Análisis de Logs y Bitácoras en Windows para Monitoreo y Trazabilidad

Clase 33 de 49 • Curso de Informática Forense

Contenido del curso

Bienvenida y presentación general.

Etapa I: Identificación

Etapa II: Preservación

Etapa III: Análisis de Evidencia Pt. 1

Etapa III: Análisis de Evidencia Pt. 2

Etapa III: Análisis de Evidencia Pt. 3

Etapa IV: Presentación.

Conclusiones Finales

49
Libros y Recursos Clave para la Investigación Digital
04:56 min

Tomar examen

Resumen

Los logs o bitácoras del sistema operativos son el registro de los eventos, actividades y cosas que suceden en un sistema. Sirven para monitorear las actividades que se está realizando, por ejemplo, un inicio de sesión, una aplicación que se instala o ejecuta, entre otros.

Comentarios

Javier Ramos

student•

Mi resumen Logs de Windows están en Windows/System32/winevt/logs

Los tres archivos de log importantes son System, Aplication, Security

System: Contiene información relacionada con los servicios y sistemas propios del sistema operativo
Security: Contiene la información de eventos accesos permisos políticas del sistema operativo con un ID de seguridad en donde podemos ver el usuario del sistema que genero el evento
Aplication: Contiene la información de las aplicaciones instaladas y ejecutadas dentro del sistema operativo

Juan Pablo Perez

student•

Gracias por el resumen

Ariel Jacob

student•

Esta clase es esencial para quienes están aprendiendo Elasticsearch o Splunk, es decir, quienes se están iniciando al análisis de Logs de seguridad con gestores para visualización masiva. Todo esto beneficia a quien esté perfilándose para un trabajo tipo SOC (Security Operations Center, o Centro de Operaciones de Seguridad). Pienso que Platzi podría explorar este costado para ofrecer cursos de Eleasticsearch, Splunk, y analítica de Logs avanzadas.

Carlos Nassif Trejo Garcia

student•

Análisis de log y bitácoras del sistema operativo: Hacer trazabilidad de las actividades

- Widows
- System32
- Winevt
- logs
	○ System.evtx
		§ Servicios y propios del sistema operativo
	○ Application.evtx
		§ Logs de las aplicaciones en el SO
	○ Security.evtx
		§ Accesos, permisos, politicas
	○ Windows dhcp: el de las direcciones para navegar en la red

MRU: Listas recientes de los documentos que ha abierto un usuario

Luis Carlos Kristen Ospitia

student•

Me sucede que cuando abro el archivo System, me cambia la hora, el mismo dia mismo archivo pero ya me modifico la HORA, y se que es grave pero como evito eso; Es decir, leer el archivo logs sin que la altere

JULIO CESAR SOTO SAIRITUPAC

student•

Es recomendable realizar una adquisición en vivo o estática de los logs de un sistema windows?, en la mayoria de casos estos dispositivos se encuentran en producción. Cómo se puede realizar una adquisición estática sin realizar una copia forense de todo el disco entero?

Juan Pablo Caro

teacher•

En el caso de una adquisición en vivo lo que puedes hacer es crear una imagen parcial con FTK Imager de los archivos de sistema que necesitas. FTK Imager también te permite montar el disco físico o lógico y exportar directamente los archivos de sistema que Windows bloquea.

Respecto a la adquisición estática sin copiar todo el disco, en el caso de FTK Imager depende de que el sistema de archivos sea reconocible (Esto básicamente se traduce en que no esté cifrado). Puedes montarlo como disco físico y crear una imagen de contenido parcial con lo que necesites.

Ixcoatl Francisco Pérez

student•

Ixcoatl Francisco Pérez

student•

Ixcoatl Francisco Pérez

student•

Peter Cerpa López

student•

Alguien tiene conocimiento de como se llama el archivo en el cual muestre que se copio, corto o pego un archivo.

MARIA TERESA PANIAGUA RIVERA

student•

gracias

Oscar Jaramillo

student•

A mí me gusta mucho IBM QRadar que es la que utilizo actualmente y hace unos cuantos años usé RSA EnVision y era genial, aprendí mucho sobre el análisis de logs... Muy buena clase.

Oscar Jaramillo

student•

😎

Lautaro Cabral

student•

Ahora entiendo porque python es popular en seguridad informática

Christian Pazos

student•

Muy buena clase!

Junior Aguilera

student•

Gracias

Jairo Tinjacá

student•

Que bien!

- Widows
- System32
- Winevt
- logs
	○ System.evtx
		§ Servicios y propios del sistema operativo
	○ Application.evtx
		§ Logs de las aplicaciones en el SO
	○ Security.evtx
		§ Accesos, permisos, politicas
	○ Windows dhcp: el de las direcciones para navegar en la red

Análisis de Logs y Bitácoras en Windows para Monitoreo y Trazabilidad

Bienvenida y presentación general.

Análisis Forense en Sistemas Windows, Unix y Mac

Etapas del Proceso de Cómputo Forense

Identificación y Preservación en Computo Forense

Análisis y Presentación en Cómputo Forense

Etapa I: Identificación

Elementos Esenciales para la Investigación Forense Digital

Procedimiento de Cadena de Custodia en Investigaciones Forenses

Primer Respondiente en Informática Forense: Roles y Capacitación

Análisis de Imágenes Forenses y Cadena de Custodia

Etapa II: Preservación

Dispositivos de Bloqueo Contra Escritura: Uso y Función

Adquisición de Evidencia con FTK Imager en Informática Forense

Creación de Imágenes Forenses: Proceso y Verificación

Adquisición de Imágenes Forenses con Gaitán Software

Adquisición en Vivo de Memoria RAM para Análisis Forense

Creación de Imágenes Forenses en Linux con Paladín

Creación de Imágenes Forenses con DD y DC3DD en Linux

Adquisición de Imágenes Forenses en Linux con FTK Imager

Creación de Imágenes Forenses con Paladín en Dispositivos Apple

Creación de Imágenes Forenses en Mac con FTK Imager y Modo Target

Algoritmos de Funciones Hash y su Uso en Computación Forense

Adquisición de Imágenes Forenses: Herramientas y Técnicas

Verificación de Imágenes Forenses con Algoritmos Hash

Etapa III: Análisis de Evidencia Pt. 1

"Sistemas de Archivos en Windows: FAT, exFAT y NTFS"

Sistemas de Archivos en Linux y Mac: Funcionamiento y Características

Análisis y Exportación de Imágenes Forenses con FTK Imager

Creación y Gestión de Imágenes Forenses Personalizadas

Análisis Forense de Archivos de Registro en Windows

Análisis Forense de Imágenes de Sistema Operativo Linux

Elaboración de Informes Preliminares en Incidentes Informáticos

Creación de Imágenes Forenses Personalizadas

Elaboración de Informes Preliminares de Investigación

Etapa III: Análisis de Evidencia Pt. 2

Análisis de Archivos SAM con Regripper en Windows

Análisis de Archivos de Registro en Windows con Regripper