Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 1 de 1
Azure
1
Julio - 2021
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 2 de 1
Indice
Introducción......................................................................................................................... 8
Justificación......................................................................................................................... 8
Información técnica............................................................................................................. 9
Procedimiento de Monitoreo de Seguridad de Red...........................................................11
Supervisión....................................................................................................................... 12
Procedimiento de Respuesta a Incidentes de Seguridad Lógica y de la Información........16
Procedimiento de Manejo de Versiones, Vulnerabilidades y Parches en Productos
Tecnológicos..................................................................................................................... 24
Proceso para la administración del riesgo Manejo de Versiones, Vulnerabilidades y
Parches............................................................................................................................. 25
Procedimiento de Destrucción de Datos, Manejo de Medios y Respaldos........................30
Esquema de Configuración de Respaldos........................................................................37
Diagrama Backup Plataforma Azure.................................................................................38
Cloud backup en Microsoft Azure......................................................................................38
Diagrama de flujos de back up (Procedimiento Font)........................................................39
Procedimientos del proveedor Recomendados para Evitar una Violación de Datos que
involucre a Citi................................................................................................................... 62
2
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 3 de 1
Introducción
Justificación
El presente documento pretende generar las bases para crear una cultura de prevención
de riesgos.
3
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 4 de 1
Información técnica
4
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 5 de 1
5
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 6 de 1
Una red virtual de Azure permite que los recursos de Azure se comuniquen de forma
segura entre ellos, con Internet y con redes locales. Entre los escenarios clave que se
pueden realizar con una red virtual se incluyen los siguientes: la comunicación de los
recursos de Azure con Internet, la comunicación entre los recursos de Azure, la
comunicación con los recursos locales, el filtrado del tráfico de red, el enrutamiento del
tráfico de red y la integración con los servicios de Azure.
Azure Network Watcher proporciona herramientas para supervisar, diagnosticar, ver las
métricas y habilitar o deshabilitar registros de recursos en una red virtual de Azure.
Network Watcher está diseñado para supervisar y reparar el estado de la red de los
productos de IaaS (infraestructura como servicio), lo que incluye máquinas virtuales,
redes virtuales, puertas de enlace de aplicaciones, equilibradores de carga.
6
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 7 de 1
Servicio de Network Watcher en ejecución con las características de seguridad que posee.
Supervisión
Como parte de esta etapa del proceso natural de nuestro procedimiento de monitoreo
de seguridad de red incluimos esta actividad en el documento SE01A PLAN DE
TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
7
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 8 de 1
conexión, es posible que usted pueda reducir la latencia moviendo los recursos de Azure
a diferentes regiones de Azure.
8
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 9 de 1
Diagnóstico
Cuando se implementa una máquina virtual, Azure aplica varias reglas de seguridad de
forma predeterminada a la máquina virtual que permiten o deniegan el tráfico hacia o
desde la máquina virtual. Puede invalidar las reglas predeterminadas de Azure o crear
reglas adicionales. En algún momento, puede que una máquina virtual no pueda
comunicarse con otros recursos, debido a una regla de seguridad. La funcionalidad
Comprobación de flujo de IP permite especificar una dirección IPv4 de origen y destino, el
puerto, el protocolo (TCP o UDP) y la dirección de tráfico (entrante y saliente). La
funcionalidad Comprobación de flujo de IP entonces comprueba la comunicación y le
informa si la conexión es correcta o si genera algún error. Si se produce algún error en la
conexión, la funcionalidad Comprobación de flujo de IP indica qué regla de seguridad
permitió o denegó la comunicación, para poder resolver el problema.
Una vez identificado el alerta gracias las múltiples bondades de Azure Network Watcher
se continúa la siguiente fase del nivel de Soporte requerido.
9
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 10 de 1
Diagnóstico de problemas de filtrado del tráfico de red hacia o desde una máquina
virtual
Diagnóstico de problemas de enrutamiento de red desde una máquina virtual
Métricas
10
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 11 de 1
Registros
Los grupos de seguridad de red (NSG) permiten o deniegan el tráfico entrante o saliente
de una interfaz de red de una máquina virtual. La funcionalidad Registro de flujos de NSG
permite registrar la dirección IP de origen y destino, el puerto, el protocolo y si un NSG ha
permitido o denegado el tráfico.
11
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 12 de 1
12
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 13 de 1
Cierre el incidente:
Una vez que se resuelve el incidente, se registra toda la información generada durante el
13
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 14 de 1
Base de conocimiento:
Toda la información generada durante el tratamiento del incidente es crítica para posibles
incidentes similares en el futuro, así como para recopilar evidencia. Imagine que un
usuario actualiza un sistema y luego de esto, el sistema se cierra (involuntariamente).
Luego, el usuario abre un incidente y el incidente se resuelve y se cierra. La información
generada para resolver el incidente se registra, por lo que si el problema vuelve a ocurrir
en el futuro, simplemente pueden referirse a la base de conocimiento; Tendrán la solución
perfecta sin perder tiempo.
14
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 15 de 1
Este es un equipo multidisciplinar con las personas y la experiencia adecuada. Esto para
que puedan hacer frente al incidente desde diversos enfoques, e involucrarlos en la
creación de este plan. Este equipo cuenta con un líder que es el responsable de
garantizar que cada respuesta se realice de acuerdo al plan y trabajar de la mano con la
Dirección para definir las decisiones importantes de la operativa.
Gerencia General
Nuevos Proyectos
Administrador de
Procesos
Técnicos
Desarrolladores
Especialistas
15
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 16 de 1
Roles y Responsabilidades
Rol Actividades
16
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 17 de 1
Rol Actividades
Rol Actividades
Líder Sistemas Fomentar la participación de los funcionarios en las campañas de
Local sensibilización de seguridad de la información
Apoyar en la resolución de incidentes internos en los casos
relacionados con violaciones u omisiones a las políticas de
seguridad de la información.
El grupo responsable debe atender de manera inmediata los eventos reportados, luego de
analizar los eventos, determinar si estos son categorizados como un incidente de
Seguridad de la Información y realizar el escalamiento correspondiente de acuerdo con su
nivel de criticidad.
17
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 18 de 1
18
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 19 de 1
19
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 20 de 1
El equipo de Soporte de Font Sistemas cuenta con el respaldo de las garantías emitidas
por AZURE en cuanto a las actualizaciones de sistemas operativos, SQL servers. De tal
manera que acudiríamos al equipo de Soporte en la escala de Incidentes si llegase a
presentar Alertas.
Se pueden aplicar dos tipos de parches a SQL Azure, actualizaciones del sistema
operativo y actualizaciones del servicio. Ambos tipos de actualizaciones pueden provocar
la caída de una conexión SQL establecida. Por esta razón, y otras, debe asegurarse de
que su código esté diseñado para intentar restablecer una conexión a SQL Azure y
manejar el grupo de conexiones correctamente en caso de pérdida de conexión.
20
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 21 de 1
21
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 22 de 1
Actualización
Parches
Riesgo: El riesgo expresado en una oración completa que establece la causa del riesgo, el
riesgo y el efecto que el riesgo causa.
22
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 23 de 1
de equipo de un usuario.
Impacto: El impacto del riesgo en el sistema si ocurre el riesgo (escala de 0 a 10, siendo 10
el más alto).
Clasificación de riesgo: una lista de prioridades que está determinada por la clasificación
relativa de los riesgos (por sus puntajes), siendo el número uno el puntaje de riesgo más
alto.
Propietario del riesgo: Personal para vigilar los factores desencadenantes y gestionar la
respuesta al riesgo si se produce el riesgo.
23
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 24 de 1
Componente Fecha Fecha final Fecha final Fecha Final Acción Font
Inicio del de soporte de soporte del soporte Sistemas
ciclo de estándar final de Service
vida Pack
Tree: es, básicamente, como un directorio, hace referencia a un conjunto de otros trees
y/o blobs (por ej. archivos y subdirectorios).
24
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 25 de 1
Tag: es una forma de marcar un commit como específico de alguna forma. Se usa
normalmente para marcar algunos commits como releases específicos o algo destacable
en esas líneas.
Este método de desarrollo estaría basado en Git y Github ofreciéndonos una enorme
versatilidad y posibilitando que todo el equipo de desarrollo esté al día en cuanto a
novedades en el desarrollo así como multitud de ventajas basadas en las mejores
prácticas empresariales en modelos de desarrollo.
25
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 26 de 1
26
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 27 de 1
Solicitud de Solicitud
Implementar Gestión de
Finalización de
Borrado de Datos Borrado Seguro
Cuenta
Borrado Instalacion
Local / Carpetas
Borrado Instancia
Azure
Maquina Virtual
Desinstalación Culminación y
Herramientas Borrado Permanente
Asociadas a la APP Azure
Documento de
Confirmación de
Borrado
Permanente de la Informar al cliente sobre
APP la finalización del pedido
ACTIVIDAD RESPOSANBLE
1. El cliente solicita la eliminación de la APP Cliente
2. Se solicita información si el borrado es permanente o por cambios Administrador de Sistemas
3. El equipo de Font realiza la exploración de directorios y sub directorios que Administrador de Sistemas
corresponden al sistema
27
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 28 de 1
Solicitud Borrado de
Carpeta Local
Si Notificación Borrado
¿Permanente?
Permanente
No
Borrado Archivo
Diagrama Borado
WipeFile sobrescribe la información por completo, por lo que no hay forma de recuperar
los archivos o reconstruir cualquier tipo de reconstrucción.
28
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 29 de 1
El borrado es permanente ya que son sobre escritos los archivos asegurando la eliminación del
clúster que lo contenía
29
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 30 de 1
ACTIVIDAD RESPOSANBLE
1. El cliente solicita la eliminación de las Bases de Datos Cliente
2. Se solicita información si el borrado es permanente o por cambios Administrador de Sistemas
3. El equipo de Font realiza la exploración de directorios y sub directorios que Administrador de Sistemas
corresponden a la base de datos en SQL Server
4. Si el borrado es permanente se utiliza el query que también elimina los Administrador de Sistemas
archivos relacionados a la base de datos.
5. Verificar el estado del Borrado Administrador de Sistemas
6. Enviar confirmación de Borrado Administrador de Sistemas
Solicitud Borrado de
Base de Datos
Si Notificación Borrado
¿Permanente?
Permanente
No
Query Query
Alter Table Drop Database
Modificación Borrado
Base Datos Base Datos
USE master;
GO
ALTER DATABASE
REMOVE FILE
GO
30
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 31 de 1
2- Seleccione Máquinas virtuales. Busque su máquina virtual y luego seleccione su máquina para abrir
la hoja de la máquina virtual.
3- Tome nota (anote) el grupo de recursos que contiene la VM y las dependencias de la VM.
5- Seleccione Discos y anote el disco del sistema operativo y los discos de datos.
9- Elimine las dependencias seleccionando manualmente los elementos que ha anotado. Para cada
elemento, seleccione Eliminar.
31
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 32 de 1
ACTIVIDAD RESPOSANBLE
1. Revisión de directorios relacionados a instalación: Administrador de Sistemas
Carpetas de Fotos de Activos
Carpetas de Respaldos de Datos
Carpetas con Datos de Prueba
Carpetas de Software de Terceros
Carpetas Respaldos de Azure
2. Se Ubican los mismos archivos en Servidores de Desarrollo y Calidad Bases Administrador de Sistemas
de Datos:
Datos de Prueba
Datos de Desarrollo
Datos de Calidad
3. El equipo de Font realiza la exploración final y procede a emitir notificación Administrador de Sistemas
4. Se emite notificación al cliente de limpieza de archivos Administrador de Sistemas
32
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 33 de 1
Como parte del componente que significa la herramienta AZURE BACKUP utilizamos
esta herramienta, la cual incluye un amplio margen de configuraciones y características
que aprovechamos en el Departamento de Font Sistemas a fin de brindar máxima
capacidad de Seguridad y Protección a nuestra herramienta. Las funcionalidades que
aprovechamos de la herramienta son:
Descarga de copia de seguridad local: Azure Backup ofrece una solución sencilla para
hacer copias de seguridad de los recursos locales en la nube
Como parte del proceso de copia de seguridad, se realiza una instantánea y los datos se
transfieren al almacén de Recovery Services sin que ello afecte a las cargas de trabajo de
producción. La instantánea proporciona diferentes niveles de coherencia.
33
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 34 de 1
Grupo de Recursos
34
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 35 de 1
35
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 36 de 1
36
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 37 de 1
37
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 38 de 1
No
38
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 39 de 1
con amplísimo respaldo, se basa en los controles del Centro de seguridad de Internet
(CIS) y del Instituto Nacional de Normas y Tecnología (NIST), con un enfoque en
seguridad centrada en la nube.
Los términos "control", "punto de referencia" y "línea de base" se utilizan con frecuencia
en la documentación de Azure Security Benchmark y es importante comprender cómo
utilizar esos términos.
Terminología
Término Descripción Ejemplo
La protección de datos es uno de
Un control es una descripción de alto nivel los controles de seguridad. Este
de una característica o actividad que debe control contiene acciones
Control
abordarse y no es específica de una específicas que deben abordarse
tecnología o implementación. para ayudar a garantizar que los
datos estén protegidos.
39
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 40 de 1
Terminología
Término Descripción Ejemplo
Un punto de referencia contiene
Azure Security Benchmark
recomendaciones de seguridad para una
Punto de comprende las recomendaciones
tecnología específica, como Azure. Las
referencia de seguridad específicas de la
recomendaciones están categorizadas por
plataforma Azure.
el control al que pertenecen.
Una línea de base es la implementación
del punto de referencia en el servicio de Habilitar las características de
Azure individual. Cada organización seguridad de Azure SQL siguiendo
Base decide la recomendación de referencia y la configuración recomendada en la
las configuraciones correspondientes son línea de base de seguridad de
necesarias en el ámbito de Azure SQL.
implementación de Azure.
40
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 41 de 1
Las siguientes tareas están relacionadas con el cumplimiento de los estándares del
reglamento general de protección de datos (RGPD).
41
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 42 de 1
Es importante destacar que Azure Security Center es una herramienta activa en todo
momento y avisa de las amenazas procedentes de actores malintencionados conocidos.
Estos son algunos ejemplos:
Salida DDoS y detección de botnet: un objetivo común de los ataques dirigidos a los
recursos de nube consiste en usar la capacidad de proceso de estos recursos para
ejecutar otros ataques.
42
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 43 de 1
De acuerdo a la políticas Política EOL / EOS una vez que un producto llega al final del
soporte, o un servicio se retira, no habrá nuevas actualizaciones de seguridad,
actualizaciones de no seguridad o soporte técnico asistido. Se recomienda a los clientes
que migren a la versión más reciente del producto o servicio. Es posible que se ofrezcan
programas de pago para productos aplicables.
Directiva moderna. Los productos que se rigen por la directiva moderna siguen un
modelo continuo de soporte y mantenimiento. Los clientes deben tener instalada la
actualización más reciente para seguir recibiendo soporte. Los productos y servicios
proporcionarán un aviso con un mínimo de 12 meses de antelación al retiro.
Directiva fija. El producto regulado por la directiva fija habrá publicado las fechas de fin
de soporte en el momento del lanzamiento. Estos productos suelen tener 5 años de
soporte estándar seguidos de 5 años de soporte extendido (pueden aplicarse
excepciones).
43
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 44 de 1
Cuando un producto llega al final de la fase de soporte estándar, los clientes ya no podrán
recibir actualizaciones de no seguridad ni realizar solicitudes para cambiar el diseño y las
características del producto.
Service Packs. Para los productos de directiva fija, los clientes deben pasar al Service
Pack más reciente para seguir recibiendo soporte. Cuando se lance un nuevo Service
Pack, los clientes disfrutarán de 12 o 24 meses de soporte para que tengan tiempo
suficiente de cara a la transición al siguiente Service Pack.
44
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 45 de 1
Tácticas
Alerta Descripción severity
MITRE
Adición de una
El análisis de datos del host ha detectado la adición de la cuenta de
cuenta de invitado al
invitado integrada al grupo de administradores locales en el host %
grupo de - Media
{Compromised Host}, lo que está estrechamente asociado con la
administradores
actividad de los atacantes.
locales
Acción antimalware Microsoft Antimalware para Azure ha realizado una acción para proteger
- Media
realizada esta máquina contra malware u otro software potencialmente no deseado.
45
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 46 de 1
Tácticas
Alerta Descripción severity
MITRE
Se detectaron
acciones que
indican la
El análisis de datos del host detectó acciones que muestran que se
deshabilitación y - Media
inhabilitaron o eliminaron archivos de registro de IIS.
eliminación de
archivos de registro
de IIS
Se detectó una
El análisis de datos del host en %{Compromised Host} detectó una línea
combinación
de comandos con una combinación anómala de caracteres en
anómala de
mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es
caracteres en - Media
benigno, también es típico de los atacantes que intentan ocultarse de la
mayúsculas y
regla basada en hash o que distingue mayúsculas de minúsculas al
minúsculas en la
realizar tareas administrativas en un host en peligro.
línea de comandos.
46
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 47 de 1
Tácticas
Alerta Descripción severity
MITRE
Los atacantes usan técnicas de ofuscación cada vez más complejas para
Se detectó una línea
eludir las detecciones que se ejecutan con los datos subyacentes. El
de comandos - Informativo
análisis de datos del host en %{Compromised Host} detectó indicadores
ofuscada
sospechosos de ofuscación en la línea de comandos.
Se detectó una El análisis de datos del host en %{Compromised Host} detectó un nombre
posible ejecución de de archivo que se ha asociado previamente a uno de los métodos del
- Alto
un instalador de grupo de actividad GOLD de instalación de malware en el host de las
malware. víctimas.
Se detectó una El análisis de datos del host en %{Compromised Host} detectó una -
posible actividad de combinación de comandos systeminfo que se ha asociado previamente a
reconocimiento uno de los métodos del grupo de actividad GOLD de realización de la
local. actividad de reconocimiento. Aunque "systeminfo.exe" es una herramienta
de Windows legítima, su ejecución dos veces seguidas de la forma en
47
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 48 de 1
Tácticas
Alerta Descripción severity
MITRE
Se detectaron
El análisis de datos del host en %{Compromised Host} detectó que se han
argumentos de la
usado argumentos de la línea de comandos sospechosos junto con un - Alto
línea de comandos
shell inverso que utiliza el grupo de actividad HYDROGEN.
sospechosos.
Se detectaron El análisis de datos del host en %{Compromised Host} detectó una - Alto
credenciales contraseña sospechosa que el grupo de actividad BORON usa para
sospechosas en la ejecutar un archivo. Se sabe que este grupo de actividad utiliza esta
48
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 49 de 1
Tácticas
Alerta Descripción severity
MITRE
línea de comandos. contraseña para ejecutar malware de Pirpi en el host de las víctimas.
Se detectaron El análisis de datos del host en %{Compromised Host} detectó datos que - Alto
49
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 50 de 1
Tácticas
Alerta Descripción severity
MITRE
Se detectó una El análisis de datos del host ha detectado que se ha agregado una nueva
nueva regla de regla de firewall a través de netsh.exe para permitir el tráfico desde un - Media
firewall sospechosa. archivo ejecutable en una ubicación sospechosa.
50
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 51 de 1
Tácticas
Alerta Descripción severity
MITRE
Se detectó un
comportamiento El análisis de datos del host en %{Compromised Host} detectó la
relacionado con la ejecución de un proceso o comando que normalmente se asocia con la - Alto
minería de datos de minería de moneda digital.
moneda digital.
Se detectó una La memoria del proceso especificado a continuación contiene una Evasión Alto
técnica de ataque evidencia de una técnica de ataque sin archivos: Los atacantes usan los de
sin archivos ataques sin archivos para ejecutar código y evitar ser detectados por el defensas,
51
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 52 de 1
Tácticas
Alerta Descripción severity
MITRE
Kit de herramientas La memoria del proceso especificado contiene un kit de herramientas de Evasión Media
de ataques sin ataques sin archivos: [nombre del kit de herramientas]. Los kits de defensiva
archivos detectado herramientas de ataques sin archivos usan técnicas que minimizan o
eliminan el rastro de malware en el disco y reducen considerablemente
las posibilidades de detección mediante soluciones de análisis de
52
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 53 de 1
Tácticas
Alerta Descripción severity
MITRE
El implante del Se creó una regla de firewall mediante técnicas que coinciden con un
servidor ZINC creó actor conocido, ZINC. Es posible que la regla se usara para abrir un
una regla de firewall puerto en el host %{Compromised Host} a fin de permitir las
- Alto
malintencionada [Se comunicaciones del comando y control. Este comportamiento se ha
detectó varias detectado [x] veces en la actualidad en las siguientes máquinas: [nombres
veces]. de las máquinas].
Se consultaron El análisis de datos del host ha determinado que se está realizando una - Media
53
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 54 de 1
Tácticas
Alerta Descripción severity
MITRE
Se detectaron El análisis de datos del host indica una actividad sospechosa - Alto
54
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 55 de 1
Tácticas
Alerta Descripción severity
MITRE
El análisis de datos del host indica que un atacante puede haber alterado
Se detectó un ataque un archivo binario de accesibilidad (por ejemplo, las teclas especiales, el
- Media
de teclas especiales. teclado en pantalla o el narrador) para proporcionar una puerta trasera de
acceso al host %{Compromised Host}.
Se observó una El análisis de datos del host detecta parámetros de la línea de comandos - Media
55
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 56 de 1
Tácticas
Alerta Descripción severity
MITRE
sospecha de
parámetros de
coherentes con un ataque golden ticket de Kerberos.
ataque golden ticket
de Kerberos.
Se detectó una El análisis de datos del host detectó un script de PowerShell que se
actividad de ejecuta en el host %{Compromised Host} que tiene características en
- Alto
PowerShell común con scripts sospechosos conocidos. Este script podría indicar una
sospechosa. actividad legítima o que un host se encuentra en peligro.
SE ejecutaron
cmdlets de El análisis de datos del host indica la ejecución de cmdlets
- Media
PowerShell malintencionados conocidos de PowerSploit de PowerShell.
sospechosos.
56
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 57 de 1
Tácticas
Alerta Descripción severity
MITRE
protector de pantalla archivos del protector de pantalla y suelen residir en el directorio del
sospechoso. sistema de Windows, así como ejecutarse desde este.
57
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 58 de 1
Tácticas
Alerta Descripción severity
MITRE
Ejecución de
Los registros de la máquina indican una ejecución de la línea de
comando -
comandos sospechosa realizada por parte del usuario %{user name}.
sospechosa
El análisis de datos del host indica una ejecución de un proceso con una
Se ejecutó un
extensión doble sospechosa. Esta extensión pueden engañar a los
archivo de extensión - Alto
usuarios para que piensen que es seguro abrir los archivos y puede
doble sospechoso.
indicar la presencia de malware en el sistema.
Se ejecutó un Los registros de la máquina indican que el proceso sospechoso "% - Alto
proceso {Suspicious Process}" se estaba ejecutando en la máquina, lo que a
sospechoso. menudo se asocia a intentos por parte del atacante de acceder a las
58
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 59 de 1
Tácticas
Alerta Descripción severity
MITRE
credenciales.
Ráfaga de El análisis de datos del host indica que se produjo una ráfaga de
terminación de terminación de procesos sospechosa en %{Machine Name}. En concreto,
- Bajo
procesos se eliminaron %{NumberOfCommands} procesos entre %{Begin} y %
sospechosa {Ending}.
Se ejecutó un Se observó que la ejecución del proceso del sistema %{process name} en
proceso del sistema un contexto anómalo. A menudo, el malware usa este nombre de proceso - Alto
sospechoso. para enmascarar su actividad malintencionada.
59
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 60 de 1
Tácticas
Alerta Descripción severity
MITRE
Se detectó un
método de El análisis de datos del host ha detectado un intento de conservar un
persistencia del archivo ejecutable en el registro de Windows. El malware suele utilizar - Bajo
Registro de esta técnica para sobrevivir a un reinicio.
Windows.
60
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 61 de 1
61
SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 62 de 1
62