Registros (Logs) del sistema operativo host

🔒 1. Autenticación y Acceso

Objetivo - Sistema - Registro clave - Búsqueda / Indicador

  1. Detección de brute-force / diccionario Windows Security.evtx (ID 4625) - Multiples fallos desde una misma IP o cuenta
  2. Elevación de privilegios Linux - /var/log/auth.log / sudo sudo inusual fuera de horario / para apps no estándar
  3. Bypass de login (ssh, su, RDP) Windows / Linux / macOS - Security, auth.log, com.apple.login Autenticación desde IPs desconocidas o cuentas nuevas
  4. Acceso remoto no autorizado Linux / macOS - auth.log, log show --predicate 'eventMessage contains "login"' Sesiones SSH iniciadas sin justificación operacional

📁 2. Sistema de Archivos y Ejecución de Procesos

Objetivo: Sistema - Registro clave - IOC / Técnica

  1. Manipulación de archivos críticos - Windows ID 4663 (Access to Object) - Escritura en C:\Windows\System32 sin justificación
  2. Ejecución desde ubicaciones inusuales Linux - auditd, syslog - Binarios ejecutados desde /tmp, /dev/shm, ~/.cache
  3. Instalación de software malicioso Linux - /var/log/dpkg.log, yum.log - Paquetes sospechosos instalados fuera de horario
  4. Autoejecución persistente Windows - System.evtx (ID 7045) - Nuevo servicio registrado con nombre extraño o ruta .bat

🧰 3. Auditoría de Seguridad del Sistema

Objetivo Sistema Registro Técnicas de ataque (MITRE)

  1. Cambios en políticas de seguridad: Windows –  Security.evtx (ID 4739) T1484.001 – Security Policy Modification
  2. Desactivación de logging o antivirus: Windows – System.evtx, Application.evtx T1562 – Impair Defenses
  3. Modificación del tipo de inicio de servicios: Windows – ID 7040 Cambio de servicios a "auto" para persistencia
  4. Manipulación de journald o syslog: Linux –  journalctl, /var/log/messages T1070.001 – Clear Logs

📈 4. Ejecuciones Sospechosas y Persistencia

Acción SO Fuente Indicador técnico

  1. Ejecutables en inicio: Windows – Run keys + ID 4688/4697 Nuevo ejecutable con nombre ofuscado
  2. Lanzamiento de script oculto: Linux – ~/.bashrc, crontab -l Referencia a `curl
  3. Manipulación del sistema de arranque: Linux – /etc/systemd/system Creación de nuevos servicios .service personalizados
  4. Políticas de Gatekeeper violadas: macOS – log show --predicate 'eventMessage contains "syspolicy"' Ejecución de apps no firmadas

📊 5. Paneles y Visualización Recomendados

Panel Métrica clave Valor práctico

  1. 🔐 Autenticaciones por host: Número de intentos fallidos / exitosos por IP y usuario – Detectar brute force o password spraying
  2. ⚙️ Cambios en servicios y programas: Servicios creados / modificados – Verificar persistencia o instalación de backdoors
  3. 🔍 Procesos inusuales: Procesos lanzados fuera de ruta estándar – Hunting de malware fileless o LOLBins
  4. 🧼 Borrado de logs: Gaps de tiempo, eventos 1102 (Windows) – Detectar intento de antiforense

🧠 Recomendaciones Expertas

  • Normaliza los logs usando [Elastic Common Schema (ECS)] o [SIGMA] para poder correlacionar entre OS distintos.

  • Centraliza registros de todos los hosts en un SIEM (Graylog, ELK, Sentinel, Wazuh).

  • Crea reglas de detección personalizadas para eventos como:

    • "Inicio de sesión de root a las 3 AM"

    • "Usuario que nunca usa sudo lo ejecuta"

    • "Nuevo servicio creado que lanza PowerShell"

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar