Apéndice A: Recomendaciones de supervisión de seguridad para muchos eventos de auditoría

Se aplica a:

  • Windows 10
  • Windows Server 2016

Este documento, la referencia de configuración de directiva de auditoría de seguridad avanzada, proporciona información sobre eventos de auditoría individuales y los enumera dentro de categorías de auditoría y subcategorías. Sin embargo, hay muchos eventos a los que se aplican las siguientes recomendaciones generales. Hay vínculos a lo largo de este documento de las secciones "Recomendaciones" de los eventos relevantes a este apéndice.

Tipo de supervisión necesaria Recomendación
Cuentas de gran valor: Es posible que tenga un dominio o cuentas locales de gran valor para las que necesita supervisar cada acción.
Algunos ejemplos de cuentas de gran valor son administradores de bases de datos, cuentas de administrador local integradas, administradores de dominio, cuentas de servicio, cuentas de controlador de dominio, etc.
Supervise los eventos relevantes para el "Asunto\Id. de seguridad" que corresponde a la cuenta o cuentas de gran valor.
Anomalías o acciones malintencionadas: Es posible que tenga necesidades específicas a la hora de detectar anomalías o de supervisar posibles acciones malintencionadas. Por ejemplo, puede que necesite supervisar el uso de una cuenta fuera de horario laboral. Cuando supervises si hay anomalías o acciones malintencionadas, usa el "Subject\Security ID" (con otra información) para supervisar cómo o cuándo se usa una cuenta determinada.
Cuentas no activas: Puede que tenga cuentas no activas, deshabilitadas o de invitado, u otras cuentas que nunca deban usarse. Supervise los eventos relevantes para el "Subject\Security ID" que corresponde a las cuentas que nunca deben usarse.
Lista de cuentas permitidas: es posible que tenga una lista de cuentas permitidas específica que sean las únicas que pueden realizar acciones correspondientes a determinados eventos. Supervise los eventos relevantes para las cuentas "Subject\Security ID" que están fuera de la lista de cuentas de permitidos.
Cuentas de distintos tipos: Puede que quiera asegurarse de que algunas acciones solo se realicen con determinados tipos de cuenta, por ejemplo, una cuenta local o de dominio, una cuenta de equipo o de usuario, una cuenta de proveedor o de empleado, etc. Identifique los eventos que corresponden a las acciones que desea supervisar y, para esos eventos, revise el "Asunto\Id. de seguridad" para ver si el tipo de cuenta es el esperado.
Cuentas externas: Puede que esté supervisando las cuentas de otro dominio o cuentas "externas" que no pueden realizar determinadas acciones (representadas por determinados eventos específicos). Supervisa los eventos específicos para el "Asunto\Dominio de cuenta" correspondiente a las cuentas de otro dominio o cuentas "externas".
Equipos o dispositivos de uso restringido: Es posible que tenga determinados equipos, máquinas o dispositivos en los que determinados usuarios (cuentas) no deban realizar ninguna acción por lo general. Supervisa el equipo de destino: (u otro dispositivo de destino) para las acciones realizadas por el "Asunto\Id. de seguridad" que te preocupa.
Convenciones de nomenclatura de cuentas: Puede que su organización cuente con convenciones de nomenclatura específicas para los nombres de cuenta. Supervise "Asunto\Nombre de cuenta" para los nombres que no cumplan con las convenciones de nomenclatura.