105 casos de uso SIEM_Windows | Apuntes de Informática

105 casos de uso SIEM/Windows

● Intentos Fallidos de Inicio de Sesión - ID de evento: 4625

● Bloqueo de cuentas - ID de evento: 4740

● Inicio de sesión con éxito fuera del horario laboral - ID de evento: 4624

● Creación de nuevo usuario - ID de evento: 4720

● Uso de Cuenta Privilegiada - ID de evento: 4672

● Cambios de cuenta de usuario - ID de evento: 4722, 4723, 4724, 4725, 4726

● Inicio de sesión desde ubicaciones inusuales - ID de evento: 4624 (con análisis de geolocalización)

● Cambios de contraseña - ID de evento: 4723 (intento de cambio), 4724 (restablecimiento correcto)

● Cambios en la pertenencia a grupos - ID de evento: 4727, 4731, 4735, 4737

● Patrones de inicio de sesión sospechosos - ID de evento: 4624 (inicios de sesión anómalos)

● Fallos excesivos de inicio de sesión - ID de evento: 4625

● Actividad de cuenta desactivada - ID de evento: 4725

● Uso de cuentas inactivas - ID de evento: 4624 (cuentas poco utilizadas)

● Actividad de la cuenta de servicio - ID de evento: 4624, 4672

● Monitorización de Acceso RDP - ID de Evento: 4624 (con filtrado específico RDP)

● Detección de Movimiento Lateral - ID de evento: 4648 (inicios de sesión de red)

● Acceso a archivos y carpetas - ID de evento: 4663

● Compartición no autorizada de archivos - ID de evento: 5140, 5145

● Cambios en el Registro - ID de evento: 4657

● Instalación y eliminación de aplicaciones - ID de evento: 11707, 1033

● Uso de Dispositivo USB - ID de evento: 20001, 20003 (de los registros de Administración de Dispositivos)

● Cambios en el Firewall de Windows - ID de evento: 4946, 4947, 4950, 4951

● Creación de Tarea Programada - ID de evento: 4698

● Monitorización de Ejecución de Procesos - ID de Evento: 4688

● Reinicio o apagado del sistema - ID de evento: 6005, 6006, 1074

● Borrado del registro de sucesos - ID de evento: 1102

● Ejecución de Malware o Indicadores - ID de evento: 4688, 1116 (de Windows Defender)

● Cambios en Active Directory - ID de evento: 5136, 5141

● Borrado de Shadow Copy - ID de evento: 524 (con registros de VSSAdmin)

● Cambios en la configuración de red - ID de evento: 4254, 4255, 10400

● Ejecución de Scripts Sospechosos - ID de evento: 4688 (creación de proceso con intérprete de script)

● Instalación o modificación del servicio - ID de evento: 4697

● Borrado de Registros de Auditoría - ID de evento: 1102

● Violación de la Política de Restricción de Software - ID de evento: 865

● Enumeración excesiva de cuentas - ID de evento: 4625, 4776

● Intento de Acceso a Archivos Sensibles - ID de evento: 4663

Vista previa parcial del texto

¡Descarga 105 casos de uso SIEM_Windows y más Apuntes en PDF de Informática solo en Docsity!

105 casos de uso SIEM/Windows

● Intentos Fallidos de Inicio de Sesión - ID de evento: 4625 ● Bloqueo de cuentas - ID de evento: 4740 ● Inicio de sesión con éxito fuera del horario laboral - ID de evento: 4624 ● Creación de nuevo usuario - ID de evento: 4720 ● Uso de Cuenta Privilegiada - ID de evento: 4672 ● Cambios de cuenta de usuario - ID de evento: 4722, 4723, 4724, 4725, 4726 ● Inicio de sesión desde ubicaciones inusuales - ID de evento: 4624 (con análisis de geolocalización) ● Cambios de contraseña - ID de evento: 4723 (intento de cambio), 4724 (restablecimiento correcto) ● Cambios en la pertenencia a grupos - ID de evento: 4727, 4731, 4735, 4737 ● Patrones de inicio de sesión sospechosos - ID de evento: 4624 (inicios de sesión anómalos) ● Fallos excesivos de inicio de sesión - ID de evento: 4625 ● Actividad de cuenta desactivada - ID de evento: 4725 ● Uso de cuentas inactivas - ID de evento: 4624 (cuentas poco utilizadas) ● Actividad de la cuenta de servicio - ID de evento: 4624, 4672 ● Monitorización de Acceso RDP - ID de Evento: 4624 (con filtrado específico RDP) ● Detección de Movimiento Lateral - ID de evento: 4648 (inicios de sesión de red) ● Acceso a archivos y carpetas - ID de evento: 4663 ● Compartición no autorizada de archivos - ID de evento: 5140, 5145 ● Cambios en el Registro - ID de evento: 4657 ● Instalación y eliminación de aplicaciones - ID de evento: 11707, 1033 ● Uso de Dispositivo USB - ID de evento: 20001, 20003 (de los registros de Administración de Dispositivos) ● Cambios en el Firewall de Windows - ID de evento: 4946, 4947, 4950, 4951 ● Creación de Tarea Programada - ID de evento: 4698 ● Monitorización de Ejecución de Procesos - ID de Evento: 4688 ● Reinicio o apagado del sistema - ID de evento: 6005, 6006, 1074 ● Borrado del registro de sucesos - ID de evento: 1102 ● Ejecución de Malware o Indicadores - ID de evento: 4688, 1116 (de Windows Defender) ● Cambios en Active Directory - ID de evento: 5136, 5141 ● Borrado de Shadow Copy - ID de evento: 524 (con registros de VSSAdmin) ● Cambios en la configuración de red - ID de evento: 4254, 4255, 10400 ● Ejecución de Scripts Sospechosos - ID de evento: 4688 (creación de proceso con intérprete de script) ● Instalación o modificación del servicio - ID de evento: 4697 ● Borrado de Registros de Auditoría - ID de evento: 1102 ● Violación de la Política de Restricción de Software - ID de evento: 865 ● Enumeración excesiva de cuentas - ID de evento: 4625, 4776 ● Intento de Acceso a Archivos Sensibles - ID de evento: 4663

● Inyección de Proceso Inusual - ID de Evento: 4688 (con datos EDR o Sysmon)

● Actividad sospechosa de PowerShell - ID de evento: 4104 (de los registros de PowerShell)

105 casos de uso SIEM_Windows, Apuntes de Informática

Documentos relacionados

Vista previa parcial del texto

¡Descarga 105 casos de uso SIEM_Windows y más Apuntes en PDF de Informática solo en Docsity!

105 casos de uso SIEM/Windows

● Inyección de Proceso Inusual - ID de Evento: 4688 (con datos EDR o Sysmon)