Centralizar Registros de Auditoría
Descripción
Centralizar, en la medida de lo posible, la recopilación y retención de registros de auditoría en todos los activos empresariales.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
SIEM impulsado por IA con analítica de comportamiento, investigación automatizada y capacidades SOAR para detección de amenazas
Exabeam · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Patrones de Ataque entre Sistemas Perdidos en Registros Distribuidos
ConfidencialidadLos ataques sofisticados de múltiples etapas que abarcan múltiples sistemas pasan desapercibidos porque los registros permanecen en activos individuales donde cada fragmento parece benigno, y solo la correlación centralizada revelaría el patrón de ataque completo.
Destrucción de Registros por Atacantes en Hosts Comprometidos
IntegridadLos atacantes con acceso administrativo a sistemas comprometidos eliminan o manipulan archivos de registro locales para cubrir sus rastros, y sin recopilación centralizada de registros estos rastros de auditoría se pierden permanentemente.
Detección Tardía de Brechas por Revisión Manual de Registros
ConfidencialidadSin agregación centralizada de registros, los analistas de seguridad deben acceder manualmente a sistemas individuales para revisar registros, aumentando dramáticamente el tiempo para detectar brechas y extendiendo el tiempo de permanencia del atacante de días a meses.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin SIEM ni Plataforma Centralizada de Agregación de Registros
Los registros de auditoría permanecen en activos individuales sin recopilación centralizada, haciendo la correlación entre sistemas imposible, aumentando el tiempo de investigación exponencialmente y dejando los registros vulnerables a manipulación local por atacantes.
Reenvío Parcial de Registros con Tipos de Fuente Faltantes
La centralización de registros cubre solo algunas categorías de activos mientras otros (servicios en la nube, dispositivos de red, hosts Linux) retienen registros localmente, creando puntos ciegos en las capacidades de monitoreo y correlación centralizadas.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |