¿Qué es una auditoría?
Digamos que una auditoría es un proceso que sigue las actividades de usuario y sistema operativo mediante la grabación de los tipos de eventos seleccionados en el registro de seguridad de un servidor o estación de trabajo. El registro de seguirdad contiene varias entradas de auditoría, que contienen la siguiente información:
- La acción que se realizó.
- El usuario que la llevó a cabo.
- Aplicación o error del evento y cuando ocurrió.
- Información adicional, como el equipo donde ocurrió el evento.
¿Por qué realizar auditorías?
Habilitar auditorías y monitorizar los registros auditados para:
- Crear una línea básica de red normal y operaciones de equipo.
- Detectar intentos de intrusión a la red o el equipo.
- Determinar que sistemas y datos se han visto comprometidos durante o después de un incidente de seguridad.
- Prevenir mayores daños a redes o equipos después que un intruso haya penetrado en la red.
Las necesidades de seguridad de una organización ayuda a determinar la cantidad de auditoría utilizada. Por ejemplo: un entorno mínimo puede elegir auditar los inicios de sesión fallidos para monitorizar potenciales ataques de fuerza bruta. Un nivel más grande puede elegir auditar tanto los fallos como los inicios de sesión correctos, para seguir cualquier acceso a la red no autorizado por usuarios que lo realizan.
Aunque la auditoría puede proporcionar valiosa información, excesivas auditorías llenan el registro de información innecesaria. Esto puede potencialmente afectar el rendimiento del sistema y hacerlo extremadamente díficil para encontrar información relevante.
Los tipos más comunes de eventos para auditar son cuando:
- Se acceden a objetos, como archivos y carpetas.
- Administrar cuentas de usuario y grupos.
- Inicio y cierre de sesión de usuarios en el sistema