Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 7 vistas

    2023-003 - Control y Monitoreo FIm y Siem

    Cargado por

    Retro Smart Box
    La reunión revisó alertas y eventos de SIEM y FIM del 21 de enero al 3 de febrero de 2023. No se detectó actividad extraña en servidores PCI. Se presentaron ejemplos de alertas por creación de cuentas, intentos fallidos de acceso y fallas en inicio de sesión. FIM no reportó archivos comprometidos, solo actividad normal. Se validó el correcto funcionamiento de agentes en servidores y estaciones.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    2023-003 - Control y Monitoreo FIm y Siem

    Cargado por

    Retro Smart Box
    7 vistas4 páginas
    La reunión revisó alertas y eventos de SIEM y FIM del 21 de enero al 3 de febrero de 2023. No se detectó actividad extraña en servidores PCI. Se presentaron ejemplos de alertas por creación de cuentas, intentos fallidos de acceso y fallas en inicio de sesión. FIM no reportó archivos comprometidos, solo actividad normal. Se validó el correcto funcionamiento de agentes en servidores y estaciones.

    Descripción original:

    Control y estudio cargas III

    Título original

    2023-003 - Control y monitoreo FIm y Siem.docx

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    La reunión revisó alertas y eventos de SIEM y FIM del 21 de enero al 3 de febrero de 2023. No se detectó actividad extraña en servidores PCI. Se presentaron ejemplos de alertas por creación de cuentas, intentos fallidos de acceso y fallas en inicio de sesión. FIM no reportó archivos comprometidos, solo actividad normal. Se validó el correcto funcionamiento de agentes en servidores y estaciones.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    7 vistas4 páginas

    2023-003 - Control y Monitoreo FIm y Siem

    Cargado por

    Retro Smart Box
    La reunión revisó alertas y eventos de SIEM y FIM del 21 de enero al 3 de febrero de 2023. No se detectó actividad extraña en servidores PCI. Se presentaron ejemplos de alertas por creación de cuentas, intentos fallidos de acceso y fallas en inicio de sesión. FIM no reportó archivos comprometidos, solo actividad normal. Se validó el correcto funcionamiento de agentes en servidores y estaciones.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 4

    ACTA DE REUNIÓN

    TEMA DE LA REUNIÓN: Alertas y eventos Fim y Siem

    ACTA DE REUNIÓN No: 2023-003 FECHA: 2023-02-03

    EQUIPO
    PROYECTO PCI
    DIRECTIVO

    REUNIÓN DE X
    OTRO FIM-SIEM
    ÁREA

    PARTICIPANTES

    NOMBRE EMPRESA CARGO ASISTENCIA

    Juan Carlos Parra Incocredito Analista de Seguridad Informática Asistió

    Brian Mendoza D. Incocredito Director Infraestructura Asistió

    OBJETIVO DE LA REUNIÓN

    Realizar la revisión de las alertas y eventos presentados desde el 21 Enero hasta el 03


    Febrero de 2023 por las herramientas de monitoreo de seguridad SIEM (SumoLogic) y FIM
    (Ossec).

    DESARROLLO DE LOS TEMAS TRATADOS

    ● Alertas presentadas Siem


    ● Alertas presentadas Fim
    ● Acciones realizadas

    1.
    DESARROLLO DE LOS TEMAS TRATADOS

    TEMA CONCLUSIONES RELEVANTES

    1. Alertas ● No se evidencia actividad extraña sobre los servidores y estaciones del alcance PCI se
    adjuntan unos ejemplos de logs generados por creación de cuentas en domino, alerta
    presentadas Siem
    por intentos fallidos y alertas por fallos al inicio de sesión donde se validó en su
    momento con el Analista de Infraestructura encargado de los servidores con el fin de
    validar que lo reportado no represente ningún riesgo.

    * - User Account Created: 01/27/2023 04:38:37 PM COT


    <omitted>";

    ELABORADA POR: Juan Carlos Parra Página 1


    ACTA DE REUNIÓN

    InsertionStrings = {"jotorres", "INCOCREDITO",


    "S-1-5-21-3724454021-380845257-2666373490-19070",
    "S-1-5-21-3724454021-380845257-2666373490-500", "admin2002", "INCOCREDITO",
    "0x264ee56e", "-", "jotorres", "Joan Camilo Torres", "[email protected]", "-", "-", "-", "-",
    "-", "%%1794", "%%1794", "513", "-", "0x0", "0x15", "

    - User Account Created: 01/27/2023 04:38:18 PM COT

    <omitted>";
    InsertionStrings = {"yehernandez", "INCOCREDITO",
    "S-1-5-21-3724454021-380845257-2666373490-19069",
    "S-1-5-21-3724454021-380845257-2666373490-500", "admin2002", "INCOCREDITO",
    "0x264ee56e", "-", "yehernandez", "Yeris Paulina Hernández Velasquez",
    "[email protected]", "-", "-", "-", "-", "-", "%%1794", "%%1794", "513", "-", "0x0",
    "0x15", "

    - Alerta de intentos fallidos de acceso a servidores Linux

    # Timeslice dest_host dest_user eventcount protocol


    src_host src_ip src_user threshold
    1 01/23/2023 08:25:00 AM COT acardena 4
    172.20.14.6 172.20.14.6 acardena 2.0
    2 01/23/2023 08:25:00 AM COT acardena 3
    172.20.14.5 172.20.14.5 acardena 2.0
    3 01/23/2023 08:25:00 AM COT acardena 6
    172.20.14.5 172.20.14.5 acardena 2.0
    4 01/23/2023 08:20:00 AM COT acardena 4
    172.20.14.5 172.20.14.5 acardena 2.0

    * -ALERTA DE PUSUARIOS (Falló Inicio Sesión): 01/23/2023 08:15:26 AM COT

    instance of Win32_NTLogEvent
    {
    Computer = "INCODOM2.incocredito.com.co";
    EventCode = 4738;
    EventIdentifier = 4738;
    Logfile = "Security";
    RecordNumber = 189649062;
    SourceName = "Microsoft-Windows-Security-Auditing";
    TimeGenerated = "20230123131526.000000-000";
    TimeWritten = "20230123131526.000000-000";
    Type = "Audit Success";
    EventType = 4;
    Category = 13824;
    CategoryString = "User Account Management";
    Message = "<omitted>";
    InsertionStrings = {"-", "mcortes", "INCOCREDITO",
    "S-1-5-21-3724454021-380845257-2666373490-1180", "S-1-5-7", "ANONYMOUS LOGON", "NT
    AUTHORITY", "0x3e6", "-", "-", "-", "-", "-", "-", "-", "-", "-", "1/23/2023 8:15:26 AM", "-", "-", "-", "-",
    "-", "-", "-", "-", "-"};
    };
    Host: INCODOM2.incocredito.com.co
    Name: Security
    Category: Produccion/servidores-windows/
    -ALERTA DE PUSUARIOS (Falló Inicio Sesión): 01/27/2023 07:31:54 AM COT

    instance of Win32_NTLogEvent

    ELABORADA POR: Juan Carlos Parra Página 2


    ACTA DE REUNIÓN

    {
    Computer = "INCODOM2.incocredito.com.co";
    EventCode = 4738;
    EventIdentifier = 4738;
    Logfile = "Security";
    RecordNumber = 190663528;
    SourceName = "Microsoft-Windows-Security-Auditing";
    TimeGenerated = "20230127123154.000000-000";
    TimeWritten = "20230127123154.000000-000";
    Type = "Audit Success";
    EventType = 4;
    Category = 13824;
    CategoryString = "User Account Management";
    Message = "<omitted>";
    InsertionStrings = {"-", "jbastida", "INCOCREDITO",
    "S-1-5-21-3724454021-380845257-2666373490-18093", "S-1-5-7", "ANONYMOUS LOGON",
    "NT AUTHORITY", "0x3e6", "-", "-", "-", "-", "-", "-", "-", "-", "-", "1/27/2023 7:31:54 AM", "-", "-", "-",
    "-", "-", "-", "-", "-", "-"};
    };
    Host: INCODOM2.incocredito.com.co
    Name: Security
    Category: Produccion/servidores-windows/

    2. Alertas Se verifican las alertas generadas por la herramienta verificando que no se ven comprometidos
    presentadas fim archivos o información de la organización la herramienta para el periodo de revisión y
    monitoreo (21 Enero hasta 03 Febrero) solo nos reporta informes de actividad contemplada
    como normal en los servidores y estaciones dentro del alcance PCI de la organización, de la
    siguiente manera se toman algunos ejemplos:

    - Multiple authentication failures - 2023-01-26T17:10:55.744860-05:00 INCONTP sshd[18910]:


    PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.20.10.81

    - Multiple authentication failures - 2023-01-26T20:24:58.370994-05:00 INCONTP sshd[27715]:


    PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.20.10.81

    - User missed the password more than one time - 2023-01-26T19:00:15.056144-05:00


    incodrive2 sshd[29976]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh
    ruser= rhost=172.20.10.81

    - User account locked out (multiple login errors) - 2023 Jan 27 16:06:08 WinEvtLog: Security:
    AUDIT_SUCCESS(4740): Microsoft-Windows-Security-Auditing: (no user): no domain:
    INCODOM1.incocredito.com.co: 0x8000000000000000 message: A user account was locked
    out. Subject: Security ID: S-1-5-18 Account Name: INCODOM1$ Account Domain: INCOCREDITO
    Logon ID: 0x3e7 Account That Was Locked Out: Security ID:
    S-1-5-21-3724454021-380845257-2666373490-9876 Account Name: jmojica Additional
    Information: Caller Computer Name: OPERACIONES20

    3. Acciones Se genera revisión de parámetros de las alertas y validación de la correcta operación de agentes
    realizadas en los servidores y estaciones del alcance, se valida que 3 estaciones (REGBUC01 -
    SEGURIDAD09 - REGBTA14))que no reportaron por 2 dias seguidos pero era debido a que los
    equipos se encontraban apagados por no uso por parte de los usuarios.

    ELABORADA POR: Juan Carlos Parra Página 3


    ACTA DE REUNIÓN

    CONCLUSIONES

    ● No se encuentran alertas de alta complejidad que impacten la información o


    seguridad de los servidores y estaciones dentro del alcance PCI.

    ELABORADA POR: Juan Carlos Parra Página 4

    También podría gustarte