A continuación, se muestra una lista de verificación de monitoreo al momento de implementar nuestro servicio de SOCaaS:
EQUIPOS WINDOWS
- Apagado/reinicio del servidor
- Medios extraíbles detectados
- Apagado anormal de Windows
- Intentos de inicio de sesión con la misma cuenta desde diferentes escritorios
- Detección de apagado-reinicio del servidor fuera del horario de oficina
- Cambios en el grupo administrativo
- Inicios de sesión no autorizados
- Uso interactivo de la cuenta de administrador
- Inicio de sesión de acceso remoto: éxito y fracaso
- Servicios de Windows Detener-Reiniciar
- ACL cambiados en miembros del grupo de administradores
- Cuentas de Windows Habilitado Deshabilitado
- Múltiples cuentas de Windows bloqueadas
- Múltiples inicios de sesión de Windows por el mismo usuario
- Intento de fuerza bruta de la misma fuente
- Inicios de sesión fuera del horario comercial habitual
- Inicios de sesión en múltiples cuentas de usuario desde la misma fuente
- Intento de fuerza bruta de la misma fuente con inicio de sesión exitoso
- Cuenta de Windows creada eliminada
- Fallo de hardware de Windows
- Inicio de sesión fallido en múltiples destinos desde la misma fuente
- Cuentas administrativas: error de inicio de sesión múltiple
- Detección de cuenta de usuario agregada/eliminada en el grupo de administración
- Detección de cambios de hora del sistema (Tiempo de arranque)
- Detección de uso de cuentas de proveedores de productos predeterminados
- Usuario eliminado dentro de las 24 horas de haber sido creado
- Servicio crítico detenido en servidores Windows
- El registro de seguridad de Windows está lleno
- Múltiples cambios de contraseña en poco tiempo
- Se cambió el tipo de grupo de Windows
- Cambio de política de auditoría
- Registro de auditoría borrado
- Detección de cuenta de usuario añadida
- Error de inicio de sesión: se realizó un intento de inicio de sesión con una cuenta caducada
- Gran cantidad de usuarios creados/eliminados en un corto período de tiempo
- Tráfico saliente observado desde servidores a Internet
- Inicios de sesión fallidos/intento con cuentas deshabilitadas/ex-empleado/caducadas
- Eliminar carpeta de archivos de Windows
- Cambios en los permisos de la carpeta de archivos de Windows
- Gran cantidad de usuarios creados/eliminados en un corto período de tiempo

EQUIPOS LINUX
- Eventos de importación y exportación de archivos FTP
- Sistema de archivos Linux lleno
- El servidor se apago
- Usuarios creados/eliminados en un período breve
- Grupo de usuarios creado/eliminado en un período breve
- Intentos de inicio de sesión de Linux con la misma cuenta desde diferentes escritorios
- Inicios de sesión fallidos
- Inicios de sesión fallidos con cuentas deshabilitadas
- Acceso de inicio de sesión FTP
- Conexión SFTP múltiple
- Inicios de sesión fallidos desde el acceso raíz
- Linux Varias fallas de inicio de sesión SU
- Intentos de inicio de sesión remotos utilizando el usuario raíz en el nodo de producción
- Acceso a Sudo desde usuarios que no son de Sudo
- Detección de uso de cuentas de proveedores de productos predeterminados
- Adición o Eliminación de usuarios al grupo “root”
- Parada de servicio crítico
- Linux: alto número de fallas de inicio de sesión para la misma cuenta en poco tiempo
- Contraseña cambiada
- Agregar, eliminar y modificar trabajos cron
- Errores de inicio de sesión de SU
- Detección de cambio en la configuración de syslog
- Detección de cambio en la configuración de la red
FIREWALL, ANTIVIRUS, IPS Y VPN
- Error de inicio de sesión del administrador
- Fuerza bruta con cambios de configuración exitosos
- Evento de conmutación por error del Firewall
- Conexión exitosa desde la IP de Internet después de bloques repetitivos en el firewall
- Intentos de acceso en protocolos y puertos no identificados
- Exploit Event seguido de Scanning Host
- Acceso saliente a direcciones IP de destino no válidas
- Inicio de sesión exitoso entre horas no comerciales
- Reinicio de Firewall
- Detección de modificaciones de cuentas/grupos de usuarios
- Usuario agregado/eliminado a la base de datos de firewall
- Detección de tráfico inseguro como FTP, telnet, en servidores críticos
- Detección de adición/eliminación de un administrador de Firewall
- Inicio de sesión denegado (fuerza bruta)
- Alto número de eventos denegados
- Cambio de configuración detectado
- El enlace al dispositivo del mismo nivel está inactivo debido a un problema de cableado físico
- Intentos de escaneo de puertos de red y host
- Detección de conmutación primaria-secundaria
- Un administrador ha permitido/eliminado el acceso al firewall desde una IP en particular
- Tráfico P2P detectado
- Alerta de alta utilización de la CPU en el Firewall
- El Firewall no pudo asignar la memoria RAM
- Detección de cualquier tipo de falla relacionada con Standby FW
- Principales caídas de tráfico de DMZ, FW
- Tráfico saliente observado en puertos importantes
- Tráfico saliente exitoso a la dirección IP de amenazas en la lista negra
- Múltiples tráficos salientes fallidos a direcciones IP de amenazas en la lista negra
DISPOSITIVO DE SEGURIDAD – PUNTO DE CONTROL
- Alerta crítica de firewall observada
- Cambio de configuración de VPN observado
- Error de inicio de sesión del administrador detectado
- Inicio de sesión exitoso entre horas no comerciales
- Acceso exitoso desde países sospechosos
- El servicio de punto de control se reinicia
- Cambio de configuración de puerta de enlace/clúster de Firewall
- Utilización de CPU alta
- Política de punto de control instalada
- Alto número de eventos denegados
- Alerta basada en firmas de Smart-Defense
- Fallo de verificación del certificado VPN
- Cambio de configuración detectado
- Reinicio de Firewall
CORREO ELECTRÓNICO
- Los 10 principales usuarios que envían correos a dominios externos
- Los 10 principales receptores/remitentes de correo electrónico
- Fuga de datos identificada a través de archivos grandes enviados por correo
- Adjuntos maliciosos/sospechosos identificados
- ID de grupos de uso de correo electrónico
- Supervisión de correos que salen del dominio de la empresa a otros dominios después del horario de oficina
- Alta utilización de ancho de banda de correo electrónico por parte de usuarios individuales
- Detección de mensajes no entregados
- Acceso al buzón por otro usuario
- Usuario enviando un mensaje como otro usuario
- Usuario que envía un mensaje en nombre de otro usuario
- Detección de inicio de sesión de usuarios en el buzón que no es su cuenta principal
- Detección de correos redirigidos automáticamente
- Los 10 principales usuarios que envían correos internamente
- Pico repentino de la puerta de enlace SMTP en los correos entrantes
- Alto número de correos electrónicos rechazados de una sola dirección “de”
- Detección de inicio de sesión de usuarios en el buzón que no es su cuenta principal
- Detección de correos redirigidos automáticamente
RED INALÁMBRICA/VPN

- Tráfico malicioso detectado
- Cuenta VPN iniciada desde varias ubicaciones remotas
- Cuenta VPN iniciada desde VPN y en la red local
- Intentos de inicio de sesión inalámbricos no autorizados
- El servidor de autorización inalámbrico está inactivo
- Inicio de sesión anónimo desde una dirección IP desconocida
- Cuenta VPN iniciada desde varias ubicaciones en un corto período de tiempo o desde
- lugares sospechosos
- Inicio de sesión simultáneo desde varias ubicaciones para un solo usuario
- Conexión VPN más allá de las 24 horas
- Acceso VPN desde la dirección IP interna
- Acceso VPN desde un pais extranjero
- AP inalámbrico reiniciado
- AP inalámbrico no seguro detectado
- Acceso VPN desde el equipo en tierra
IPS
- Intento de acceso al archivo de contraseña de LINUX
- Alerta alta de IPS
- Posible explotación de la vulnerabilidad
- Escaneo de puertos probables en la red
- Intento de inyección SQL
- Tráfico de virus en la red
- Ataques basados en firmas
PROXY
- Intentos de acceso en protocolos y puertos no identificados
- Informe de acceso al dominio de malware
- Informe resumido basado en la categoría de proxy
- Informe de acceso a IP de malware
- Acceso a software potencialmente no deseado
- Servidor DNS dinámico
- Fuentes maliciosas/malnets
- Botnets/datos salientes maliciosos
- Punto a punto (P2P)
- Anulación de Proxy
- Herramientas de acceso remoto
- Acceso desde un agente de usuario inusual
- Publicar solicitud en sitios no categorizados después del horario de oficina
- Acceso a Internet no deseado
- Cambios en la configuración del proxy
- Intento de inicio de sesión fallido del proxy
- Violación de acceso al contenido
- Acceso proxy anónimo
- Acceso al sitio web de la herramienta hacker
- Intentos de acceso por BOTNET identificados por encabezado de solicitud HTTP
BASE DE DATOS
- Contraseña de BD caducada
- Uso de comandos críticos
- Comandos críticos ejecutados en la base de datos fuera del horario comercial
- BD: actualizar o insertar comandos
- Usuario de BD creado/eliminado
- Múltiples fallas de inicio de sesión observadas para la base de datos
- Creación/modificación del esquema de la base de datos
- Principales errores de ejecución de consultas
- Supervisión de los intentos de inicio de sesión en la base de datos
- Uso de cuentas de proveedor predeterminadas contra la política
- Acceso a la base de datos fuera del horario laboral
- Errores de inicio de sesión para sys/system o cuentas privilegiadas
- Conexión a bases de datos de producción desde segmentos de red no permitidos
ROUTER/SWITCH
- Mensajes de error del Router
- Cambio de estado de relación de BGP
- Fallo en la fuente de alimentación del Router
- Cambio de configuración
- Mensajes críticos observados desde el SWITCH
- Mensajes de alerta observados desde el SWITCH
- Detección de Antispam
- Archivo caído debido a su gran tamaño
- Detección de proxy de proceso de aplicación
- Detección de ataque terrestre
- Detección de Ping de fuerza bruta
- Detección de nueva política de adición
- Detección de violación de política
- tráfico de virus
- Filtrado de contenido detectado
- Fallo/éxito de autenticación
ANTIVIRUS (AV)
- Virus antivirus detectado
- AV Detección de tráfico Backdoor en la red
- Almacenamiento extraíble identificado
- Infección de malware antivirus identificada (no en cuarentena/limpiada/eliminada/movida)
- Infección de malware AV múltiple identificada desde el mismo host
- Múltiples fuentes que acceden a la misma URL de malware
- Múltiples tipos de infección de malware AV identificados desde el mismo host
- Error de detección de actualización de DAT de antivirus en equipos de usuarios finales
- Detección de brote de gusano en la red
- Detección de brote de virus
- Intento de detener los cronogramas de escaneo ad hoc/diario
- Detección de tráfico Backdoor en la red
- Intento de detener los Servicios AV
- Intente detener los módulos AV críticos
- AV identificó las máquinas Rogue en la red
- Detección del escaneo que se detiene antes de completarse
- La detección del análisis programado se detuvo/pausó (retrasó)
- Detección de la computadora que no está protegida con las últimas definiciones
- Detección del nuevo software cliente instalado
- Detección del software cliente desinstalado
- Desglose de malware antivirus identificado en varias máquinas en la misma subred/diferente subred Múltiples reincidencias de la misma infección identificadas en la misma máquina
- Múltiples recurrencias de infecciones únicas identificadas desde la misma máquina
- Lista negra Dominio/Direcciones IP Monitoreo del tráfico que emerge hacia/desde la máquina infectada
- Fuerza bruta/escaneo de puerto o host/intento de acceso de elevación de privilegios desde la máquina infectada
- Intento de reiniciar el servicio o proceso AV, módulos AV de la máquina infectada
- Acceso a recursos compartidos de archivos críticos, ruta de red, SSH o intento de RDP remoto desde el host infectado
SIN CATEGORIZAR:
- Uso predeterminado de la cuenta de usuario
- Cuentas de usuario inactivas
- Supervisión de evaluación de VPN después de hora
- Los principales hablantes de Firewall
- Tráfico P2P
- Escaneo de puertos de host distribuido
- Escaneo de host de red distribuida
- Inundación SYN por IDS/Firewall
- Alto número de conexiones denegadas para un solo host
- Brote de gusano/virus detectado
- Barrido de red entrante/saliente
- Actualización AV fallida
- Acceso a IP de malware
- Acceso a URL de malware
- Intento de hackeo en portal web
- Fuga de datos
- Detección de infección BOTNET en LAN Interna
- Acceso no autorizado de redes de proveedores o terceros
- Actividades de host infectado
- Actividades sospechosas, adware, phishing y piratería
- Software no deseado
- Desglose de malware AV identificado en varias máquinas
- Supervisar el acceso del equipo de desarrollo a los sistemas de producción
- IP en la lista negra
- Pase de IP en la lista negra después de múltiples bloqueos de firewall
- URL en la lista negra
- Resumen de datos Tendencia
- Tráfico saliente a países sospechosos
- Tráfico saliente a puerto sospechoso
- Tráfico saliente a servicios sospechosos
- Actividad de usuario finalizada
- Tráfico malicioso a activos vulnerables
- Comunicaciones a dominios defectuosos
- Comunicaciones a Dominios/IP’s en Lista Negra
- Transferencia de datos involucrada en dominios/IP en lista negra
- Tráfico saliente relacionado con la base de datos
- Secuencias de comandos entre sitios
- Inyección de secuencias de comandos
- Actividad maliciosa
- Detección de cambios/fallas en el estado de la interfaz FW
- Uso de protocolo inseguro: detección de tráfico inseguro como FTP, telnet, VNC en servidores críticos
- Acceso VPN desde fuera del país
- Intentos de inicio de sesión de VPN sospechosos
- Detección de parada de servicio en servidores ESX
- Detección de inicios de sesión fallidos de múltiples usuarios en servidores ESX desde la misma fuente
- Detección de apagado/reinicio del servidor ESX
- Detección de inicio/detención/reanudación/reinicio de máquina virtual
- Detección de adición/eliminación de un host en vCenter
- Detección de creación/eliminación de máquinas virtuales en vCenter
- Probable ataque XSS observado
- Probable ataque de cruce de directorios observado
- Métodos HTTP sospechosos observados
- Solicitud HTTP que no sea GET, POST, HEAD y OPTIONS
- Probable ataque de inyección SQL observado
- Ataque web: análisis de vulnerabilidades con Nessus