Curso completo ciberseguridad gratis Controles CIS. Control 8.2

 Estimados amigos de Inseguros !!!

Seguimos con el control 8 de los CIS, gestión de logs, y hoy toca el 8.2: recopilar registros de auditoría. Dicho de forma simple: si no recoges los logs, da igual lo bien que hables de seguridad. No puedes detectar, no puedes investigar y no puedes demostrar nada.

Y aquí es donde mucha gente se engaña. “Tenemos logs”. Vale. ¿Dónde están? “En cada servidor”. Pues entonces no tienes logs, tienes islas. Y cuando pase algo, vas a ir servidor por servidor, firewall por firewall, SaaS por SaaS, a ver si encuentras la aguja en el pajar. El 8.2 te obliga a centralizar. Recoger. Traerlos a un sitio donde se puedan usar.

Qué logs hay que recoger

No es “todo lo que exista” sin criterio, porque eso te mata por volumen y por coste. Es “lo que importa para detectar y responder”. Y normalmente hay cuatro pilares que no deberían faltar:

Identidad y autenticación. Logins, MFA, fallos, riesgos, cambios de contraseña, altas y bajas. Si trabajas con Entra ID/M365, esto es oro puro, porque hoy la identidad es el perímetro.

Endpoints y servidores. Eventos de Windows, logs de EDR, Sysmon si lo tienes bien montado, y en Linux syslog/journal. Aquí salen ejecuciones raras, escaladas, persistencias, y cambios sospechosos.

Red y perímetro. Firewall, VPN, WAF, proxy, DNS, DHCP (sí, DHCP, que ya lo hablábamos). Todo lo que te dice quién entra, por dónde, y qué tráfico hace.

Cloud y plataformas. Azure Activity Logs, audit logs de servicios, cambios en recursos, creación de identidades, cambios de permisos, etc. En cloud, lo que no logueas se te escapa en horas.

Y luego, según tu negocio, aplicaciones. Logs de apps internas, APIs, bases de datos, e incluso SaaS críticos. Porque muchas veces el incidente no empieza por “un servidor caído”, empieza por un abuso lógico dentro de una aplicación.

Cómo se recogen de verdad

Aquí hay dos mundos.

Agentes: instalas un forwarder/agent en endpoints y servidores, y ese agente te manda eventos al collector o al SIEM. Es lo más estable y controlable para Windows y Linux.

Conectores/API: en cloud y SaaS, normalmente tiras de conectores que hablan con APIs y te traen audit logs y actividad. Esto es clave para Microsoft 365 y Entra, pero también para muchos servicios externos.

Y en equipos de red, syslog. Pero bien. Con collector, con formato controlado, con time sync (NTP) correcto, y evitando que se pierdan paquetes como si fueran cromos.

Un detalle que siempre digo: si tu hora no está bien, tu investigación se muere. Los logs sin hora fiable son un puzzle sin bordes.

Y ahora, el error típico: recoger sin usar

El 8.2 no es “manda logs a un SIEM para decir que tienes SIEM”.
Es “recoge lo que necesitas para tus casos de uso”.

Si no tienes casos de uso (detecciones, alertas, reglas, correlaciones), el SIEM se convierte en un almacén caro. Y esto lo conectaremos con los siguientes controles: retención, normalización, revisión, y alertado. Porque el control 8 se construye por capas.

Si te interesa aprender esto con enfoque práctico (qué logs recoger, cómo centralizarlos, cómo crear casos de uso y cómo operar un SOC con SIEM), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia. Si trabajas con Microsoft, esto encaja perfecto con formación en Microsoft Sentinel y defensa de entornos corporativos.

Gracias por leerme !!!