1. McAfee SIEM Política de auditoría de los sistemas Microsoft
Windows
El McAfee SIEM recibe los eventos que se generan en los equipos
Pero los equipos deben estar configurados para que generen los eventos mediante la
configuración de directivas de auditoría avanzada
Una vez que se generan los eventos de auditoría de acceso a los objetos en los equipos el
SIEM los pude recibir, analizar y de ser necesario generar alertas y tickets.
El McAfee SIEM trae ya las consultas y reportes exigidos por las normativas y se pueden
hacer reportes y vistas según las necesidades de los auditores, e investigadores de los
clientes.
Tales como bloqueos de cuenta, creación, modificación y eliminación de cuentas de
usuario, modificación de contraseñas, así como la creación, modificación y eliminación de
carpetas, sub-carpetas y archivos.
2. Política de auditoría de los sistemas Microsoft Windows
Valores predeterminados en las ediciones Cliente
Valores predeterminados en las ediciones Cliente
Administración de cuentas de usuario Correcto
Administración de cuentas de equipo Sin auditoría
Administración de grupos de seguridad Correcto
Administración de grupos de distribución Sin auditoría
Administración de grupos de aplicaciones Sin auditoría
Otros eventos de administración de
cuentas
Sin auditoría
3. Valores predeterminados en las ediciones Server
Valores predeterminados en las ediciones Server
Administración de cuentas de usuario Correcto
Administración de cuentas de equipo Correcto
Administración de grupos de seguridad Correcto
Administración de grupos de distribución Sin auditoría
Administración de grupos de aplicaciones Sin auditoría
Otros eventos de administración de
cuentas
Sin auditoría
Configuración recomendada de política de auditoría del sistema:
Servidores de producción:
Servidores de producción
Auditar eventos de inicio de sesión de
cuenta
Sin auditoría
Auditar la administración de cuentas Correcto, Incorrecto
Auditar el acceso del servicio de directorio Correcto, Incorrecto
Auditar eventos de inicio de sesión Correcto, Incorrecto
Auditar el acceso a objetos Sin auditoría
Auditar el cambio de directivas Correcto, Incorrecto
Auditar el uso de privilegios Incorrecto
Auditar el seguimiento de procesos Sin auditoría
Auditar eventos del sistema Correcto, Incorrecto
Controladores de dominio
Controladores de dominio
Auditar eventos de inicio de sesión de cuenta: Correcto, Incorrecto
Auditar la administración de cuentas: Correcto, Incorrecto
Auditar el acceso del servicio de directorio: Correcto, Incorrecto
Auditar eventos de inicio de sesión: Correcto, Incorrecto
Auditar el acceso a objetos: Sin auditoría
Auditar el cambio de directivas: Correcto, Incorrecto
Auditar el uso de privilegios: Incorrecto
4. Auditar el seguimiento de procesos: Sin auditoría
Auditar eventos del sistema: Correcto, Incorrecto
Servidores de archivos
Servidores de archivos
Auditar eventos de inicio de sesión de cuenta: Sin auditoría
Auditar la administración de cuentas: Correcto, Incorrecto
Auditar el acceso del servicio de directorio: Incorrecto
Auditar eventos de inicio de sesión: Correcto, Incorrecto
Auditar el acceso a objetos: Correcto, Incorrecto
Auditar el cambio de directivas: Correcto, Incorrecto
Auditar el uso de privilegios: Incorrecto
Auditar el seguimiento de procesos: Sin auditoría
Auditar eventos del sistema: Correcto, Incorrecto
Configuración recomendada de acceso a objetos archivo:
Se recomienda el seguimiento a los cambios a archivos y carpetas, no a atravesar carpeta
ni a lectura de archivo. Verifique esto con sus auditores. La siguiente configuración,
capturará cualquier cambio a carpetas o archivos. Por ejemplo, copiar o mover un archivo,
será registrada con la siguiente configuración.
Nota: Los clientes deben verificar sus requerimientos de auditoría de acceso a archivos
con sus auditores. Hay tener en mente que seleccionar todas las opciones generará
grandes cantidades de data de eventos de acceso a objetos.
5. Configuración de acceso a objetos de archivo
Configuración de acceso a objetos de archivo
Control Total Sin auditoría
Atravesar Carpet / Ejecutar archivo Sin auditoría
Mostar carpetas / Leer datos Sin auditoría
Leer atributos Sin auditoría
Leer atributos Extendidos Sin auditoría
Crear archivos/ Escribir datos Correcto, incorrecto
Crear carpetas/ Anexar datos Correcto, incorrecto
Escribir atributos Correcto, incorrecto
Escribir atributos extendidos Correcto, incorrecto
Eliminar Correcto, incorrecto
Permisos de lectura Sin auditoría
Cambiar permisos Correcto, incorrecto