Detección de cuentas de usuario sin privilegios que realizan acciones privilegiadas

Última actualización
Guardar como PDF
Compartir

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se creó para proteger los datos de los titulares de tarjetas de crédito contra el robo y el uso indebido. Define 12 áreas de seguridad en las que las empresas deben mejorar la protección de este tipo de datos. Los requisitos se aplican a cualquier persona que participe en el procesamiento de tarjetas de crédito, incluidos los comerciantes, procesadores y proveedores de servicios externos que almacenan, procesan y transmiten los datos de los titulares de tarjetas. Se desarrolló para fomentar y mejorar la seguridad de los datos de los titulares de tarjetas, así como para facilitar la adopción global de medidas de seguridad de datos consistentes.

Las cuentas con mayores privilegios, como la cuenta de «administrador» o «root», pueden afectar en gran medida a la seguridad o a la funcionalidad operativa de un sistema y de las redes. Sin un registro de auditoría de las actividades realizadas, las organizaciones no pueden rastrear los problemas derivados de un error administrativo o un uso indebido de privilegios hasta la acción y la persona en cuestión.

Los atacantes suelen atacar las credenciales de los usuarios privilegiados para acceder a los recursos de alto valor de la organización y a la información confidencial. Las cuentas de usuario con privilegios son cuentas de usuarios con derechos de administración o privilegios de usuario raíz y cuentas con permisos mejorados para realizar actividades de alto nivel en el sistema. La supervisión eficiente de los usuarios privilegiados desempeña un papel fundamental para que las organizaciones protejan los activos críticos. Además, ayuda a cumplir con los requisitos de cumplimiento y a reducir la cantidad de amenazas internas y externas.

Datos requeridos

Datos del registro de actividad del usuario

¿Cómo utilizarlos Splunk Enterprise Security para este caso de uso

La información de este artículo se aplica a Splunk Enterprise Security (ES) versiones 7.x. Si tienes actualizado a Splunk Enterprise Security versión 8.x , es posible que algunos pasos y terminología no se apliquen. Para obtener ayuda adicional sobre este caso de uso con ES 8.x, Splunk Professional Services puede ayudar.

Puedes utilizar Splunk Enterprise Security casos de uso para monitorear de manera efectiva la actividad de las cuentas privilegiadas a fin de garantizar el cumplimiento del PCI-DSS. Uso Splunk Enterprise Security búsquedas de correlación para detectar todas las acciones realizadas por cualquier persona con privilegios de administrador o root o cuando cuentas de usuarios sin privilegios intentan llevar a cabo acciones escalonadas.

Configure los eventos de cuentas de usuario de los servidores de autenticación, como Microsoft Active Directory (AD) o los servidores LDAP, como fuente principal de actividad de los usuarios.
- Asegúrese de supervisar eventos como la actualización de las credenciales de usuario y los permisos de usuario o la creación de nuevos usuarios.
- Asegúrese de que los nombres de las cuentas, las categorías de cuentas, los departamentos de los usuarios relevantes y otra información relevante aparezcan junto con los datos de las credenciales.
Genere una lista de eventos privilegiados. Muchos complementos técnicos de Splunk definen las acciones privilegiadas de forma predeterminada.
Genere una lista de usuarios con y sin privilegios. Puede ver un ejemplo detallado de esto en Splunk Security Essentials .

Ejecute la siguiente búsqueda. Puede optimizarla especificando un índice y ajustando el intervalo de tiempo.

index=* source="*WinEventLog:Security" tag=privileged 
| lookup PrivilegedRiskScores user OUTPUT isAdminAccount 
| search isAdminAccount=0

Para obtener cualquier resultado, investiga por qué una cuenta realiza estas acciones haciendo un seguimiento con el usuario o con el personal directivo.
Si es necesario, desactiva la actividad de la cuenta hasta que se pueda realizar una investigación completa y se puedan validar los eventos de los usuarios.
Realice acciones correctivas, como la orientación del usuario o los procesos de administración de cambios, si estas acciones estaban autorizadas.

Los derechos de acceso privilegiado deben revisarse dentro de los períodos de tiempo apropiados (al menos una vez al mes). Deben supervisarse todos los accesos de usuarios privilegiados a los archivos y bases de datos, incluido el acceso al sistema local. Los mecanismos de alerta de los cambios críticos de los usuarios con privilegios deben compartirse con las operaciones del SOC.

Próximos pasos

This use case is also included in the Splunk Security Essentials app, which provides more information about how to implement the use case successfully in your security maturity journey.
You might also be interested in the use case Using Splunk Enterprise Security to ensure PCI compliance.
Splunk OnDemand Services: Use these credit-based services for direct access to Splunk technical consultants with a variety of technical services from a pre-defined catalog. Most customers have OnDemand Services per their license support plan. Engage the ODS team at ondemand@splunk.com if you would like assistance.