Recopilar Registros de Auditoría de Solicitudes URL
Descripción
Recopilar registros de auditoría de solicitudes URL en activos empresariales, donde sea apropiado y soportado.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
SIEM impulsado por IA con analítica de comportamiento, investigación automatizada y capacidades SOAR para detección de amenazas
Exabeam · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Acceso a URL Maliciosas Sin Detección ni Bloqueo
ConfidencialidadLos usuarios acceden a URLs de phishing, sitios de descarga de malware o aplicaciones web controladas por atacantes, pero sin registro de solicitudes de URL el equipo de seguridad no puede identificar usuarios comprometidos ni detectar ataques basados en web en curso.
Ataques de Descarga Drive-By Sin Rastro Forense
IntegridadLos activos empresariales visitan sitios web legítimos comprometidos que entregan kits de explotación, pero sin registros de solicitudes de URL no hay registro de qué activos visitaron el sitio comprometido ni cuándo ocurrió la infección.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Proxy Web ni Registro de Solicitudes de URL
La organización no registra solicitudes de URL HTTP/HTTPS de activos empresariales, sin proporcionar visibilidad sobre patrones de navegación web, acceso a URL maliciosas o vectores de entrega de ataques basados en web.
Brecha de Inspección de Tráfico HTTPS en el Registro de URL
El registro de URL solo captura solicitudes HTTP mientras el tráfico HTTPS pasa sin inspeccionar, lo que significa que la mayoría del tráfico web moderno incluyendo comunicaciones maliciosas no se registra en los registros de auditoría.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |