En este whitepaper recogemos el trabajo realizado de manera conjunta entre Chief Data Officer de Telefonica y la unidad de Producto de ElevenPaths para realizar la detección de una consecución de eventos, no necesariamente de seguridad, que den indicios de que un equipo Windows se encuentra comprometido, usando para ello el producto “Security Monitoring” de ElevenPaths. El Whitepaper ha sido escrito por Pablo González Pérez (Security Researcher, ElevenPaths), Santiago Hernández Ramos (Security Researcher, ElevenPaths) y Santiago Urbano López de Meneses (Product Manager, ElevenPaths).
Los sistemas operativos Microsoft Windows generan una gran cantidad de información de seguridad y salud en forma de eventos. No todos estos eventos suponen un riesgo a priori, pero nos pueden dar indicios de que algo está sucediendo.
El trabajo realizado se trata de una prueba de concepto para parametrizar, en un primer paso, ciertos eventos individuales; para después definir que una combinación de estos eventos en el tiempo certifican que un equipo está realmente en riesgo o ha sido comprometido y, de este modo, poder alertar al administrador del sistema de que se está produciendo actividad maliciosa.
Esta experiencia ha permitido introducir en el flujo de desarrollo del producto “Security Monitoring” la modificación de algunos elementos para que la plataforma de recogida y correlación de eventos de “Logtrust”, sobre la que está desarrollado, permita, de manera flexible y sencilla, realizar la implementación de estas detecciones y, en un futuro, poder poner a disposición de los clientes del servicio estas características.
También te puede interesar:
» Prevención y detección de incidentes de seguridad con Security Monitoring
» Servicio de ElevenPaths: Security Monitoring
» Prevención y detección de incidentes de seguridad con Security Monitoring
» Servicio de ElevenPaths: Security Monitoring
