24 jun 2014

Auditando eventos de nuestros sistemas Windows. Parte 2

Buenas a todos, en el post de hoy continuaremos con la cadena sobre auditoría de eventos, hablando sobre las distintas posibilidades que tenemos para salvar los logs "evtx" recopilados en nuestro sistema operativo Windows.

Aunque es obvio, muchos administradores aún no ven los beneficios de replicar los logs en un lugar diferente al de la máquina auditada. Uno de los beneficios más importantes es evitar que un usuario malicioso pueda manipular y/o eliminar los logs. Otro beneficio podría ser evitar su eliminación por fallos humanos, o por su sobrescritura si se saturase demasiado el visor de eventos.

Lo más interesante para almacenar y gestionar estos logs son las soluciones SIEM, que recogen, analizan y priorizan los eventos de seguridad dentro de una red. 

Existen varios tipos de soluciones para salvar y analizar estos logs, desde los colectores de logs más simples hasta las soluciones más completas, que ayudan a implantar SIEM de acuerdo con las "mejores prácticas" y en cumplimiento de las normativas y estándares de seguridad más exigentes, tipo ISO 27001, PCI-DSS o Esquema Nacional de Seguridad y LOPD (en España).

La pega de los SIEM es que suelen ser productos caros, y aún desplegando alguna solución gratuita, suelen ser complejos de instalar y administrar, y por tanto los hacen inaccesibles para las pequeñas empresas, que no cuentan con los recursos mínimos necesarios para afrontar estos gastos en seguridad (aunque sean muy necesarios)

 Por ello, una de las soluciones que se acaban implantando es el desarrollo de pequeñas soluciones "caseras" para recolectar estos logs y clasificarlos, para así cumplir con los estándares de seguridad y garantizar el control adecuado de nuestros sistemas.


Una de las soluciones caseras podría ser el siguiente BAT, que hemos desarrollado para recolectar los logs "evtx" de un PC Windows, y enviarlos mediante SCP, con la herramienta PSCP, a un repositorio montado en un servidor Linux:

del /Q "%SYSTEMDRIVE%\Logs\" /S
rd /Q /S "%SYSTEMDRIVE%\Logs\"
md "%SYSTEMDRIVE%\Logs\"
copy %SYSTEMROOT%\System32\winevt\Logs "%SYSTEMDRIVE%\Logs\"
set seg=%time:~6,2%
set min=%time:~3,2%
set hor=%time:~0,2%
set dia=%date:~0,2%
set mes=%date:~3,2%
set ani=%date:~6,4%
pscp.exe –pw SUSTITUIR_POR_CONTRASEÑA -scp -r "%SYSTEMDRIVE%\Logs" SUSTITUIR_POR_MAQUINA@SUSTITUIR_POR_IP:/home/USUARIO/%ani%-%mes%-%dia%[%hor%:%min%:%seg%] 

En dicho bat, simplemente tendréis que sustituir la dirección IP donde se encuentre la máquina Linux y el usuario y contraseña de la misma. Os recomendamos crear un usuario con permisos limitados y de uso exclusivo para esta tarea, por si el bar cayese en malas manos

También es interesante (e indispensable en muchos entornos), cifrar el bat, para evitar que nos roben las credenciales del repositorio Linux. También podríamos utilizar certificados en lugar de usuario y clave para conectarnos a la máquina Linux, dependerá del entorno con el que contemos.

Y para no realizar todo este proceso manualmente, podemos crear una tarea programada, que se ejecute diariamente.:
Eso es todo por hoy, nos vemos en el siguiente post,

Saludos!

No hay comentarios:

Publicar un comentario