Análisis de registros
¿Qué es Análisis de registros?
Análisis de registrosRevisión sistemática de registros de sistema, aplicaciones y seguridad para detectar, investigar y reconstruir eventos relevantes para la seguridad.
El análisis de registros examina los eventos generados por sistemas operativos, equipos de red, aplicaciones y herramientas de seguridad: Windows EVTX, syslog/journald de Linux, registros de acceso de servidores web, flujos de firewall, telemetría EDR y pistas de auditoría en la nube como AWS CloudTrail o Microsoft 365 Unified Audit Log. Los analistas analizan, normalizan y correlacionan estas fuentes, normalmente mediante un SIEM, para detectar anomalías de autenticación, ejecución de comandos, movimiento lateral y exfiltración. Herramientas habituales son Splunk, Elastic, Chainsaw, Hayabusa, EvtxECmd y reglas Sigma. Su eficacia depende de la sincronización horaria, una retención adecuada y un inventario de la actividad normal.
● Ejemplos
- 01
Cazar Kerberoasting analizando eventos 4769 de Windows en Splunk.
- 02
Correlacionar fallos de ConsoleLogin de AWS CloudTrail con inicios de sesión exitosos desde una nueva IP.
● Preguntas frecuentes
¿Qué es Análisis de registros?
Revisión sistemática de registros de sistema, aplicaciones y seguridad para detectar, investigar y reconstruir eventos relevantes para la seguridad. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Análisis de registros?
Revisión sistemática de registros de sistema, aplicaciones y seguridad para detectar, investigar y reconstruir eventos relevantes para la seguridad.
¿Cómo defenderse de Análisis de registros?
Las defensas contra Análisis de registros combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Análisis de registros?
Nombres alternativos comunes: Análisis de eventos, Revisión de logs de seguridad.