Los incidentes de seguridad van en aumento, por lo que es crucial que las organizaciones tomen las medidas adecuadas para fortalecerse. Una política de auditoría de Windows efectiva garantiza que se registren los eventos adecuados para cada actividad relacionada con la seguridad en su red. Examinar cuidadosamente estos eventos puede ayudarle a detectar una brecha tan pronto como se produzca, limitando los daños. Los datos de auditoría también sirven como prueba para el análisis forense después de que ocurra un incidente, y archivarlos garantiza que su organización cumpla con los mandatos reglamentarios. A continuación, se presentan siete recomendaciones sobre la política de auditoría que le ayudarán a cumplir con sus requisitos de seguridad y cumplimiento.
Toda estrategia de gestión de logs de seguridad debe incluir el monitoreo de las estaciones de trabajo. Si bien los servidores y los controladores de dominio se monitorean estrictamente, también es imprescindible monitorear las estaciones de trabajo, ya que suelen ser el punto en que se genera una brecha de seguridad. Establecer políticas de auditoría en todas las estaciones de trabajo puede ayudar a identificar los fallos de seguridad antes de que se produzcan demasiados daños.
Configurar la política de auditoría para auditar todas las actividades en su red puede saturar rápidamente sus logs de seguridad con información irrelevante. Esto hace que sea más difícil para los administradores identificar los eventos críticos. Por tanto, debe asegurarse de dar prioridad al registro de los eventos más críticos que claramente reflejan actividades no autorizadas y que no representan falsos positivos.
Windows ofrece la posibilidad de elegir entre las nueve categorías de política de auditoría y las subcategorías de política de auditoría avanzada. Se recomiendan estas subcategorías, ya que permiten limitar el número de eventos de la categoría relacionada, lo que reduce el riesgo. Por lo tanto, configure las subcategorías para tener un control más granular sobre los eventos que se auditan.
Nota: Para evitar que los ajustes de la categoría de auditoría tradicional anulen las subcategorías, habilite la opción de seguridad "Forzar los ajustes de la subcategoría de política de auditoría" (Windows Vista o posterior) para anular los ajustes de la categoría de política de auditoría, que se encuentra en Configuración del equipo > Configuración de Windows > Configuración de seguridad > Políticas locales > Opciones de seguridad.
La auditoría a nivel de objeto le permite monitorear los cambios en sus objetos, archivos y carpetas de Active Directory (AD). Habilite la auditoría de los objetos del directorio configurando las listas de control de acceso al sistema (SACL) además de las políticas de auditoría y de auditoría avanzada. Esto garantiza que los eventos se registren siempre que se produzca alguna actividad relacionada con objetos o archivos de AD.
No todas las actividades requieren la auditoría de éxitos y fallos. Por ejemplo, para la configuración de Auditoría de archivos compartidos, tiene que auditar tanto los eventos exitosos como los fallidos para controlar todos los intentos de creación, eliminación, modificación y acceso a los recursos de red. Sin embargo, para la configuración de Auditoría detallada de archivos compartidos, puede habilitar sólo la auditoría de eventos fallidos para identificar los intentos de acceso no autorizados, ya que la auditoría de eventos exitosos para esta configuración resulta en un gran volumen de eventos inofensivos. Por ello, al configurar su política de auditoría, debe evaluar cuidadosamente los pros y los contras de registrar los eventos exitosos o fallidos para cada subcategoría.
Los datos de auditoría recopilados se deben almacenar y conservar durante un período determinado para cumplir con la normativa. Según su política de auditoría, los datos de auditoría pueden llenar rápidamente su espacio de disco. Por tanto, debe definir los ajustes de retención y tamaño de su log de eventos para evitar sobreescrituras, y asignar suficiente espacio para archivar los datos de auditoría después de la retención.
Los cambios en su política de auditoría pueden afectar al rendimiento de sus computadores. Después de modificar los ajustes de auditoría, utilice el Asistente de resultados de la política de grupo para ver la lista de ajustes de la política de auditoría que se aplicará. Modifique los ajustes según sea necesario antes de implementarlos en su entorno de AD.
Usar herramientas nativas para interpretar y analizar la información contenida en los logs de auditoría puede ralentizar su respuesta forense a una violación de seguridad. ManageEngine ADAudit Plus es un auditor de cambios basado en el análisis del comportamiento de los usuarios (UBA) que ayuda a mantener su entorno de Windows Server seguro y conforme a las normas, proporcionando una visibilidad completa de todas las actividades.
Descargar una prueba gratuita de 30 días.