Comprender el concepto de correlación de eventos

Juan Daniel Suarez Amado

Fundación Universitaria del Área Andina.

Informática Forense
Marzo 2022
 Tabla de Contenidos

Introducción......................................................................................................................................i
Objetivos generales.......................................................................................................................i
Objetivos específicos....................................................................................................................i
Descripción de la actividad evaluativa ............................................................................................ii
Instrucciones:...................................................................................................................................ii
Solución..........................................................................................................................................iii
Lista de referencias ........................................................................................................................xv
 i

Introducción

La informática Forense es uno de los medios o herramientas más utilizados hoy en día
por las empresas para ejercer las herramientas de análisis en la identificación de intrusos
o personas sospechosas cuando se comete el delito informático dentro de una
organización entonces para esto interpretamos la información de un equipo de la empresa
el cual le envía al motor de correlación y analizo los detalles más significativos como, por
ejemplo: inicio de sesión, ip origen, hora y fecha, ip destino, entre otras..

Objetivos generales

 Instalar, configurar y analizar para que sirven los motores de correlación

Objetivos específicos

 Documentar las pruebas necesarias para el correcto desempeño del taller.

 Fundamentar los métodos aplicados y lograr un correcto enfoque de estas
herramientas.
 Implementar una máquina virtual Windows o Linux.
 Descargar el aplicativo Splunk, instalarlo y configurarlo.
 ii

Descripción de la actividad evaluativa

Para el desarrollo de esta actividad vamos a necesitar:

• Máquina virtual Windows o Linux
• Descargar splunk versión de pruebas https://www.splunk.com/en_us/download/splunk-
enterprise.html
La versión para descargar depende del sistema operativo.
Para la instalación les recomendamos el siguiente video:
https://www.youtube.com/watch?v=ogS-4QEOrYW8
• Configurarlo para recibir los logs del equipo donde se instaló.

Instrucciones:

• Contar con una máquina virtual Windows o Linux, de no tenerla se deberá

crear una utilizando cualquier sistema de virtualización o en su defecto
realizar la instalación del aplicativo en el equipo físico.
• Después se debe descargar el aplicativo Splunk, instalarlo y configurarlo.
• Paso por seguir es comenzar a interpretar la información que el equipo le
envía al motor de correlación y tratar de analizar los detalles más
significativos, como, por ejemplo: inicio de sesión, ip origen, hora y fecha,
ip destino, entre otras.
• Por último realizar un informe de no más de 2 hojas con la información
analizada.
 iii

Solución

VMware WorkStation: Es una aplicación que sirve para hacer máquinas

virtuales con instalaciones de sistemas operativos. Esto quiere decir que, si
tienes un ordenador con Windows, GNU/Linux o incluso macOS, puedes
crear una máquina virtual con cualquier otro sistema operativo para
utilizarlo dentro del que estés usando.

Creación de Máquina Virtual: En este procedimiento se realizará asignación

del disco en la máquina virtual al sistema operativo Windows 11.

Procedemos a descargar el aplicativo Splunnk a instalarlo y configurarlo

Primero nos registramos

 iv

Luego d e registrarnos procedemos a la descarga

 v

Aceptamos la licencia para su instalación

 vi

Creamos un usuario administrador y sus credenciales

 vii

Al terminnar conn las instalacion ejecutaremos el aplicativo la cual nos redireccionara al

localhost donde iniciaremos seesion con nel usuario creado previameente sino escribimos
een el navegador la siguiente direccion: http://127.0.0.1:8000/en-
US/account/login?return_to=%2Fen-US%2F

Aca podemos ver la interfaz de splunk donde podemos empezar la configuracion e

informacion que nos da nuestra maquina

Pasos de configuracion:
 viii

Seleccionamos agregar dato

Aca podemos ver que tenemos varios metodos para obtener datos como cargar archivos
csv, monitorizar y la ultima cargar archivos tcp
 ix

Seleccionamos los eventos locales

Log de sistema

Este log nos indica que el historial de accesos settings.dat se borró mediante la
actualización de 31 claves y la creación de 7 páginas modificadas
 x

Este log nos indica que la configuración de permisos especifico en la aplicación no

concede el permiso de activación local para la aplicación de servidor con CLSID al
usuario DESKTOP- DL7

Log de seguridad

Este log nos indica que las credenciales del administrador de credenciales fueron leídas.
 xi

Este proceso se produce cuando un usuario realiza una operación en la lectura de las
credenciales almacenadas en el administrador de credenciales

Log de aplicación

Este log nos indica que la actualización de Windows defender para

SECURITY_PREODUCT_STATE_ON se completó exitosamente

Comenzamos a interpretar la información que el equipo envia al motor de correlación y

tratar de analizar los detalles significativos: ip origen, hora, fecha, ip destino entre otras
xii
xiii
 xiv

Conclusiones

Actualmente disponemos de diversas herramientas que nos permiten

observar Detallando cada evento que sucede en nuestro equipo, la
herramienta Splunk es una solución que nos permite monitorear y analizar
todo nuestro big data Una empresa que lo implementa a través de una página
web. esta información nos La entrega de Splunk es muy valiosa,
representada por panal en el repositorio. Información, gráficos y alertas muy
útiles para la toma de decisiones importante en la empresa.

Las herramientas de Splunk supervisan, analizan y exportan mediante

Computadoras, sitios web, servidores, aplicaciones web, sensores e incluso
dispositivos móviles, Estos datos son importantes para reducir el riesgo de
ciberataques, mejorar Rendimiento del servicio, reducir los costos de la
empresa.

Investigando un poco sobre la herramienta la cual no es demasiado útil para

llevar un registro completo de nuestro sistema

Splunk nos ayuda a eliminar problemas de tener que analizar la información

en los distintos sistemas de seguridad para encontrar dicha amenza.
 xv

Lista de referencias

José, Cano Martínez, Jeimy (2015). «El intruso y sus técnicas». Computación forense :
descubriendo los rastros informáticos (Segunda edición, revisada y aumentada edición).
Alfaomega Colombiana. p. 37-71. ISBN 9789586829229. OCLC 945459757. Consultado
el 12 de marzo de 2019.
↑ Mike., Horton, (2003). «Chapter 3: Hacking concepts». Network security : portable
reference (en inglés). McGraw-Hill/Osborne.
p. 39. ISBN 0072227834. OCLC 53006111. Consultado el 12 de marzo de 2019.
↑ Saltar a:a b c José, Cano Martínez, Jeimy (2015). «El administrador y la infraestructura
de seguridad». Computación forense : descubriendo los rastros informáticos (Segunda
edición, revisada y aumentada edición). Alfaomega Colombiana. p. 71-
106. ISBN 9789586829229. OCLC 945459757. Consultado el 12 de marzo de 2019.
↑ Saltar a:a b José, Cano Martínez, Jeimy (2015). «El investigador y la criminalística
digital». Computación forense : descubriendo los rastros informáticos (Segunda edición,
revisada y aumentada edición). Alfaomega Colombiana. p. 107-
141. ISBN 9789586829229. OCLC 945459757. Consultado el 12 de marzo de 2019.
↑ Saltar a:a b c d José, Cano Martínez, Jeimy (2015). «Retos y riesgos emergentes para la
computación forense». Computación forense : descubriendo los rastros
informáticos (Segunda edición, revisada y aumentada edición). Alfaomega Colombiana.
p. 143-168. ISBN 9789586829229. OCLC 945459757. Consultado el 12 de marzo de
2019.
Carasso, D. (2012). Exploring splunk. New York: CITO Research.

Stearley, J., Corwell, S., & Lord, K. (2010). Bridging the gaps: joining information sources with
splunk. In Workshop on Managing Systems via Log Analysis and Machine Learning Techniques
(SLAML 10).

Bumgarner, V. (2013). Implementing Splunk-Big Data Reporting and Development for

Operational Intelligence. Packt Publishing Ltd.

Diakun, J., Johnson, P. R., & Mock, D. (2016). Splunk Operational Intelligence Cookbook. Packt
Publishing Ltd.