Laboratorio: Informática Forense - Eventos de Seguridad en el visor de sucesos
Continuemos entonces con el análisis de los eventos registrados por Windows. Para ello seguiremos haciendo uso del visor de sucesos.
En esta sesión observaremos en detalle los sucesos registrados bajo la sección de seguridad, veamos a que se refieren estos tipos de eventos:
El registro de seguridad graba eventos como intentos válidos y no válidos de inicio de sesión, así como eventos relacionados con el uso de recursos como crear, abrir o eliminar archivos. Por ejemplo, cuando la auditoría del inicio de sesión está habilitada, se graba un evento en el registro de seguridad cada vez que un usuario intenta iniciar sesión en el equipo. Debe haber iniciado sesión como Administrador o como miembro del grupo Administradores para poder activar, utilizar y especificar qué eventos se grabarán en el registro de seguridad.
El profundo análisis de estos eventos nos permitirá encontrar muchas actividades sospechosas en el sistema (visitas a páginas web, ejecución del msn, envío de correos, eliminación de archivos, etc), además de la creación del presunto usuario respondable de la intrusión.
El siguiente video tutorial nos muestra como podemos llevar a cabo un análisis detallado de los registros correspondientes a Seguridad en el visor de sucesos, además de la identificación de cración de una cuenta de usuario, eso sumado a los permisos de administrador asignados a la misma.
Descargar video tutorial de análisis de eventos de seguridad en el visor de sucesos (Password: www.dragonjar.org)