Curso completo ciberseguridad gratis Controles CIS. Control 8.1

Estimados amigos de Inseguros !!!

Empezamos el control 8 de los CIS, que es la gestión de logs (Audit Log Management). Y lo primero que quiero que entiendas es esto: aquí no estamos hablando de “poner un SIEM” y ya. Estamos hablando de montar un proceso que funcione, porque sin proceso, los logs son solo ruido y discos llenos.

El 8.1 te dice literalmente eso: establece y mantén un proceso de gestión de logs. Y cuando digo proceso, digo preguntas muy concretas: cómo recoges los logs, cómo los revisas, cómo los conservas, cuánto tiempo, dónde los almacenas, quién es el responsable y qué haces cuando salta una alerta. Porque si a las 3 de la mañana te llega algo al SIEM y no hay nadie mirando, entonces no tienes detección, tienes decoración.

Aquí lo que toca es describir una matriz sencilla de fuentes y cobertura. Qué vas a recoger de Windows (que está en el visor de eventos), qué vas a recoger de Linux (normalmente por syslog), qué vas a recoger de los appliances (firewall, VPN, WAF, proxy…), y qué vas a recoger de cloud e identidad (por ejemplo Entra ID, M365, etc.). No para hacer un póster bonito, sino para que no se te quede nada crítico fuera del radar.

Y ojo con la arquitectura, que esto lo he visto mil veces mal. Muchos equipos de red “escupen” syslog, sí, pero lo normal es que no lo mandes directo al SIEM como un loco. Lo sano es tener un punto intermedio: un collector/servidor syslog que recibe (típico 514 UDP/TCP según el caso), normaliza lo que pueda, y desde ahí lo envías al SIEM con el mecanismo correcto (agente, conector, forwarder…). Si no, acabas con logs perdidos, formatos raros, y la falsa sensación de “yo lo mando, así que lo tengo”.

Y ahora viene la parte humana, que es la que casi nadie escribe y es la más importante: quién revisa, cada cuánto, y con qué criterio. ¿Lo va a ver IT? ¿Lo va a ver un SOC? ¿Lo tienes 24/7 interno o con servicio gestionado? Perfecto, pero delimítalo, porque “tenemos SIEM” no significa “alguien responde”. El 8.1 va de dejar claro el circuito completo, desde la fuente hasta la decisión.

Si estás aplicando controles CIS en una empresa y quieres hacerlo bien, este control es de los que más retorno da. Porque cuando montas una gestión de logs de verdad, ya puedes construir detección, automatización, casos de uso, y respuesta. Y si además trabajas en entornos Microsoft, esto encaja de lujo con formación en SIEM y Microsoft Sentinel, SOC para empresas, y gobierno de identidad con Entra ID.

Y si quieres aprender esto con enfoque práctico, orientado a entornos reales (gestión de logs, SIEM, Microsoft Sentinel, y cómo aplicar controles CIS en empresas), pásate por www.seguridadsi.com y échale un ojo a los cursos de ciberseguridad online para profesionales.

Gracias por leerme !!!