¿Qué es el éxito de la auditoría o la falla de la auditoría en el Visor de eventos?

Para ayudar a solucionar problemas, el Visor de eventos, nativo del sistema operativo Windows, muestra registros de eventos del sistema y mensajes de aplicaciones que incluyen errores, advertencias e información sobre ciertos eventos que el administrador puede analizar para tomar las medidas necesarias. En esta publicación, discutimos el éxito de la auditoría o la falla de la auditoría en el Visor de eventos .

¿Qué es el éxito de la auditoría o la falla de la auditoría en el Visor de eventos?

En el Visor de eventos, Audit Success es un evento que registra un intento de acceso de seguridad auditado que es exitoso, mientras que Audit Failure es un evento que registra un intento de acceso de seguridad auditado que falla. Discutiremos este tema bajo los siguientes subtítulos:

1. Políticas de auditoría
2. Habilitar políticas de auditoría
3. Use el Visor de eventos para encontrar el origen de los intentos fallidos o exitosos
4. Alternativas al uso del Visor de eventos

Veamos estos en detalle.

Políticas de auditoría

Una política de auditoría define los tipos de eventos que se registran en los registros de seguridad y estas políticas generan eventos, que pueden ser eventos de éxito o eventos de falla. Todas las políticas de auditoría generarán eventos de Éxito; sin embargo, solo algunos de ellos generarán eventos de falla. Se pueden configurar dos tipos de políticas de auditoría, a saber:

Las fallas de auditoría generalmente se generan cuando falla una solicitud de inicio de sesión, aunque también pueden generarse por cambios en cuentas, objetos, políticas, privilegios y otros eventos del sistema. Los dos eventos más comunes son;

• Id. de evento 4771: error en la autenticación previa de Kerberos . Este evento solo se genera en los controladores de dominio y no se genera si la opción No requiere autenticación previa de Kerberos está configurada para la cuenta. Para obtener más información sobre este evento y cómo resolver este problema, consulte la documentación de Microsoft .
• Id. de evento 4625: una cuenta no pudo iniciar sesión . Este evento se genera cuando falla un intento de inicio de sesión en la cuenta, suponiendo que el usuario ya estaba bloqueado. Para obtener más información sobre este evento y cómo resolver este problema, consulte la documentación de Microsoft .

Habilitar políticas de auditoría

Puede habilitar las políticas de auditoría en las máquinas cliente o servidor a través del Editor de políticas de grupo local, la Consola de administración de políticas de grupo o el Editor de políticas de seguridad local. En un servidor de Windows, en su dominio, cree un nuevo objeto de política de grupo o puede editar un GPO existente.

En una máquina cliente o servidor, en el Editor de directivas de grupo, navegue hasta la siguiente ruta:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy

En una máquina cliente o servidor, en Política de seguridad local, navegue a la ruta a continuación:

Security Settings > Local Policies > Audit Policy

• En Políticas de auditoría, en el panel derecho, haga doble clic en la política cuyas propiedades desea editar.
• En el panel de propiedades, puede habilitar la política para Correcto o Incorrecto según sus requisitos.

Use el Visor de eventos para encontrar el origen de los intentos fallidos o exitosos

Los administradores y los usuarios regulares pueden abrir el Visor de eventos en una máquina local o remota, con el permiso apropiado. El Visor de eventos ahora registrará un evento cada vez que haya un evento fallido o exitoso, ya sea en una máquina cliente o en el dominio en una máquina servidor. El ID de evento que se activa cuando se registra un evento fallido o exitoso es diferente (consulte la sección Políticas de auditoría más arriba). Puede navegar a Visor de eventos > Registros de Windows > Seguridad . El panel del centro enumera todos los eventos que se han configurado para la auditoría. Deberá revisar los eventos registrados para buscar intentos fallidos o exitosos. Una vez que los encuentre, puede hacer clic derecho en el evento y seleccionar Propiedades del evento.para más detalles.

Alternativas al uso del Visor de eventos

Como alternativa al uso del Visor de eventos, existen varios software de Administrador de registros de eventos de terceros que se pueden usar para agregar y correlacionar datos de eventos de una amplia gama de fuentes, incluidos los servicios basados ​​en la nube. Una solución SIEM es la mejor opción si es necesario recopilar y analizar datos de firewalls, sistemas de prevención de intrusiones (IPS), dispositivos, aplicaciones, conmutadores, enrutadores, servidores, etcétera.

¡Espero que encuentres esta publicación lo suficientemente informativa!

¿Por qué es importante auditar los intentos de acceso exitosos y fallidos?

Es fundamental auditar los eventos de inicio de sesión, ya sean exitosos o no, para detectar intentos de intrusión porque la auditoría de inicio de sesión de usuario es la única forma de detectar todos los intentos no autorizados de iniciar sesión en un dominio. Los eventos de cierre de sesión no se rastrean en los controladores de dominio. También es igualmente importante auditar los intentos fallidos de acceder a los archivos, ya que se genera una entrada de auditoría cada vez que un usuario intenta acceder sin éxito a un objeto del sistema de archivos que tiene una SACL coincidente. Estos eventos son esenciales para el seguimiento de la actividad de los objetos de archivo que son confidenciales o valiosos y requieren una supervisión adicional.

¿Cómo habilito los registros de fallas de auditoría en Active Directory?

Para habilitar los registros de fallas de auditoría en Active Directory, simplemente haga clic con el botón derecho en el objeto de Active Directory que desea auditar y luego seleccione Propiedades . Seleccione la pestaña Seguridad y luego seleccione Avanzado . Seleccione la pestaña Auditoría y luego seleccione Agregar . Para ver los registros de auditoría en Active Directory, haga clic en Inicio > Seguridad del sistema > Herramientas administrativas > Visor de eventos . En Active Directory, la auditoría es el proceso de recopilar y analizar objetos de AD y datos de políticas de grupo para mejorar de forma proactiva la seguridad, detectar y responder rápidamente a las amenazas y mantener las operaciones de TI funcionando sin problemas.