Maximizando la Seguridad de la Información: Una Mirada Profunda a SIEM y ETW. Parte II
En esta segunda parte vamos a construir nuestro propio consumidor de eventos, esta herramienta puede ser una buena base, para ir ampliándola y tener un poderoso control de lo que pasa en nuestro sistema. Podremos capturar algunos eventos como estos:
- Eventos del kernel: Estos eventos están relacionados con la actividad del kernel del sistema operativo, como cambios en el estado del sistema, interrupciones del hardware, cambios de contexto de procesos, entre otros.
- Eventos de procesos y threads: ETW puede registrar eventos relacionados con la creación, terminación y cambio de estado de procesos y threads en el sistema. Esto incluye información sobre la ejecución de procesos y la asignación de recursos del sistema.
- Eventos de red: Se pueden capturar eventos relacionados con la actividad de red, como la apertura y cierre de conexiones, transmisión de datos, errores de red, etc.
- Eventos de E/S: ETW puede registrar eventos relacionados con las operaciones de entrada/salida realizadas por el sistema y las aplicaciones, incluyendo acceso a archivos, acceso a dispositivos, transferencia de datos, etc.
- Eventos de tiempo de usuario: Estos eventos están relacionados con la actividad de las aplicaciones de usuario, como inicio y cierre de aplicaciones, interacción con la interfaz de usuario, eventos personalizados generados por aplicaciones, etc.
- Eventos de diagnóstico de aplicaciones: Los desarrolladores de aplicaciones pueden utilizar ETW para registrar eventos específicos de sus aplicaciones con el fin de diagnosticar problemas, rastrear el flujo de ejecución, medir el rendimiento, etc.