Curso completo ciberseguridad gratis Controles CIS. Control 8.6

Estimados amigos de Inseguros !!!

Seguimos con el control 8 de los CIS, gestión de logs, y hoy toca el 8.6: revisar los logs. Parece una obviedad, pero te sorprendería cuánta gente tiene SIEM, collectors, retención… y nadie mira nada. O lo miran solo cuando ya hay humo.

Y aquí hay una frase que lo resume todo: los logs no sirven para “tenerlos”. Sirven para usarlos. Y usarlos significa revisar, detectar y reaccionar.

Qué significa “revisar” de verdad

No es abrir un dashboard una vez al mes.
No es mirar un gráfico bonito en una reunión.
Es tener un hábito operativo.

Revisión diaria de alertas.
Revisión de eventos clave.
Revisión de cambios críticos.
Y revisión de anomalías.

¿Quién lo hace? Depende.
Puede ser un SOC interno.
Puede ser un servicio gestionado (MSSP).
Puede ser el equipo de IT si no hay otra.
Pero alguien tiene que hacerlo, y tiene que estar definido.

Porque si no hay dueño, no hay revisión. Y si no hay revisión, estás ciego.

Qué logs se revisan primero

Aquí no vale “revisarlo todo”.
Hay que priorizar.

Identidad y accesos: logins raros, MFA fallido, cambios de roles, creación de cuentas, resets de contraseña, invitaciones externas.
Perímetro: VPNs, intentos de acceso, reglas cambiadas, tráfico anómalo.
Endpoints: ejecuciones sospechosas, elevaciones de privilegios, persistencias, detecciones del EDR.
Cloud: creación de recursos, cambios en permisos, activity logs sospechosos.

Y luego, tus joyas: aplicaciones críticas y datos sensibles.

La revisión siempre empieza por donde duele más.

Revisión programada y revisión por señal

Hay dos tipos de revisión.

La programada: cada día/semana se revisa un set de cosas, aunque no haya alertas. Porque las alertas fallan. Los atacantes también intentan pasar desapercibidos.

Y la revisión por señal: cuando algo salta, se investiga. Aquí entran los playbooks, los tickets, la trazabilidad, y el “qué hacemos ahora”.

Y ojo, porque revisar no es “mirar”.
Revisar es decidir: ¿esto es normal o no? ¿qué hago? ¿a quién escalo? ¿qué evidencia guardo? ¿qué contengo? ¿qué mitigación aplico?

Cómo se mejora la revisión con el tiempo

Con casos de uso.

Si no tienes casos de uso definidos, revisas a lo loco.
Te ahogas.
Y lo abandonas.

Los casos de uso te dan foco: “busco esto, por este motivo, con esta lógica, con este umbral”. Eso es lo que convierte una revisión en algo sostenible.

Y el 8.6 es justo el control que te obliga a tener esa disciplina. Porque sin disciplina, el SIEM se convierte en una caja cara donde echas logs y ya.

Si quieres aprender a operar esto con mentalidad real de empresa (revisión de logs, casos de uso, hunting, respuesta, Microsoft Sentinel, y cómo montar un SOC que funcione), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia.

Gracias por leerme !!!