Obtener eventos relacionados con la seguridad informática

 


En esta ocasión les muestro un programa que he realizado para obtener los eventos de Windows relacionados con la seguridad informática con el fin de poder detectar instrusiones, cambios en la gestión de permisos de los usuarios, usuarios añadidos o eliminados, accesos por rdp, modificación de reglas del firewall, cambios en la auditoría o en los servicios de windows, etc...

Regularmente deberíamos comprobar este tipo de sucesos o en su caso modificar el programa para que regularmente haga un escaneo de los eventos y nos avise de aquellos que nos interesen.

Por ejemplo sería interesante ver qué usuarios han fallado repetidamente al hacer un logon al sistema (evento 4625), esto nos indicaría que ha habido un intento de intrusión y podríamos tomar las medidas adecuadas para que no se repita.

También podríamos ver si un usuario ha accedido al sistema a horas inusuales o si alguien lo ha hecho por rdp (escritorio remoto) (evento 4778 y 4779).

En el caso de que hayan accedido a nuestro PC podríamos ver si han modificado, añadido o suprimido alguna regla del firewall (eventos 4946, 4947, y 4948)

- Cómo funciona el programa:

Pues inicialmente obtiene los eventos del registro de seguridad, aplicación y sistema en formato texto para después almacenarlos en el archivo ¨TotalRegistros.txt". 

Si es la primera vez que lee los eventos hay que tener paciencia ya que tarda bastante, por ejemplo en mi equipo son cerca de 85000 eventos que tiene que procesar y transformar del formato xml al formato texto.

Esto se hace ejecutando como administrador el script "DescargarRegistros.bat"

 

 

 

 

 



Este script debe estar en la misma carpeta que el programa principal project1.exe

Una vez que el programa ha leído todos los eventos del PC el usuario tiene que seleccionar un código de evento, p.ej. 4624 - Se ha iniciado sesión correctamente con una cuenta y a la derecha el usuario podrá ver en una rejilla todos los eventos en forma resumida (con fecha, hora, tipo de auditoría, etc..)


 

 

 

 

 



Si necesita ampliar información sobre uno de ellos, simplemente se hace clic sobre el mismo y se mostrará en la parte inferior toda la información que proporciona Windows de forma exhaustiva.

 


Haciendo clic sobre otro evento se actualizará la rejilla abreviada y la explicación ampliada.


Como siempre les dejo un link con el acceso al código fuente y al ejecutable por si lo quieren descargar en su equipo y probarlo.

Este programa ha sido realizado con  Delphi 10.4.1

Espero que les sea útil y hasta la próxima.



No hay comentarios:

Publicar un comentario