Análisis de los registros

Una de las mejores maneras de detectar intrusiones es supervisar los registros de eventos (a veces abreviado como registros).

Por lo general, los servidores almacenan archivos de registro de sus actividades, y en particular, de cualquier error encontrado.

Por lo tanto, después de una intrusión al equipo, es muy difícil que el hacker, en el primer intento, pueda poner en peligro el sistema con éxito. El hacker trabaja con el método de ensayo y error, al probar varias solicitudes.

Debido a esto, se puede utilizar la supervisión de registros para detectar actividades sospechosas. Reviste particular importancia la supervisión de los registros del software de seguridad. No importa si están bien configurados, aun así pueden ser un blanco de ataque.

El concepto de ruido

En realidad, no es nada fácil distinguir cuáles son las alertas provocadas por ataques reales de gusanos y virus, y cuáles son causadas por ciertas herramientas como los analizadores de vulnerabilidades.

Por este motivo, la mayoría de los ataques a los servidores, son ataques incapaces de poner en peligro el sistema (como los ataques del servidor Microsoft IIS utilizados en servidores Linux a través de Apache).

Sin embargo, estos ataques provocan falsas alarmas y generan lo que se conoce como "ruido", lo que hace más difícil concentrarse en las alarmas reales.

Artículo escrito el 22.07.05 por Jean-François Pillou.

Última actualización el jueves, 16 de octubre de 2008, 15:43:35 .Este documento intitulado « Supervisión de registros de eventos » de Kioskea (es.kioskea.net) esta puesto a diposición bajo la licencia Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.