Implementar SOC: Directorios Windows, Linux y MacOS a revisar

Raul Unzue Pulido 29 mayo, 2024 Apple, Ciberseguridad, Linux, Windows Deja un comentario 1,341 Vistas

Implementar SOC: Directorios Windows, Linux y MacOS a revisar

Cuando se monitorizan diferentes sistemas operativos en un SOC, es importante fijarse en los directorio donde podríamos detectar actividades sospechosas. Lo que buscamos es:

Cambios Inesperados: Archivos modificados, añadidos o eliminados sin autorización.
Archivos Maliciosos: Scripts, binarios o archivos de configuración que no forman parte de la instalación estándar del sistema o aplicaciones.
Tareas Programadas: Tareas nuevas o modificadas que podrían indicar persistencia de malware.
Logs de Seguridad: Revisar los logs de autenticación, errores y eventos de seguridad para identificar intentos de intrusión o compromisos.
Configuraciones de Red y DNS: Monitorear cambios en configuraciones de red y DNS que podrían indicar intentos de redirección o acceso no autorizado.
Políticas de Seguridad y Arranque del Sistema: Revisar modificaciones en políticas de seguridad y archivos relacionados con el arranque del sistema para detectar intentos de deshabilitar medidas de seguridad o insertar persistencia maliciosa.

Directorios y Ficheros Windows a controlar en SOC

Directorio	Descripción
C:\Users\%username%	Directorios de usuarios. Monitorea cambios en perfiles de usuario y archivos de configuración personales.
C:\Windows\System32\drivers\etc	Configuración de red, incluyendo el archivo hosts. Revisa para detectar cambios no autorizados.
C:\Windows\System32\config	Contiene los archivos de registro de eventos del sistema. Revisa eventos de seguridad y errores del sistema.
C:\Windows\Boot	Archivos relacionados con el arranque del sistema. Monitorea para detectar modificaciones sospechosas.
C:\Windows\System32\dns	Configuración y archivos relacionados con el DNS del sistema. Vigila cambios en la configuración DNS.
C:\Windows\Security	Archivos de políticas de seguridad del sistema. Monitorea cambios en las políticas de seguridad.
C:\Windows\SysWOW64	Similar a System32 pero para aplicaciones de 32 bits. Monitorea modificaciones inusuales.
C:\Windows\Temp	Archivos temporales del sistema. Revisa archivos temporales sospechosos que podrían indicar actividad maliciosa.
C:\Windows\Tasks	Tareas programadas del sistema. Revisa tareas nuevas o modificadas que podrían ser maliciosas.
C:\ProgramData	Contiene datos de aplicaciones accesibles por todos los usuarios. Vigila cambios no autorizados.
C:\Program Files	Almacena aplicaciones instaladas en el sistema. Revisa instalaciones y modificaciones inesperadas.
C:\Program Files (x86)	Similar a Program Files pero para aplicaciones de 32 bits. Monitorea aplicaciones y cambios.
C:\Windows\System32\LogFiles	Contiene archivos de log importantes. Revisa logs de eventos y errores.

Directorios y Ficheros Linux para revisar en SOC

Directorio	Descripción
/home	Directorios de usuario. Revisa archivos nuevos o cambios en directorios de usuarios específicos.
/etc/network	Configuración de red. Revisa archivos de configuración de interfaces de red y resolv.conf.
/var/log	Contiene archivos de log del sistema y aplicaciones. Monitorea logs de autenticación y errores.
/boot	Contiene archivos relacionados con el arranque del sistema. Monitorea cambios en kernel y archivos de arranque.
/etc/dnsmasq.d	Configuración de DNS (para sistemas que usan dnsmasq). Vigila cambios en configuraciones DNS.
/etc/iptables	Reglas de firewall (iptables). Revisa cambios en las reglas de seguridad.
/etc	Contiene archivos de configuración del sistema. Revisa cambios inesperados en archivos críticos.
/tmp	Almacena archivos temporales. Monitorea para detectar archivos sospechosos o maliciosos.
/var/tmp	Archivos temporales con persistencia. Revisa para detectar archivos maliciosos.
/usr	Contiene datos y programas del sistema. Revisa modificaciones en binarios y bibliotecas.
/bin	Contiene binarios esenciales para el sistema. Monitorea cambios y adiciones de binarios.
/sbin	Similar a /bin, contiene binarios del sistema para administración. Vigila modificaciones.
/root	Directorio del usuario root. Monitorea acceso y cambios en este directorio.
/var/spool/cron	Contiene tareas cron programadas. Revisa nuevas o modificadas entradas de cron que puedan ser maliciosas.

Directorios y Ficheros MacOS para revisar en SOC

Directorio	Descripción
/Users	Directorios de usuario. Revisa archivos nuevos o cambios en directorios de usuarios específicos.
/Library/Preferences/SystemConfiguration	Configuración de red. Revisa cambios en configuraciones de red como archivos plist de red y WiFi.
/var/log	Contiene archivos de log del sistema y aplicaciones. Monitorea logs de autenticación y errores.
/System/Library/CoreServices	Archivos relacionados con el arranque del sistema. Monitorea cambios en archivos de arranque.
/etc	Configuración de DNS (hosts y resolv.conf). Vigila cambios en configuraciones DNS.
/Library/Security	Políticas de seguridad del sistema. Monitorea cambios en configuraciones de seguridad.
/Library	Contiene configuraciones globales y aplicaciones. Revisa modificaciones no autorizadas.
/System	Archivos del sistema operativo. Vigila cambios en binarios y configuraciones.
/private/tmp	Almacena archivos temporales. Monitorea para detectar archivos sospechosos o maliciosos.
/private/var/tmp	Archivos temporales con persistencia. Revisa para detectar archivos maliciosos.
/Applications	Almacena aplicaciones instaladas. Monitorea instalaciones y modificaciones inesperadas.
/Library/LaunchAgents	Contiene scripts y aplicaciones que se lanzan al inicio del usuario. Vigila adiciones no autorizadas.
/Library/LaunchDaemons	Contiene scripts y aplicaciones que se lanzan al inicio del sistema. Monitorea nuevas entradas que puedan ser maliciosas.