LISTA DE VERIFICACION DE IMPLEMENTACION DE SOCaaS

A continuación, se muestra una lista de verificación de monitoreo al momento de implementar nuestro servicio de SOCaaS:

EQUIPOS WINDOWS

  • Apagado/reinicio del servidor
  • Medios extraíbles detectados
  • Apagado anormal de Windows
  • Intentos de inicio de sesión con la misma cuenta desde diferentes escritorios
  • Detección de apagado-reinicio del servidor fuera del horario de oficina
  • Cambios en el grupo administrativo  
  • Inicios de sesión no autorizados
  • Uso interactivo de la cuenta de administrador
  • Inicio de sesión de acceso remoto: éxito y fracaso
  • Servicios de Windows Detener-Reiniciar
  • ACL cambiados en miembros del grupo de administradores
  • Cuentas de Windows Habilitado Deshabilitado
  • Múltiples cuentas de Windows bloqueadas
  • Múltiples inicios de sesión de Windows por el mismo usuario
  • Intento de fuerza bruta de la misma fuente
  • Inicios de sesión fuera del horario comercial habitual
  • Inicios de sesión en múltiples cuentas de usuario desde la misma fuente
  • Intento de fuerza bruta de la misma fuente con inicio de sesión exitoso
  • Cuenta de Windows creada eliminada
  • Fallo de hardware de Windows
  • Inicio de sesión fallido en múltiples destinos desde la misma fuente
  • Cuentas administrativas: error de inicio de sesión múltiple
  • Detección de cuenta de usuario agregada/eliminada en el grupo de administración
  • Detección de cambios de hora del sistema (Tiempo de arranque)
  • Detección de uso de cuentas de proveedores de productos predeterminados
  • Usuario eliminado dentro de las 24 horas de haber sido creado
  • Servicio crítico detenido en servidores Windows
  • El registro de seguridad de Windows está lleno
  • Múltiples cambios de contraseña en poco tiempo
  • Se cambió el tipo de grupo de Windows
  • Cambio de política de auditoría
  • Registro de auditoría borrado
  • Detección de cuenta de usuario añadida
  • Error de inicio de sesión: se realizó un intento de inicio de sesión con una cuenta caducada
  • Gran cantidad de usuarios creados/eliminados en un corto período de tiempo
  • Tráfico saliente observado desde servidores a Internet
  • Inicios de sesión fallidos/intento con cuentas deshabilitadas/ex-empleado/caducadas
  • Eliminar carpeta de archivos de Windows
  • Cambios en los permisos de la carpeta de archivos de Windows
  • Gran cantidad de usuarios creados/eliminados en un corto período de tiempo

EQUIPOS LINUX

  • Eventos de importación y exportación de archivos FTP
  • Sistema de archivos Linux lleno
  • El servidor se apago
  • Usuarios creados/eliminados en un período breve
  • Grupo de usuarios creado/eliminado en un período breve
  • Intentos de inicio de sesión de Linux con la misma cuenta desde diferentes escritorios
  • Inicios de sesión fallidos
  • Inicios de sesión fallidos con cuentas deshabilitadas
  • Acceso de inicio de sesión FTP
  • Conexión SFTP múltiple
  • Inicios de sesión fallidos desde el acceso raíz
  • Linux Varias fallas de inicio de sesión SU
  • Intentos de inicio de sesión remotos utilizando el usuario raíz en el nodo de producción
  • Acceso a Sudo desde usuarios que no son de Sudo
  • Detección de uso de cuentas de proveedores de productos predeterminados
  • Adición o Eliminación de usuarios al grupo “root”
  • Parada de servicio crítico
  • Linux: alto número de fallas de inicio de sesión para la misma cuenta en poco tiempo
  • Contraseña cambiada
  • Agregar, eliminar y modificar trabajos cron
  • Errores de inicio de sesión de SU
  • Detección de cambio en la configuración de syslog
  • Detección de cambio en la configuración de la red

FIREWALL, ANTIVIRUS, IPS Y VPN

  • Error de inicio de sesión del administrador
  • Fuerza bruta con cambios de configuración exitosos
  • Evento de conmutación por error del Firewall
  • Conexión exitosa desde la IP de Internet después de bloques repetitivos en el firewall
  • Intentos de acceso en protocolos y puertos no identificados
  • Exploit Event seguido de Scanning Host
  • Acceso saliente a direcciones IP de destino no válidas
  • Inicio de sesión exitoso entre horas no comerciales
  • Reinicio de Firewall
  • Detección de modificaciones de cuentas/grupos de usuarios
  • Usuario agregado/eliminado a la base de datos de firewall
  • Detección de tráfico inseguro como FTP, telnet, en servidores críticos
  • Detección de adición/eliminación de un administrador de Firewall
  • Inicio de sesión denegado (fuerza bruta)
  • Alto número de eventos denegados
  • Cambio de configuración detectado
  • El enlace al dispositivo del mismo nivel está inactivo debido a un problema de cableado físico
  • Intentos de escaneo de puertos de red y host
  • Detección de conmutación primaria-secundaria
  • Un administrador ha permitido/eliminado el acceso al firewall desde una IP en particular
  • Tráfico P2P detectado
  • Alerta de alta utilización de la CPU en el Firewall
  • El Firewall no pudo asignar la memoria RAM
  • Detección de cualquier tipo de falla relacionada con Standby FW
  • Principales caídas de tráfico de DMZ, FW
  • Tráfico saliente observado en puertos importantes
  • Tráfico saliente exitoso a la dirección IP de amenazas en la lista negra
  • Múltiples tráficos salientes fallidos a direcciones IP de amenazas en la lista negra

DISPOSITIVO DE SEGURIDAD – PUNTO DE CONTROL

  • Alerta crítica de firewall observada
  • Cambio de configuración de VPN observado
  • Error de inicio de sesión del administrador detectado
  • Inicio de sesión exitoso entre horas no comerciales
  • Acceso exitoso desde países sospechosos
  • El servicio de punto de control se reinicia
  • Cambio de configuración de puerta de enlace/clúster de Firewall
  • Utilización de CPU alta
  • Política de punto de control instalada
  • Alto número de eventos denegados
  • Alerta basada en firmas de Smart-Defense
  • Fallo de verificación del certificado VPN
  • Cambio de configuración detectado
  • Reinicio de Firewall

CORREO ELECTRÓNICO

  • Los 10 principales usuarios que envían correos a dominios externos
  • Los 10 principales receptores/remitentes de correo electrónico
  • Fuga de datos identificada a través de archivos grandes enviados por correo
  • Adjuntos maliciosos/sospechosos identificados
  • ID de grupos de uso de correo electrónico
  • Supervisión de correos que salen del dominio de la empresa a otros dominios después del horario de oficina
  • Alta utilización de ancho de banda de correo electrónico por parte de usuarios individuales
  • Detección de mensajes no entregados
  • Acceso al buzón por otro usuario
  • Usuario enviando un mensaje como otro usuario
  • Usuario que envía un mensaje en nombre de otro usuario
  • Detección de inicio de sesión de usuarios en el buzón que no es su cuenta principal
  • Detección de correos redirigidos automáticamente
  • Los 10 principales usuarios que envían correos internamente
  • Pico repentino de la puerta de enlace SMTP en los correos entrantes
  • Alto número de correos electrónicos rechazados de una sola dirección “de”
  • Detección de inicio de sesión de usuarios en el buzón que no es su cuenta principal
  • Detección de correos redirigidos automáticamente

RED INALÁMBRICA/VPN

  • Tráfico malicioso detectado
  • Cuenta VPN iniciada desde varias ubicaciones remotas
  • Cuenta VPN iniciada desde VPN y en la red local
  • Intentos de inicio de sesión inalámbricos no autorizados
  • El servidor de autorización inalámbrico está inactivo
  • Inicio de sesión anónimo desde una dirección IP desconocida
  • Cuenta VPN iniciada desde varias ubicaciones en un corto período de tiempo o desde
  • lugares sospechosos
  • Inicio de sesión simultáneo desde varias ubicaciones para un solo usuario
  • Conexión VPN más allá de las 24 horas
  • Acceso VPN desde la dirección IP interna
  • Acceso VPN desde un pais extranjero
  • AP inalámbrico reiniciado
  • AP inalámbrico no seguro detectado
  • Acceso VPN desde el equipo en tierra

IPS

  • Intento de acceso al archivo de contraseña de LINUX
  • Alerta alta de IPS
  • Posible explotación de la vulnerabilidad
  • Escaneo de puertos probables en la red
  • Intento de inyección SQL
  • Tráfico de virus en la red
  • Ataques basados en firmas

PROXY

  • Intentos de acceso en protocolos y puertos no identificados
  • Informe de acceso al dominio de malware
  • Informe resumido basado en la categoría de proxy
  • Informe de acceso a IP de malware
  • Acceso a software potencialmente no deseado
  • Servidor DNS dinámico
  • Fuentes maliciosas/malnets
  • Botnets/datos salientes maliciosos
  • Punto a punto (P2P)
  • Anulación de Proxy
  • Herramientas de acceso remoto
  • Acceso desde un agente de usuario inusual
  • Publicar solicitud en sitios no categorizados después del horario de oficina
  • Acceso a Internet no deseado
  • Cambios en la configuración del proxy
  • Intento de inicio de sesión fallido del proxy
  • Violación de acceso al contenido
  • Acceso proxy anónimo
  • Acceso al sitio web de la herramienta hacker
  • Intentos de acceso por BOTNET identificados por encabezado de solicitud HTTP

BASE DE DATOS

  • Contraseña de BD caducada
  • Uso de comandos críticos
  • Comandos críticos ejecutados en la base de datos fuera del horario comercial
  • BD: actualizar o insertar comandos
  • Usuario de BD creado/eliminado
  • Múltiples fallas de inicio de sesión observadas para la base de datos
  • Creación/modificación del esquema de la base de datos
  • Principales errores de ejecución de consultas
  • Supervisión de los intentos de inicio de sesión en la base de datos
  • Uso de cuentas de proveedor predeterminadas contra la política
  • Acceso a la base de datos fuera del horario laboral
  • Errores de inicio de sesión para sys/system o cuentas privilegiadas
  • Conexión a bases de datos de producción desde segmentos de red no permitidos

ROUTER/SWITCH

  • Mensajes de error del Router
  • Cambio de estado de relación de BGP
  • Fallo en la fuente de alimentación del Router
  • Cambio de configuración
  • Mensajes críticos observados desde el SWITCH
  • Mensajes de alerta observados desde el SWITCH
  • Detección de Antispam
  • Archivo caído debido a su gran tamaño
  • Detección de proxy de proceso de aplicación
  • Detección de ataque terrestre
  • Detección de Ping de fuerza bruta
  • Detección de nueva política de adición
  • Detección de violación de política
  • tráfico de virus
  • Filtrado de contenido detectado
  • Fallo/éxito de autenticación

ANTIVIRUS (AV)

  • Virus antivirus detectado
  • AV Detección de tráfico Backdoor en la red
  • Almacenamiento extraíble identificado
  • Infección de malware antivirus identificada (no en cuarentena/limpiada/eliminada/movida)
  • Infección de malware AV múltiple identificada desde el mismo host
  • Múltiples fuentes que acceden a la misma URL de malware
  • Múltiples tipos de infección de malware AV identificados desde el mismo host
  • Error de detección de actualización de DAT de antivirus en equipos de usuarios finales
  • Detección de brote de gusano en la red
  • Detección de brote de virus
  • Intento de detener los cronogramas de escaneo ad hoc/diario
  • Detección de tráfico Backdoor en la red
  • Intento de detener los Servicios AV
  • Intente detener los módulos AV críticos
  • AV identificó las máquinas Rogue en la red
  • Detección del escaneo que se detiene antes de completarse
  • La detección del análisis programado se detuvo/pausó (retrasó)
  • Detección de la computadora que no está protegida con las últimas definiciones
  • Detección del nuevo software cliente instalado
  • Detección del software cliente desinstalado
  • Desglose de malware antivirus identificado en varias máquinas en la misma subred/diferente subred Múltiples reincidencias de la misma infección identificadas en la misma máquina
  • Múltiples recurrencias de infecciones únicas identificadas desde la misma máquina
  • Lista negra Dominio/Direcciones IP Monitoreo del tráfico que emerge hacia/desde la máquina infectada
  • Fuerza bruta/escaneo de puerto o host/intento de acceso de elevación de privilegios desde la máquina infectada
  • Intento de reiniciar el servicio o proceso AV, módulos AV de la máquina infectada
  • Acceso a recursos compartidos de archivos críticos, ruta de red, SSH o intento de RDP remoto desde el host infectado

SIN CATEGORIZAR:

  • Uso predeterminado de la cuenta de usuario
  • Cuentas de usuario inactivas
  • Supervisión de evaluación de VPN después de hora
  • Los principales hablantes de Firewall
  • Tráfico P2P
  • Escaneo de puertos de host distribuido
  • Escaneo de host de red distribuida
  • Inundación SYN por IDS/Firewall
  • Alto número de conexiones denegadas para un solo host
  • Brote de gusano/virus detectado
  • Barrido de red entrante/saliente
  • Actualización AV fallida
  • Acceso a IP de malware
  • Acceso a URL de malware
  • Intento de hackeo en portal web
  • Fuga de datos
  • Detección de infección BOTNET en LAN Interna
  • Acceso no autorizado de redes de proveedores o terceros
  • Actividades de host infectado
  • Actividades sospechosas, adware, phishing y piratería
  • Software no deseado
  • Desglose de malware AV identificado en varias máquinas
  • Supervisar el acceso del equipo de desarrollo a los sistemas de producción
  • IP en la lista negra
  • Pase de IP en la lista negra después de múltiples bloqueos de firewall
  • URL en la lista negra
  • Resumen de datos Tendencia
  • Tráfico saliente a países sospechosos
  • Tráfico saliente a puerto sospechoso
  • Tráfico saliente a servicios sospechosos
  • Actividad de usuario finalizada
  • Tráfico malicioso a activos vulnerables
  • Comunicaciones a dominios defectuosos
  • Comunicaciones a Dominios/IP’s en Lista Negra
  • Transferencia de datos involucrada en dominios/IP en lista negra
  • Tráfico saliente relacionado con la base de datos
  • Secuencias de comandos entre sitios
  • Inyección de secuencias de comandos
  • Actividad maliciosa
  • Detección de cambios/fallas en el estado de la interfaz FW
  • Uso de protocolo inseguro: detección de tráfico inseguro como FTP, telnet, VNC en servidores críticos
  • Acceso VPN desde fuera del país
  • Intentos de inicio de sesión de VPN sospechosos
  • Detección de parada de servicio en servidores ESX
  • Detección de inicios de sesión fallidos de múltiples usuarios en servidores ESX desde la misma fuente
  • Detección de apagado/reinicio del servidor ESX
  • Detección de inicio/detención/reanudación/reinicio de máquina virtual
  • Detección de adición/eliminación de un host en vCenter
  • Detección de creación/eliminación de máquinas virtuales en vCenter
  • Probable ataque XSS observado
  • Probable ataque de cruce de directorios observado
  • Métodos HTTP sospechosos observados
  • Solicitud HTTP que no sea GET, POST, HEAD y OPTIONS
  • Probable ataque de inyección SQL observado
  • Ataque web: análisis de vulnerabilidades con Nessus
Publicada el Por
Categorizada como SOC
x