SANS, chuletas para detectar intrusos en Windows o Linux

Hoy me apetece hablaros de algo que he encontrado por ahí, y que me ha parecido tan interesante que he querido compartirlo con vosotros. Siempre he sido muy amigo de las cheat-sheets (chuletas) para tener a mano una referencia rápida de comandos o indicaciones útiles. Las hay de muchos tipos, y hoy os traigo un par de chuletas que os ayudarán a detectar intrusos en Windows o Linux.

Cheatsheets para detección de intrusiones

Vivimos en tiempos muy modernos, donde parece que ya solo se habla de IDS y Unified Threat Management e informes pero, cuando nos ponemos a nivel de campo y tenemos la sospecha de que algo malo puede estar pasando (o peor aún, ya nos lo han confirmado) podemos bloquearnos un poco ante los nervios del momento.

Estas y otras cheat-sheets de auto-ayuda las puedes encontrar en este repositorio de SANS dedicado al pentesting. Lo único que necesitas para conseguirlas es crearte una cuenta en la web del instituto y podrás descargar todos los recursos gratuítos.

Según el SANS, el propósito de estos documentos es el siguiente:

Los administradores de sistemas están normalmente en la primera línea de la seguridad informática. Esta guía pretende ayudar a los sysadmins a encontrar indicadores de compromiso en los sistemas.

Documentos para identificar accesos no autorizados

Indicadores de compromiso en Windows

Este tipo de documento se puede seguir a diario, semanalmente o símplemente, cuando tengamos algún otro indicador o sospecha y queramos confirmar una posible intrusión en Windows. Ayuda a identificar lo siguiente:

  • Procesos / Servicios inusuales
  • Archivos y claves de registro poco comunes
  • Uso de red fuera de lo normal
  • Tareas programadas inusuales
  • Cuentas de usuario desconocidas
  • Entradas en log desconocidas
  • Otros elementos fuera de lo normal / herramientas de apoyo adicionales

descargar Indicadores de compromiso en Windows

Indicadores de compromiso en Linux

En el caso de sistemas operativos Linux tendremos más o menos los mismos apartados, exceptuando que no buscaremos claves de registro por ser una arquitectura diferente en ese aspecto.

descargar

También recomiendo a quienes tengáis interés por aprender más sobre técnicas de pentesting acceder al área de Whitepapers de SANS (en inglés).

Oh, by the way: gracias a Infostatex por darme la idea 😉

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s