Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Eventos en SIEM CDP ML

    Cargado por

    Yonathan Gambin
    12 vistas6 páginas
    Eventos en SIEM CDP ML

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    XLSX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Eventos en SIEM CDP ML

    Copyright:

    © All Rights Reserved
    Descargue como XLSX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    12 vistas6 páginas

    Eventos en SIEM CDP ML

    Cargado por

    Yonathan Gambin
    Eventos en SIEM CDP ML

    Copyright:

    © All Rights Reserved
    Descargue como XLSX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    Dispositivos de red

    Sistema
    Categoría Evento (FW, F5, switches,
    Operativo
    router etc)
    Sesiones Inicio de Sesión N/A P
    (Usuarios Finales y Cierre de Sesión N/A P
    Administradores) Intento Fallido N/A P
    Alta de Usuario N/A P
    Baja de Usuario N/A P
    Reactivar Usuario N/A P
    Deshabilitar Usuario N/A P
    Usuarios Bloqueo de Cuentas de Usuario N/A P
    Desbloqueo de Usuario N/A P
    Cambio de Contraseña N/A P
    Agregar permisos/roles/perfiles N/A P
    Retirar permisos/roles/perfiles N/A P
    Alta de Permisos/Roles/Perfiles N/A P
    Baja de Permisos/Roles/Perfiles N/A P
    Privilegios Modificación de Permisos/Roles/Perfiles N/A P
    Deshabilitar Roles/permisos/perfiles N/A P
    Habilitar Roles/permisos/perfiles N/A P
    Habilitar Auditoria N/A P
    Auditoria
    Deshabilitar Auditoria N/A P
    Creación N/A N/A
    Maquinas Virtuales Modificación N/A N/A
    Eliminación N/A N/A
    Configuraciones Registro de actividad de acuerdo al alcance de la N/A P
    plataforma (Logs de Operación)
    El owner debe indicar los flujos criticos del
    sistema.
    Flujos de Negocio N/A N/A
    Nota: Impacto a la Seguridad y con afectación al
    negocio.
    En caso de aplicar se consideran los logs del
    Administración sistema de gestión. N/A N/A
    Aplican todos los puntos anteriores excepto
    Maquinas Virtuales
    Bases de datos (Oracle, Management
    Ambiente de
    Aplicación/GUI SQL, Mongo, Vertica Físico (ILO, Gestores
    virtualización
    etc) CIMC, etc)
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A
    N/A N/A N/A N/A N/A

    N/A N/A N/A N/A N/A

    N/A N/A N/A N/A N/A


    Categoría Secuencia
    Sesiones 1
    (Usuarios Finales y Administradores)

    2
    3
    8
    7
    Usuarios 4
    5
    6
    9
    10
    11
    15
    Privilegios 13
    14
    12
    17
    16
    Auditoria
    19
    18

    Maquinas Virtuales

    Configuraciones

    Flujos de Negocio

    Administración
    Evento
    Inicio de Sesión (itdeployment, usertest)
    Cierre de Sesión (usertest, itdeployment)
    Intento Fallido
    Alta de Usuario (usertest)
    Baja de Usuario (usertest)
    Reactivar Usuario (usertest)
    Deshabilitar Usuario (usertest)
    Bloqueo de Cuentas de Usuario (usertest)
    Desbloqueo de Usuario (usertest)
    Cambio de Contraseña (usertest)
    Agregar permisos/roles/perfiles (usertest)
    Retirar permisos/roles/perfiles (usertest)
    Alta de Permisos/Roles/Perfiles (grouptest)
    Baja de Permisos/Roles/Perfiles (grouptest)
    Modificación de Permisos/Roles/Perfiles (grouptest)
    Deshabilitar Roles/permisos/perfiles (grouptest)
    Habilitar Roles/permisos/perfiles (grouptest)
    Habilitar Auditoria (por agentes de splunk)
    Deshabilitar Auditoria (por agentes de splunk)
    Habilitar Auditoria (por servicios de rsyslog)
    Deshabilitar Auditoria (por servicios de rsyslog)
    Creación
    Modificación
    Eliminación
    Registro de actividad de acuerdo al alcance de la plataforma (Logs de Operació
    El owner debe indicar los flujos criticos del sistema.
    Nota: Impacto a la Seguridad y con afectación al negocio.
    En caso de aplicar se consideran los logs del sistema de gestión.
    Aplican todos los puntos anteriores excepto Maquinas Virtuales
    comando
    desde una consola o servidor ssh user@iphost
    exit desde el servidor
    ssh user@iphost y dar un passwd erroneo
    /usr/sbin/useradd -s /bin/bash usertest
    userdel -r usertest, tambien solo poner un # en /etc/passwd en la linea similar a usertest:x:6475:256:PRUEBA:/home/usertest
    /usr/sbin/useradd -s /bin/bash usertest, tambien quitarel # en /etc/passwd en la linea similar a usertest:x:6475:256:PRUEBA:/
    Si aplica Dentro del path comentar colocando un # en el usuario a afectar /etc/passwd con el comando Vi : #usertest:x:6475:256
    Si aplica usermod -L usertest
    Si aplica usermod -U usertes
    Si aplica passwd usertest y se hace cambio de passwd
    modifica el grupo: usermod -g sysadmin usertest
    modifica el grupo: usermod -g oinstall usertest
    groupadd -g 9999 grouptest (primero se crea el grupo y posteriormente se otorgan los permisos)
    N/A
    N/A
    N/A
    N/A
    /opt/splunkforwarder/bin/splunk start o restart
    /opt/splunkforwarder/bin/splunk stop (se recomienda aplicar este antes del paso 17)
    Validar que el agente Splunk no este corriendo, con este comando: /opt/splunkforwarder/bin/splunk status -auth admin:netw
    service auditd stop, validar en el log tail -f /var/log/messages

    No aplicar esto en amarillo ya que no son maquina virtuales


    monitoreo local
    /var/log/secure

    tail -f /var/log/messages

    nicia el agente.

    También podría gustarte