Recopilar Registros de Auditoría de Consultas DNS
Descripción
Recopilar registros de auditoría de consultas DNS en activos empresariales, donde sea apropiado y soportado.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
Plataforma de gestión de registros y observabilidad de alto rendimiento diseñada para datos a escala de petabytes con búsqueda en tiempo real
CrowdStrike · Suscripción por GB
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Evasión de Comando y Control Basada en DNS
ConfidencialidadEl malware se comunica con infraestructura de comando y control usando tunelización DNS o DNS-sobre-HTTPS, y sin registro de consultas DNS la organización no puede detectar estos canales encubiertos ni identificar hosts comprometidos.
Exfiltración de Datos mediante Consultas DNS
ConfidencialidadLos atacantes codifican datos robados en subdominios de consultas DNS para exfiltrar información sensible a través del protocolo DNS, que sin registro de consultas aparece como tráfico DNS normal y evade los controles DLP tradicionales.
Resolución de Dominios Maliciosos Sin Detección
IntegridadLos activos empresariales resuelven dominios maliciosos conocidos, sitios de phishing o infraestructura de amenazas recién registrada, pero sin registros de consultas DNS el equipo de seguridad no tiene visibilidad de estos indicadores de compromiso.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Registro de Consultas DNS en Servidores DNS Empresariales
Los servidores DNS internos y resolvedores no tienen habilitado el registro de consultas, proporcionando cero visibilidad sobre qué dominios están siendo resueltos por los activos empresariales y eliminando una fuente de datos crítica para la detección de amenazas.
Consultas DNS Evaden Resolvedores Monitoreados
Se permite a los endpoints hacer consultas DNS directamente a resolvedores externos (8.8.8.8, 1.1.1.1) en lugar de ser forzados a través de servidores DNS empresariales, evadiendo completamente cualquier registro DNS que exista.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Técnico | Configuración de filtrado DNS y estadísticas de bloqueo | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |