Implementar SOC: Directorios Windows, Linux y MacOS a revisar
Raul Unzue Pulido
29 mayo, 2024
Apple, Ciberseguridad, Linux, Windows
670 Vistas
Implementar SOC: Directorios Windows, Linux y MacOS a revisar
Cuando se monitorizan diferentes sistemas operativos en un SOC, es importante fijarse en los directorio donde podríamos detectar actividades sospechosas. Lo que buscamos es:
- Cambios Inesperados: Archivos modificados, añadidos o eliminados sin autorización.
- Archivos Maliciosos: Scripts, binarios o archivos de configuración que no forman parte de la instalación estándar del sistema o aplicaciones.
- Tareas Programadas: Tareas nuevas o modificadas que podrían indicar persistencia de malware.
- Logs de Seguridad: Revisar los logs de autenticación, errores y eventos de seguridad para identificar intentos de intrusión o compromisos.
- Configuraciones de Red y DNS: Monitorear cambios en configuraciones de red y DNS que podrían indicar intentos de redirección o acceso no autorizado.
- Políticas de Seguridad y Arranque del Sistema: Revisar modificaciones en políticas de seguridad y archivos relacionados con el arranque del sistema para detectar intentos de deshabilitar medidas de seguridad o insertar persistencia maliciosa.
Directorios y Ficheros Windows a controlar en SOC
Directorio |
Descripción |
C:\Users\%username% |
Directorios de usuarios. Monitorea cambios en perfiles de usuario y archivos de configuración personales. |
C:\Windows\System32\drivers\etc |
Configuración de red, incluyendo el archivo hosts. Revisa para detectar cambios no autorizados. |
C:\Windows\System32\config |
Contiene los archivos de registro de eventos del sistema. Revisa eventos de seguridad y errores del sistema. |
C:\Windows\Boot |
Archivos relacionados con el arranque del sistema. Monitorea para detectar modificaciones sospechosas. |
C:\Windows\System32\dns |
Configuración y archivos relacionados con el DNS del sistema. Vigila cambios en la configuración DNS. |
C:\Windows\Security |
Archivos de políticas de seguridad del sistema. Monitorea cambios en las políticas de seguridad. |
C:\Windows\SysWOW64 |
Similar a System32 pero para aplicaciones de 32 bits. Monitorea modificaciones inusuales. |
C:\Windows\Temp |
Archivos temporales del sistema. Revisa archivos temporales sospechosos que podrían indicar actividad maliciosa. |
C:\Windows\Tasks |
Tareas programadas del sistema. Revisa tareas nuevas o modificadas que podrían ser maliciosas. |
C:\ProgramData |
Contiene datos de aplicaciones accesibles por todos los usuarios. Vigila cambios no autorizados. |
C:\Program Files |
Almacena aplicaciones instaladas en el sistema. Revisa instalaciones y modificaciones inesperadas. |
C:\Program Files (x86) |
Similar a Program Files pero para aplicaciones de 32 bits. Monitorea aplicaciones y cambios. |
C:\Windows\System32\LogFiles |
Contiene archivos de log importantes. Revisa logs de eventos y errores. |
Directorios y Ficheros Linux para revisar en SOC
Directorio |
Descripción |
/home |
Directorios de usuario. Revisa archivos nuevos o cambios en directorios de usuarios específicos. |
/etc/network |
Configuración de red. Revisa archivos de configuración de interfaces de red y resolv.conf. |
/var/log |
Contiene archivos de log del sistema y aplicaciones. Monitorea logs de autenticación y errores. |
/boot |
Contiene archivos relacionados con el arranque del sistema. Monitorea cambios en kernel y archivos de arranque. |
/etc/dnsmasq.d |
Configuración de DNS (para sistemas que usan dnsmasq). Vigila cambios en configuraciones DNS. |
/etc/iptables |
Reglas de firewall (iptables). Revisa cambios en las reglas de seguridad. |
/etc |
Contiene archivos de configuración del sistema. Revisa cambios inesperados en archivos críticos. |
/tmp |
Almacena archivos temporales. Monitorea para detectar archivos sospechosos o maliciosos. |
/var/tmp |
Archivos temporales con persistencia. Revisa para detectar archivos maliciosos. |
/usr |
Contiene datos y programas del sistema. Revisa modificaciones en binarios y bibliotecas. |
/bin |
Contiene binarios esenciales para el sistema. Monitorea cambios y adiciones de binarios. |
/sbin |
Similar a /bin, contiene binarios del sistema para administración. Vigila modificaciones. |
/root |
Directorio del usuario root. Monitorea acceso y cambios en este directorio. |
/var/spool/cron |
Contiene tareas cron programadas. Revisa nuevas o modificadas entradas de cron que puedan ser maliciosas. |
Directorios y Ficheros MacOS para revisar en SOC
Directorio |
Descripción |
/Users |
Directorios de usuario. Revisa archivos nuevos o cambios en directorios de usuarios específicos. |
/Library/Preferences/SystemConfiguration |
Configuración de red. Revisa cambios en configuraciones de red como archivos plist de red y WiFi. |
/var/log |
Contiene archivos de log del sistema y aplicaciones. Monitorea logs de autenticación y errores. |
/System/Library/CoreServices |
Archivos relacionados con el arranque del sistema. Monitorea cambios en archivos de arranque. |
/etc |
Configuración de DNS (hosts y resolv.conf). Vigila cambios en configuraciones DNS. |
/Library/Security |
Políticas de seguridad del sistema. Monitorea cambios en configuraciones de seguridad. |
/Library |
Contiene configuraciones globales y aplicaciones. Revisa modificaciones no autorizadas. |
/System |
Archivos del sistema operativo. Vigila cambios en binarios y configuraciones. |
/private/tmp |
Almacena archivos temporales. Monitorea para detectar archivos sospechosos o maliciosos. |
/private/var/tmp |
Archivos temporales con persistencia. Revisa para detectar archivos maliciosos. |
/Applications |
Almacena aplicaciones instaladas. Monitorea instalaciones y modificaciones inesperadas. |
/Library/LaunchAgents |
Contiene scripts y aplicaciones que se lanzan al inicio del usuario. Vigila adiciones no autorizadas. |
/Library/LaunchDaemons |
Contiene scripts y aplicaciones que se lanzan al inicio del sistema. Monitorea nuevas entradas que puedan ser maliciosas. |
ENTRADAS RELACIONADAS CREACION SOC OPENSOURCE
Te ha gustado la entrada SGUENOS EN TWITTER O INVITANOS A UN CAFE?