Ir al contenido principal

Supervisión y Auditoría

La supervisión y la auditoría garantizan visibilidad del estado de seguridad de BioStar X. Una auditoría eficaz requiere habilitar registros en los niveles de sistema operativo, aplicación y base de datos, centralizarlos y revisarlos con regularidad.

Definir la política de registro

Establece una política de registro que especifique qué eventos se deben registrar, los períodos de retención y quién es responsable de la revisión.

Debe registrar como mínimo los siguientes tipos de eventos:

  • Intentos de autenticación (éxito/fallo)

  • Cambios de privilegios

  • Cambios de configuración

  • Acceso a la base de datos

  • Actividad del firewall

Información

Retención: normalmente 90–180 días de forma local, y más tiempo en sistemas centralizados.

Habilitar el registro y la supervisión de eventos de Windows

  • Abre el Visor de eventos y asegúrate de que el registro esté habilitado para: Seguridad, Aplicación y Sistema.

  • Configura el tamaño del registro. Se recomienda establecer el registro de seguridad en al menos 1 GB.

  • Configura la auditoría para las siguientes políticas en Directiva de seguridad local (secpol.msc) → Directivas localesDirectiva de auditoría.

    Eventos de inicio de sesión, uso de privilegios, cambio de directiva, inicio de sesión de cuenta, acceso a objetos.

Reenvío centralizado de registros e integración con SIEM

  • Reenvía los registros a un SIEM central o a un sistema de administración de registros.

  • Opciones compatibles: Splunk, Elastic Stack, Microsoft Sentinel o Windows Event Forwarding (WEF).

Mejor práctica

Cifra los registros en tránsito (TLS) para evitar la interceptación o la manipulación.

Habilitar la auditoría a nivel de aplicación

  • En BioStar X → AjustesServidor, busca Configuración Nivel Registro Sistema.

  • Ubicación del archivo de registro: [BioStar X Install Path]\logs\acs.log

  • Establecer permisos para que sólo la cuenta del servicio BioStar X y los administradores puedan acceder.

  • Reenvía los registros al SIEM o a una solución centralizada de registros.

Habilitar la auditoría de la base de datos

  • MariaDB: Usa el plugin Audit (server_audit).

  • SQL Server: Utilice la auditoría de SQL Server (registros para el registro de archivos o eventos).

  • Reenvía al sistema central de registros.

Información

Para obtener más información sobre cómo habilitar la auditoría de la base de datos, consulta Base de Datos y Protección de Datos.

Supervisar la actividad del firewall y de la red

  • En Firewall de Windows Defender con seguridad avanzada (wf.msc) → PropiedadesRegistro, habilita el registro de paquetes descartados.

  • Guarda los registros en %systemroot%\system32\LogFiles\Firewall\pfirewall.log.

  • Reenvía los registros al SIEM.

  • Despliega IDS/IPS (Snort, Suricata, Zeek) para detectar anomalías.

Precaución

Los registros del firewall crecen rápidamente; implementa la rotación de registros y el almacenamiento seguro.

Revisión y alertas

Establece alertas automáticas para eventos críticos:

  • Múltiples inicios de sesión fallidos

  • Escalada de privilegios

  • Inicio o cierre inesperado del servicio

  • Modificaciones del esquema de la base de datos

Realiza revisiones manuales de los registros con regularidad.

¿Fue útil esta página?