@media screen and (min-width: 580px) { .flotantewhatsapp{ display:none; } }

Compartir por WhatsApp

implementar-soc-directorios-windows-linux-y-macos-a-revisar

Implementar SOC: Directorios Windows, Linux y MacOS a revisar

Implementar SOC: Directorios Windows, Linux y MacOS a revisar

Cuando se monitorizan diferentes sistemas operativos en un SOC, es importante fijarse en los directorio donde podríamos detectar actividades sospechosas. Lo que buscamos es:

  • Cambios Inesperados: Archivos modificados, añadidos o eliminados sin autorización.
  • Archivos Maliciosos: Scripts, binarios o archivos de configuración que no forman parte de la instalación estándar del sistema o aplicaciones.
  • Tareas Programadas: Tareas nuevas o modificadas que podrían indicar persistencia de malware.
  • Logs de Seguridad: Revisar los logs de autenticación, errores y eventos de seguridad para identificar intentos de intrusión o compromisos.
  • Configuraciones de Red y DNS: Monitorear cambios en configuraciones de red y DNS que podrían indicar intentos de redirección o acceso no autorizado.
  • Políticas de Seguridad y Arranque del Sistema: Revisar modificaciones en políticas de seguridad y archivos relacionados con el arranque del sistema para detectar intentos de deshabilitar medidas de seguridad o insertar persistencia maliciosa.

Directorios y Ficheros Windows a controlar en SOC

Directorio Descripción
C:\Users\%username% Directorios de usuarios. Monitorea cambios en perfiles de usuario y archivos de configuración personales.
C:\Windows\System32\drivers\etc Configuración de red, incluyendo el archivo hosts. Revisa para detectar cambios no autorizados.
C:\Windows\System32\config Contiene los archivos de registro de eventos del sistema. Revisa eventos de seguridad y errores del sistema.
C:\Windows\Boot Archivos relacionados con el arranque del sistema. Monitorea para detectar modificaciones sospechosas.
C:\Windows\System32\dns Configuración y archivos relacionados con el DNS del sistema. Vigila cambios en la configuración DNS.
C:\Windows\Security Archivos de políticas de seguridad del sistema. Monitorea cambios en las políticas de seguridad.
C:\Windows\SysWOW64 Similar a System32 pero para aplicaciones de 32 bits. Monitorea modificaciones inusuales.
C:\Windows\Temp Archivos temporales del sistema. Revisa archivos temporales sospechosos que podrían indicar actividad maliciosa.
C:\Windows\Tasks Tareas programadas del sistema. Revisa tareas nuevas o modificadas que podrían ser maliciosas.
C:\ProgramData Contiene datos de aplicaciones accesibles por todos los usuarios. Vigila cambios no autorizados.
C:\Program Files Almacena aplicaciones instaladas en el sistema. Revisa instalaciones y modificaciones inesperadas.
C:\Program Files (x86) Similar a Program Files pero para aplicaciones de 32 bits. Monitorea aplicaciones y cambios.
C:\Windows\System32\LogFiles Contiene archivos de log importantes. Revisa logs de eventos y errores.

Directorios y Ficheros Linux para revisar en SOC

Directorio Descripción
/home Directorios de usuario. Revisa archivos nuevos o cambios en directorios de usuarios específicos.
/etc/network Configuración de red. Revisa archivos de configuración de interfaces de red y resolv.conf.
/var/log Contiene archivos de log del sistema y aplicaciones. Monitorea logs de autenticación y errores.
/boot Contiene archivos relacionados con el arranque del sistema. Monitorea cambios en kernel y archivos de arranque.
/etc/dnsmasq.d Configuración de DNS (para sistemas que usan dnsmasq). Vigila cambios en configuraciones DNS.
/etc/iptables Reglas de firewall (iptables). Revisa cambios en las reglas de seguridad.
/etc Contiene archivos de configuración del sistema. Revisa cambios inesperados en archivos críticos.
/tmp Almacena archivos temporales. Monitorea para detectar archivos sospechosos o maliciosos.
/var/tmp Archivos temporales con persistencia. Revisa para detectar archivos maliciosos.
/usr Contiene datos y programas del sistema. Revisa modificaciones en binarios y bibliotecas.
/bin Contiene binarios esenciales para el sistema. Monitorea cambios y adiciones de binarios.
/sbin Similar a /bin, contiene binarios del sistema para administración. Vigila modificaciones.
/root Directorio del usuario root. Monitorea acceso y cambios en este directorio.
/var/spool/cron Contiene tareas cron programadas. Revisa nuevas o modificadas entradas de cron que puedan ser maliciosas.

Directorios y Ficheros MacOS para revisar en SOC

Directorio Descripción
/Users Directorios de usuario. Revisa archivos nuevos o cambios en directorios de usuarios específicos.
/Library/Preferences/SystemConfiguration Configuración de red. Revisa cambios en configuraciones de red como archivos plist de red y WiFi.
/var/log Contiene archivos de log del sistema y aplicaciones. Monitorea logs de autenticación y errores.
/System/Library/CoreServices Archivos relacionados con el arranque del sistema. Monitorea cambios en archivos de arranque.
/etc Configuración de DNS (hosts y resolv.conf). Vigila cambios en configuraciones DNS.
/Library/Security Políticas de seguridad del sistema. Monitorea cambios en configuraciones de seguridad.
/Library Contiene configuraciones globales y aplicaciones. Revisa modificaciones no autorizadas.
/System Archivos del sistema operativo. Vigila cambios en binarios y configuraciones.
/private/tmp Almacena archivos temporales. Monitorea para detectar archivos sospechosos o maliciosos.
/private/var/tmp Archivos temporales con persistencia. Revisa para detectar archivos maliciosos.
/Applications Almacena aplicaciones instaladas. Monitorea instalaciones y modificaciones inesperadas.
/Library/LaunchAgents Contiene scripts y aplicaciones que se lanzan al inicio del usuario. Vigila adiciones no autorizadas.
/Library/LaunchDaemons Contiene scripts y aplicaciones que se lanzan al inicio del sistema. Monitorea nuevas entradas que puedan ser maliciosas.

ENTRADAS RELACIONADAS CREACION SOC OPENSOURCE

¿Te ha gustado la entrada SÍGUENOS EN TWITTER O INVITANOS A UN CAFE?

El Blog de Negu

Acerca de Raul Unzue Pulido

Administrador de sistemas virtuales e infraestructuras IT, linuxero y entusiasta de la tecnología.

Compruebe también

alta-disponibilidad-en-cluster-linux-con-pacemaker-7

Alta disponibilidad en cluster Linux con Pacemaker

Alta disponibilidad en cluster Linux con Pacemaker Hace bastante tiempo, hablamos de Corosync como sistema …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

tres + 1 =

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
Blog Maquinas Virtuales - El Blog de Negu