¿Cómo detectar las cuentas de corta duración?

En esta página

Planteamiento del problema:

Las cuentas de usuario se suelen crear para usarlas a largo plazo y con fines específicos. La rápida creación y eliminación de cuentas en un breve plazo de tiempo genera graves problemas de seguridad. Los atacantes pueden utilizar estas cuentas de poca duración para:

  • Ocultar actividades maliciosas: Los atacantes podrían crear y borrar rápidamente las cuentas para cubrir sus huellas, dificultando las investigaciones forenses.
  • Ejecutar ataques sin ser detectados: Pueden realizar actividades maliciosas en un breve espacio de tiempo, dejando muy pocas pruebas.
  • Omitir los controles de seguridad: El monitoreo tradicional podría pasar por alto estas cuentas fugaces, permitiendo a los atacantes operar sin ser detectados.

Escenario:

Un atacante obtiene acceso inicial, crea una cuenta de administrador temporal, escala privilegios, exfiltra datos sensibles y luego elimina la cuenta, todo ello en cuestión de minutos.

Fuente de datos:

Windows: Comando, archivo, proceso, comando

Tácticas y técnicas pertinentes de MITRE ATT&CK:

Tácticas: TA0003 - Persistencia, TA0005 - Evasión de la defensa, TA0006 - Acceso a credenciales, TA0007 - Descubrimiento

Técnicas: T1078 - Cuentas válidas, T1098 - Manipulación de cuentas, T1136 - Creación de cuentas, T1003 - Volcado de credenciales del SO

Solución:

Detectar las cuentas de usuario de corta duración requiere monitorear atentamente los eventos de creación y eliminación de cuentas dentro de su entorno.

Cómo detectar:

  • Monitoreo del log de eventos: Configure sus sistemas para que registren los eventos de creación de cuentas (por ejemplo, el ID de evento 4720 en Windows Active Directory) y los eventos de eliminación de cuentas (por ejemplo, el ID de evento 4726 en Windows Active Directory). Implemente un sistema para recopilar y analizar estos logs.
  • Análisis de correlación: Establezca reglas para correlacionar los eventos de creación de cuentas con los eventos posteriores de eliminación que se produzcan dentro de un corto plazo definido. Este plazo debe ser personalizable para adaptarlo a las necesidades específicas de su organización.
  • Mecanismo de alerta: Establezca alertas para notificar al personal de seguridad cuando se produzca un evento de creación y eliminación de cuenta correlacionado dentro del plazo definido. Esto permite una respuesta e investigación rápida.
  • Informes y dashboards: Cree informes o dashboards que ofrezcan una visión centralizada de la actividad de creación y eliminación de cuentas, destacando las posibles cuentas de corta duración.

Conozca más sobre Log360

Prerrequisitos:

Habilite el registro de auditoría para los cambios en las cuentas de usuario.

Próximos pasos:

  • Establezca reglas de alerta personalizadas en Log360 para detectar patrones sospechosos de creación y eliminación de cuentas.
  • Revise los informes de actividad de los usuarios para detectar anomalías.
  • Automatice los flujos de trabajo de respuesta a incidentes para una resolución rápida.

¿Cómo proceder?

El motor de correlación en tiempo real de ManageEngine Log360 ayuda a detectar las amenazas al instante. Contacte a nuestros expertos técnicos para recibir una presentación del producto o aprender cómo optimizar el funcionamiento de la solución de acuerdo a sus necesidades.

Descargar Log360Ver una demostración del producto

Recursos adicionales

Marco MITRE ATT&CKCorrelación del log de eventosDetección de amenazasInvestigación de amenazas