El Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia (ACSC de ASD); y las Agencias de Seguridad Cibernética y de Infraestructura (CISA) y de Seguridad Nacional (NSA), así como el Buró Federal de Investigación (FBI), de los Estados Unidos, y socios internacionales han publicado las Mejores Prácticas para el Registro de Eventos y la Detección de Amenazas.
Se trata de una guía para ayudar a las organizaciones a definir una base para el registro de eventos con el fin de mitigar las amenazas cibernéticas maliciosas.
La mayor prevalencia de actores maliciosos que emplean las técnicas LOTL (Living off the Lands), como los archivos binarios LOTL (LOLBins) y el malware sin archivos, destaca la importancia de implementar y mantener una solución eficaz de registro de eventos. Las amenazas persistentes avanzadas (APT) están empleando técnicas LOTL para evadir la detección.
El propósito de esta publicación es detallar la guía de mejores prácticas para registro de eventos y detección de amenazas para servicios en la nube, redes empresariales, movilidad empresarial, y redes de tecnología operativa (OT).
CISA alienta a los tomadores de decisiones de tecnología de la información (TI), operadores de tecnología operativa (OT), administradores de red, operadores de red y organizaciones de infraestructura crítica de los sectores público y privado a revisar las mejores prácticas de la guía e implementar las acciones recomendadas. Estas acciones pueden ayudar a detectar actividad maliciosa, anomalías de comportamiento y redes, dispositivos o cuentas comprometidas.
Esta base de referencia para las mejores prácticas de registro de eventos para mitigar las amenazas cibernéticas está disponible en inglés y en formato PDF: Best Practices for Event Logging and Threat Detection.