Maximizando la Seguridad de la Información: Una Mirada Profunda a SIEM y ETW. Parte II - CBA - Auditorias Ciberseguridad

Maximizando la Seguridad de la Información: Una Mirada Profunda a SIEM y ETW. Parte II

En esta segunda parte vamos a construir nuestro propio consumidor de eventos, esta herramienta puede ser una buena base, para ir ampliándola y tener un poderoso control de lo que pasa en nuestro sistema. Podremos capturar algunos eventos como estos:

Eventos del kernel: Estos eventos están relacionados con la actividad del kernel del sistema operativo, como cambios en el estado del sistema, interrupciones del hardware, cambios de contexto de procesos, entre otros.

Eventos de procesos y threads: ETW puede registrar eventos relacionados con la creación, terminación y cambio de estado de procesos y threads en el sistema. Esto incluye información sobre la ejecución de procesos y la asignación de recursos del sistema.

Eventos de red: Se pueden capturar eventos relacionados con la actividad de red, como la apertura y cierre de conexiones, transmisión de datos, errores de red, etc.

Eventos de E/S: ETW puede registrar eventos relacionados con las operaciones de entrada/salida realizadas por el sistema y las aplicaciones, incluyendo acceso a archivos, acceso a dispositivos, transferencia de datos, etc.

Eventos de tiempo de usuario: Estos eventos están relacionados con la actividad de las aplicaciones de usuario, como inicio y cierre de aplicaciones, interacción con la interfaz de usuario, eventos personalizados generados por aplicaciones, etc.

Eventos de diagnóstico de aplicaciones: Los desarrolladores de aplicaciones pueden utilizar ETW para registrar eventos específicos de sus aplicaciones con el fin de diagnosticar problemas, rastrear el flujo de ejecución, medir el rendimiento, etc.