saltar al contenido
Registros de eventos de Windows, Registros de eventos, Windows, Soluciones iDiscovery

Por Bobby R. Williams Jr. el 10/11/20 7:00 a. m.

Los investigadores no comienzan con las respuestas. Hacemos preguntas. Nuestra misión (si decidimos aceptarla) es determinar qué sucedió y cuándo. Puede haber una gema valiosa escondida en sus datos, pero no lo sabremos hasta que comencemos a investigar. En el universo digital en expansión, hay artefactos a nuestro alrededor. Saber qué son y cómo analizarlos es clave para descubrir la narrativa dentro de los datos. Si necesita construir una línea de tiempo de eventos, los registros de eventos en estaciones de trabajo y servidores de Windows son un excelente lugar para comenzar.

Los registros de eventos rastrean muchas acciones útiles. Eventos como inicios de sesión, cierres de sesión y encendido de la máquina son solo algunos ejemplos. Si está respondiendo a un incidente, es probable que los registros de eventos sean una fuente vital de información. Para asegurarse de que la información esté allí cuando la necesite, debe asegurarse de que los registros estén archivados. Suena simple, ¿verdad?

Hay ajustes de configuración que usted controla que ayudan a determinar hasta dónde pueden llegar sus registros. Si simplemente usa la configuración predeterminada, el tamaño puede ser demasiado pequeño para guardar los registros de eventos clave. También es útil saber qué registros rastrean qué eventos. Esto puede ayudarlo a decidir dónde realizar cambios en su protocolo de archivado de registros.

¿Por qué son importantes los registros de eventos?

Al igual que los hijos del medio, los registros de eventos suelen ser una ocurrencia tardía. Las organizaciones se enfocan mucho en medidas de seguridad preventivas, como puntos de acceso, autenticación y encriptación. Esto es importante. Quieres ser proactivo. En las investigaciones forenses digitales y de seguridad cibernética, debe reconstruir lo que sucedió. ¿Quién tenía acceso? ¿Cuándo? Los registros de eventos pueden contener las respuestas, ya sea determinando las actividades de un empleado que se fue, respondiendo a un incidente o defendiendo una intrusión activa. Si no es intencional acerca de cómo se administran los registros, es posible que deje que las respuestas a futuras preguntas se escapen de sus... discos duros.

¿Cuál es mi comida para llevar?

  1. Comprenda que es posible que no haya un solo evento principal en su investigación. Las respuestas a menudo se encuentran en la correlación de una serie de eventos. Un experto calificado puede ayudarlo a comprender las entradas del registro de eventos y acercarse a lo que sucedió. Para hacer esto, debe asegurarse de que los registros de eventos se archiven con un protocolo intencional.
  2. Ampliar el tamaño de los archivos de registro clave puede ayudarlo a retener más datos. Los eventos nuevos pueden eliminar los eventos antiguos una vez que alcanza el tamaño máximo de registro. Afortunadamente, el almacenamiento de la máquina se ha vuelto relativamente económico y la generación de registros no acaparará sus recursos. Por lo tanto, aumente el tamaño de los registros de eventos importantes de 20 MB a unos pocos GB. Digo aumentar el tamaño de todos los registros siempre que sea posible. Si el tamaño y el espacio de almacenamiento siguen siendo una preocupación, elija registros de claves para tamaño ampliado. Mi colega Jonathan Karchmer recomienda Security.evtx como un ejemplo de dónde enfocarse.
  3. Si su organización aún no lo está haciendo, considere usar la tecnología SIEM para agregar y examinar los registros de eventos. Como mínimo, comience por reenviar los registros de eventos de las estaciones de trabajo críticas y haga una copia de seguridad de los registros de eventos de la máquina y el servidor en otro repositorio. La redundancia ayuda a proteger contra la pérdida de datos. Cuando los eventos vencen en sus computadoras y servidores, la ubicación de la copia de seguridad podría contener años de actividad que, de lo contrario, se habrían perdido. Para las organizaciones con posturas de seguridad más avanzadas, utilizar y ajustar SIEM ayudará en la "caza" proactiva de los malos. Un experto calificado puede comenzar la clasificación simplemente recopilando una copia de sus registros de eventos archivados, lo que luego podría ayudar a orientar una investigación y ahorrarle dinero.

Estos sencillos pasos pueden ayudar a que su organización esté más cerca de estar lista para el evento principal.

es_ESES