Curso completo ciberseguridad gratis Controles CIS. Control 8.5

Estimados amigos de Inseguros !!!

Seguimos con el control 8 de los CIS, gestión de logs, y hoy toca el 8.5: centralizar la gestión y el análisis de los registros de auditoría. Y este control es el que separa “tengo logs” de “tengo detección”.

Porque una cosa es recopilar (8.2) y almacenar (8.3).
Y otra cosa es que alguien los gestione, los analice y actúe.
Si no hay centralización, lo que tienes es un montón de fuentes sueltas y cada equipo mirando lo suyo… cuando mira.

Centralizar no significa “meterlo todo en un SIEM y ya”

Significa tener un punto de verdad donde:
llegan los logs, se normalizan, se correlacionan, se revisan, y se convierten en decisiones.

Puede ser un SIEM, puede ser un data lake con capa de analítica, puede ser una plataforma tipo Sentinel, Splunk, QRadar, Elastic… lo que toque. Pero la idea es la misma: un sitio donde puedas ver la película completa.

Y aquí hay una razón muy práctica: los ataques no respetan silos.

Un atacante entra por correo.
Hace login con credenciales robadas.
Se mueve lateralmente.
Toca un servidor.
Cambia un permiso.
Exfiltra.
Y se va.

Si tú tienes los logs en cinco sitios, no lo vas a ver como una cadena.
Vas a ver “cositas sueltas”.
Y eso no es detección, eso es intuición.

Qué se centraliza y cómo

Identidad: Entra ID/M365, AD, MFA, cambios de roles, reseteos, altas y bajas.
Endpoints: EDR, eventos de Windows, Sysmon si lo usas, logs de Linux.
Red/perímetro: firewall, VPN, proxy, DNS, DHCP, WAF.
Cloud: activity logs, cambios en recursos, auditoría de servicios.
Aplicaciones críticas: lo que mueve datos y negocio.

Y lo envías al punto central con el mecanismo adecuado: agentes, syslog, conectores API, forwarders. Pero siempre con una obsesión: que no se pierdan eventos y que el formato sea usable (porque si no, el 8.4 te lo comes).

Qué pasa cuando centralizas bien

Pasan tres cosas buenas.

Uno: puedes correlacionar. Por ejemplo, un login sospechoso en identidad + creación de sesión rara en endpoint + acceso a recurso sensible en cloud. Eso, sin centralización, no lo unes.

Dos: puedes hacer casos de uso. Alertas que de verdad sirven: impossible travel, MFA fatigue, creación de cuentas raras, cambios de privilegios, ejecución de herramientas sospechosas, rclone, etc. Sin centralización, no hay materia prima consistente.

Tres: puedes operar. Turnos, revisiones, hunting, playbooks, y respuesta. Porque el 8.5 no es solo tecnología. Es organización: quién mira, cuándo mira, qué hace cuando salta algo, y cómo se documenta.

Y aquí entra el clásico: SOC interno o gestionado

No todo el mundo puede tener un SOC 24/7. Vale.
Pero el control sigue aplicando: si no lo tienes interno, lo externalizas.
O al menos defines un horario y un proceso de escalado.

Porque si tienes centralizado y nadie responde, estás pagando almacenamiento para sentirte bien.

Si quieres aprender a montar esto con enfoque real (SIEM/SOC, Microsoft Sentinel, casos de uso, normalización, KQL, y cómo aplicar controles CIS en empresas), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia.

Gracias por leerme !!!