¿Cómo detectar la manipulación de datos de auditoría?

Los logs de auditoría son fundamentales para el análisis de la seguridad, el cumplimiento de las normas y las investigaciones forenses. Sin embargo, manipular estos logs puede comprometer significativamente su integridad, dificultando la detección de actividades maliciosas.

Los atacantes pueden borrar o manipular los logs para borrar las trazas de sus acciones, perturbar los esfuerzos de respuesta a incidentes y eludir el escrutinio normativo. Detectar la manipulación de los datos de auditoría es esencial para mantener la credibilidad de sus logs y garantizar la seguridad de su entorno.

Veamos un ejemplo

Un atacante podría deshabilitar o borrar los logs de eventos de Windows para encubrir acciones no autorizadas, como el movimiento lateral o la exfiltración de datos, sin dejar pruebas para la investigación. Esta manipulación no sólo complica la detección de amenazas, sino que también dificulta las auditorías de cumplimiento.

Tácticas y técnicas pertinentes de MITRE ATT&CK

Tácticas: Evasión de la defensa (TA0005) y Descubrimiento (TA0007)

Tácticas: Eliminación de indicador en el host (T1070), Eliminación de indicador en el host: Borrar logs de eventos de Windows (T1070.001 ), Servicios de Windows (T1546.003), Debilitar las defensas (T1562), Deshabilitar o modificar los registros del sistema (T1562.006), Intérprete de comandos y scripts (T1059)

Entonces, ¿cómo mitigar estos ataques?

Log360 proporciona una solución efectiva para detectar la manipulación del log de auditoría mediante un monitoreo exhaustivo y alertas predefinidas. El sistema puede supervisar y activar alertas para eventos clave relacionados con la manipulación de logs, como borrar logs de eventos de Windows. Además, se puede preconfigurar el monitoreo de la integridad de los archivos para garantizar la integridad de los archivos del log de auditoría.

Monitorear eventos clave

Para detectar una posible manipulación de los datos de auditoría, monitoree los siguientes eventos que indican una actividad sospechosa:

• Driver sysmon descargado: Este evento se produce cuando se elimina el driver sysmon, lo que puede indicar un intento de deshabilitar el monitoreo.
• Logs de eventos borrados: Este evento se registra cuando los logs de auditoría se borran de forma manual o programada, posiblemente para ocultar actividades maliciosas.
• Seguimiento de eventos deshabilitado: Este evento se genera cuando se desactiva el seguimiento de eventos, lo que podría indicar un intento de eludir el registro.
• Logs de auditoría manipulados: Este evento se dispara cuando se detectan modificaciones en la integridad del log, lo que sugiere posibles cambios no autorizados.

Próximos pasos tras la detección:

• Intente recuperar los datos borrados.
• Investigue al usuario que manipuló los datos y tome las medidas necesarias, como revocar los permisos o cambiar las contraseñas.
• Realice un análisis de impacto para evaluar el alcance de la violación y los daños potenciales.

Próximos pasos

• Configurar alertas: Establezca alertas en Log360 para cuando se detecten eventos como Logs de eventos borrados o Driver sysmon descargado.
• Implementar el monitoreo de la integridad de los archivos: Configure el monitoreo de la integridad de los archivos en los directorios del log de auditoría para controlar cualquier cambio en los archivos de log.
• Investigar las alertas: Utilice las herramientas de investigación de incidentes en Log360 para profundizar en las alertas y analizar la causa raíz.
• Revisar y reforzar las medidas de seguridad: Reevalúe la postura de seguridad del sistema para evitar futuras manipulaciones y mejorar la protección del log.

Log360 no sólo le ayuda a detectar la manipulación del log de auditoría, sino que también le ofrece funciones completas de monitoreo para varias plataformas, garantizando que sus logs de seguridad nunca sean manipulados y sigan siendo confiables. Con sus alertas predefinidas, el monitoreo en tiempo real y el análisis de correlación, Log360 permite detectar de forma proactiva y responder rápidamente a la posible manipulación del log, ayudándole a proteger su entorno y garantizar el cumplimiento de las normas de seguridad.