Datos de Registro para Detección, Hunting y Respuesta

🔍 1. Clasificación avanzada de logs para cazar amenazas

  1. Windows Event Logs Autenticaciones, ejecución de procesos, manipulación de servicios - T1543, T1059, T1078
  2. Sysmon Ejecución de procesos, conexiones de red, creación de archivos - T1055, T1027, T1053
  3. Firewall logs Flujos bloqueados/permitidos, tráfico lateral, conexiones C2 - T1071, T1090
  4. Proxy/HTTP logs URL sospechosas, downloads, user-agent inusual - T1071.001, T1203
  5. DNS logs Detección de dominio generado algorítmicamente (DGA), exfiltración DNS - T1046, T1071.004
  6. EDR logs Suspensión de antivirus, ejecución sin firma, evasión - T1562, T1202
  7. Cloud logs (Azure, M365) Sign-ins, MFA bypass, inbox rules, roles modificados - T1110.003, T1087.004
  8. Linux audit logs Escalado de privilegios, sudo, modificación de cronjobs - T1053.003, T1068


🧰 2. Herramientas clave para parsing, ingestión y análisis

  • Fluentd / Logstash Parsing y normalización de logs crudos
  • Sigma rules Traducción de patrones MITRE a consultas de búsqueda
  • Syslog-ng Centralización de logs Linux y red
  • Beats (Elastic) Agente ligero para enviar logs a ELK
  • Graylog SIEM orientado a logs para entornos mixtos


⚔️ 3. Casos de hunting avanzados a partir de logs

  1. Escenario de hunting Logs usados Búsqueda clave / IOC
  2. 🧑‍💻 Detección de ejecución de malware: Sysmon + EDR + logs AV –  Parent process = explorer.exe, hijo = powershell.exe.
  3. 🌐 Beaconing hacia C2: Firewall + DNS + Proxy – Conexiones regulares a dominios con alto TTL o repetición por segundos exactos
  4. 📦 Exfiltración de datos: HTTP logs + Proxy + Firewall  Payloads grandes fuera de horario, en ZIP, RAR, base64
  5. ⚙️ Persistencia por tareas programadas: Sysmon + Windows TaskScheduler logs – Creación de tareas con comandos inusuales o ejecutables firmados falsamente
  6. 🔐 Fallos de autenticación por diccionario: Windows event logs (4625), Azure AD – Más de 5 fallos por IP, múltiples usuarios
  7. 🕵️ Shadow IT y software no autorizado: EDR + Sysmon + app logs – Ejecuciones de .exe no aprobados, apps portables


📄 4. Buenas prácticas para gestión de logs avanzada

  • 🕒 Sincroniza el tiempo en todos los hosts (NTP o AD Time Service) → evita errores de correlación temporal.

  • 📏 Define ventanas de retención específicas por log (30, 90, 180 días) según criticidad y normativas (GDPR, ENS, ISO 27001).

  • 🔐 Hashea y firma logs críticos en tránsito y en reposo (TLS + hash + firma digital).

  • 🚩 Configura alertas por ausencia de logs esperados → un atacante puede intentar desactivar el logging.

  • 🧩 Establece taxonomía estandarizada para eventos críticos, usando MITRE o VERIS.


📊 5. Visualización inteligente con SIEM o ELK

  • Métrica / Visualización Valor práctico para el analista
  • Heatmap de fallos de login por país Identificación de ataques de fuerza bruta distribuidos
  • Dashboard de procesos anómalos Caza de malware sin firma
  • Comparativa mensual de logs Análisis de evolución y normalidad
  • Panel por MITRE ATT&CK Visión táctica de qué técnicas están activas
  • Top 10 de hashes, puertos o dominios Detectar beaconing, exfiltración, malware


"Los logs no sirven si no tienen contexto. Correlacionar quién, cuándo, dónde y con qué herramienta es la clave para transformar los logs en inteligencia accionable."
Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar