Recopilar Registros de Auditoría de Línea de Comandos
Descripción
Recopilar registros de auditoría de línea de comandos. Los ejemplos de implementación incluyen recopilar registros de auditoría de PowerShell®, BASH™ y terminales administrativas remotas.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
Plataforma de gestión de registros y observabilidad de alto rendimiento diseñada para datos a escala de petabytes con búsqueda en tiempo real
CrowdStrike · Suscripción por GB
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Evasión de Ataques Living-Off-the-Land
ConfidencialidadLos atacantes usan herramientas integradas del SO como PowerShell, cmd.exe, bash y WMI para ejecutar comandos maliciosos que se mezclan con la actividad administrativa normal, y sin registro de línea de comandos estos ataques sin archivo no dejan rastro para detección o análisis forense.
Ejecución de Carga Útil PowerShell Ofuscada
IntegridadLos scripts maliciosos de PowerShell que usan comandos codificados, técnicas de bypass de AMSI y carga de módulos se ejecutan en endpoints sin ningún registro de los comandos reales ejecutados, previniendo la detección de recolección de credenciales, movimiento lateral o preparación de datos.
Administración Remota No Autorizada mediante Línea de Comandos
ConfidencialidadLos atacantes ejecutan comandos a través de herramientas de administración remota (PsExec, SSH, WinRM) en sistemas comprometidos, y sin registros de auditoría de línea de comandos la organización no puede detectar ni reconstruir las actividades del atacante en cada host comprometido.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Registro de Bloque de Script y Módulo de PowerShell Deshabilitado
Los endpoints de Windows no tienen habilitado el registro de bloque de script de PowerShell, registro de módulos ni transcripción, sin proporcionar visibilidad de los comandos y scripts de PowerShell reales ejecutados en activos empresariales.
Sin Auditoría de Línea de Comandos de Procesos en Endpoints
Los sistemas operativos no están configurados para incluir argumentos de línea de comandos en eventos de auditoría de creación de procesos, lo que significa que las herramientas de seguridad no pueden ver qué parámetros se pasaron a los ejecutables, ocultando la intención maliciosa detrás de nombres de proceso legítimos.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |