Clases de eventos para auditar
El primer paso a seguir cuando se quiere crear una estrategia de auditoría del sistema es determinar que tipo de acciones o operaciones necesitamos registrar.
¿Cuales son los eventos que debemos auditar? Normalmente no se quieren auditar todos y cada uno de los eventos, ya que auditarlos todos requeriría una cantidad grande de recursos del sistema y podría influir negativamente en su propio rendimiento. Deben establecerse cuales son los que auditar, y sólo aquéllos que se crean necesarios y útiles para una referencia futura.
Los eventos a auditar en Windows Server 2003 pueden dividirse en dos categorías:
- Eventos realizados con éxito
Un evento realizado con éxito indica que la acción o operación se ha completado correctamente. Están indicados con un icono llave.
- Eventos erróneos
Un evento con error indica que la acción o operación se intentó, pero no se completó. Se indican con un icono candado.
Los eventos erróneos son muy útiles para el seguimiento de intrusiones en el entorno, mientras que los realizados correctamente son mucho más difíciles de interpretar. La mayoría de estos últimos son indicación de una actividad normal y un atacante que accede al sistema también los genera.
A menudo un modelo de eventos es tan importante como los propios eventos. Por ejemplo una serie de errores seguido de un acierto puede de indicar una intrusión con éxito.
De forma similar una desviación del modelo también indica actividades sospechosas.
Si hemos de implementar una directiva de auditoría, hemos de seleccionar los tipos de eventos que queremos que Windows Server 2003 audite. La tabla siguiente nos describe los eventos que puede auditar:
| Evento | Ejemplo |
|---|---|
| Sucesos de inicio de sesión de cuenta | Audita los intentos de inicio de sesión en una cuenta local de un equipo. Si la cuenta de usuario es una cuenta de dominio, este suceso también aparece en el controlador de dominios. |
| Administración de cuentas | Audita la creación, modificación y eliminación de cuentas de usuario o grupo, junto con cambios y restablecimientos de contraseña. |
| Acceso del servicio de directorio | Audita el acceso a objetos en el servicio de directorio de Active Directory®. |
| Sucesos de inicio de sesión | Audita los intentos de inicio de sesión en estaciones de trabajo y servidores de miembros. |
| Acceso a objetos | Audita los intentos de obtener acceso a objetos como archivos, carpetas, claves de registro o impresoras con configuraciones de auditoría definidas dentro de la lista de control de acceso al sistema (SACL) de los mismos. |
| Cambio de directivas | Audita los cambios en las directivas de auditoría, cuenta, confianza o de asignación de derechos de usuario. |
| Uso de privilegios | Audita cada una de las instancias que se crean cuando un usuario ejerce un derecho, como el cambio de la hora del sistema |
| Seguimiento de procesos | Audita el comportamiento de la aplicación, como el inicio y la finalización de un programa. |
| Sucesos del sistema | Audita los sucesos del sistema informático, como el inicio y el apagado, y los sucesos que repercuten en la seguridad del sistema o el registro de seguridad. |