Herramientas de monitoreo

Alien Vault

4 años más tarde, y gracias al avance de la IA puedo obtener rápidamente una respuesta. Sería importante tener este tipo de interacción en la academia, quizás una integración con GPT. Para monitorear cambios aplicados en inicios de sesión y accesos o modificaciones a archivos logs en sistemas Windows y Unix, existen varias herramientas que puedes instalar. A continuación, te presento algunas opciones para ambos sistemas operativos:

Herramientas de Monitoreo en Windows: Event Viewer (Visor de eventos):

Descripción: Es una herramienta incorporada en Windows que permite monitorear y revisar eventos como inicios de sesión, accesos a archivos y cambios en los logs del sistema. Uso: Puedes configurar alertas para que te notifiquen cuando ocurran ciertos eventos, como un inicio de sesión o una modificación en los logs. Sysmon (System Monitor):

Descripción: Sysmon es parte de la suite Sysinternals de Microsoft. Proporciona un monitoreo avanzado del sistema, incluyendo inicios de sesión y cambios en los archivos. Uso: Registra eventos en el Visor de eventos, como la creación de procesos, conexiones de red, cambios en archivos y más. Puedes configurarlo para que se enfoque en eventos específicos de seguridad. Splunk:

Descripción: Splunk es una potente plataforma de análisis y monitoreo de datos que puede recolectar, indexar y analizar datos de logs y eventos del sistema. Uso: Puedes instalar Splunk en Windows para monitorear inicios de sesión, accesos a archivos y cambios en logs en tiempo real. Ofrece la capacidad de crear alertas y paneles personalizados. SolarWinds Security Event Manager (SEM):

Descripción: SEM es una herramienta de monitoreo de seguridad que ayuda a rastrear eventos de seguridad en Windows. Puede detectar inicios de sesión sospechosos y cambios en archivos logs. Uso: SEM ofrece la capacidad de monitorear en tiempo real y generar informes sobre los eventos críticos del sistema, incluidas las modificaciones a los archivos de logs. Herramientas de Monitoreo en Unix/Linux: Auditd:

Descripción: Auditd es el demonio de auditoría de Linux. Permite monitorear y registrar los eventos del sistema, incluyendo inicios de sesión, accesos a archivos y cambios en logs. Uso: Configura reglas de auditoría para rastrear eventos específicos, como accesos a ciertos archivos o directorios, y genera informes detallados de actividades sospechosas. Logwatch:

Descripción: Logwatch es una herramienta de análisis de logs que revisa los logs del sistema y genera informes sobre eventos críticos, incluyendo inicios de sesión y modificaciones de archivos. Uso: Logwatch se ejecuta automáticamente en intervalos regulares y envía informes detallados por correo electrónico, lo que facilita la detección de actividades inusuales. OSSEC:

Descripción: OSSEC es un sistema de detección de intrusos de código abierto que monitorea actividades sospechosas, incluidos inicios de sesión y cambios en archivos de logs. Uso: Instala OSSEC para monitorizar eventos en tiempo real, generar alertas y crear informes sobre actividades que podrían indicar un compromiso en el sistema. Tripwire:

Descripción: Tripwire es una herramienta que monitorea la integridad de los archivos en sistemas Unix/Linux. Puede detectar cambios en archivos críticos, incluidos archivos de logs. Uso: Configura Tripwire para que monitoree directorios específicos y te notifique si detecta cambios no autorizados en archivos clave. Fail2ban:

Descripción: Fail2ban es una herramienta que analiza los logs de sistema en busca de patrones sospechosos, como intentos fallidos de inicio de sesión, y bloquea direcciones IP ofensivas. Uso: Configura Fail2ban para proteger el sistema de ataques de fuerza bruta y monitorear los logs de inicio de sesión.