de destino y otros elementos útiles que puedan ayudar en una investigación forense.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
Plataforma de gestión de registros y observabilidad de alto rendimiento diseñada para datos a escala de petabytes con búsqueda en tiempo real
CrowdStrike · Suscripción por GB
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Detalle Forense Insuficiente para Identificar Origen del Ataque
ConfidencialidadLos registros de auditoría básicos capturan solo que ocurrió un evento pero carecen de direcciones de origen, direcciones de destino, nombres de usuario y otros detalles contextuales necesarios para determinar quién inició la actividad, desde dónde y qué fue afectado.
Brecha de Datos Sensibles Sin Rastro de Atribución
ConfidencialidadUn atacante accede a almacenes de datos sensibles, pero los registros carecen de detalle suficiente (identidad del usuario, IP de origen, registros accedidos) para identificar la cuenta comprometida, determinar el alcance de la exposición de datos o satisfacer los requisitos de notificación de brechas.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Niveles de Registro Predeterminados Sin Campos de Eventos Detallados
Los activos que contienen datos sensibles usan configuraciones de registro predeterminadas que capturan detalles mínimos de eventos, omitiendo campos críticos como direcciones de origen/destino, identidades de usuario y detalles de acceso a nivel de objeto necesarios para análisis forense.
Sin Estándares de Registro para Activos de Datos Sensibles
La organización no ha definido qué campos detallados deben capturarse en los registros de auditoría para activos que procesan datos sensibles, resultando en un nivel de detalle de registro inconsistente e insuficiente entre bases de datos, servidores de archivos y aplicaciones.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |