Curso completo ciberseguridad gratis Controles CIS. Control 8.9

Estimados amigos de Inseguros !!!

Seguimos con el control 8 de los CIS, gestión de logs, y hoy toca el 8.9: centralizar y revisar los logs de DNS. Y este control es oro puro, porque el DNS es una de las mejores fuentes para ver lo que está pasando en tu red, incluso cuando el atacante intenta ir “silencioso”.

Te lo digo claro: si solo pudiera quedarme con un tipo de log en muchas empresas, DNS estaría muy arriba en la lista. Porque casi todo pasa por DNS en algún momento. Malware, C2, descargas, exfiltración, navegación, herramientas… al final, alguien pregunta por un nombre.

Por qué el DNS es tan importante

Porque el DNS te da visibilidad transversal. No depende de un solo equipo, ni de un solo servidor, ni de un solo servicio. Te dice qué host pregunta, qué dominio consulta, cuándo, y si la respuesta fue válida o no.

Y ahí salen patrones que son brutalmente útiles:
equipos consultando dominios raros,
dominios recién creados,
muchas consultas NXDOMAIN,
túneles DNS,
consultas a servicios de dynamic DNS,
picos extraños en horarios raros,
y comportamientos que no encajan con la vida normal de una empresa.

Y si estás trabajando controles CIS, esto encaja perfecto con lo anterior: inventario, logs, centralización, alertas. DNS es el pegamento.

Qué significa “centralizar” en DNS

Significa que tú no puedes depender de “cada equipo resuelve como le da la gana”.

Lo ideal es que haya resolutores corporativos (internos o gestionados), que todo el tráfico DNS pase por ahí, y que los logs se recojan y se manden a tu punto central (SIEM, data lake, etc.).

Si cada equipo se va a 8.8.8.8 o a 1.1.1.1 directo, pierdes visibilidad. Y además pierdes control.

Por eso, normalmente aquí hay dos líneas de trabajo:
controlar el flujo DNS (forzar resolutores, bloquear DNS directo, controlar DoH/DoT donde aplique),
y recoger logs de resolución.

Qué logs te interesan

Consultas.
Respuestas.
NXDOMAIN.
Tipos de registros (A, AAAA, TXT… cuidado con TXT).
Volumen por host.
Dominio consultado.
Y si puedes, clasificación (malicioso, recién registrado, categoría, etc.), porque eso acelera mucho la detección.

En Microsoft DNS tienes sus logs. En BIND tienes sus logs. En resolutores modernos tienes telemetría mejor. Y si usas servicios tipo DNS filtering (por ejemplo soluciones corporativas), también suelen darte visibilidad y categorización.

La clave del 8.9 no es la herramienta. Es que el DNS esté bajo control y bajo revisión.

Qué alertas típicas salen de aquí

Mucho NXDOMAIN desde un host (posible malware probando dominios).
Consultas a dominios recién creados (DGA o infraestructura nueva de atacante).
Consultas repetidas a dominios de dynamic DNS.
Picos de TXT (posible tunelización o exfiltración).
Dominios con nombres aleatorios.
Accesos a dominios de C2 conocidos.
Y hosts que empiezan a consultar “cosas” que antes no consultaban.

Esto, si lo conectas con endpoint e identidad, es una maravilla. Ves el comportamiento y puedes tirar del hilo.

Si quieres aprender a usar DNS como fuente de detección real (centralización, control de resolutores, casos de uso, hunting y alertas en SIEM, especialmente con Microsoft Sentinel), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia.

Gracias por leerme !!!