Retención de registros de eventos de Windows

Si bien Tenable Identity Exposure se esfuerza por procesar tantos registros de eventos de Windows como sea posible para admitir el análisis de seguridad dentro de la funcionalidad de los indicadores de ataque, existen limitaciones técnicas, como la memoria disponible en la máquina que ejecuta los servicios.

El período de retención global predeterminado es de 5 minutos. Sin embargo, los registros de eventos específicos de Windows tienen períodos de retención ampliados para mitigar los problemas de correlación que el motor de seguridad podría encontrar:

• SYSMON 5722 y 5723: se retienen durante 6 horas.

• Microsoft-Windows-Security-Auditing/4624: el período de retención de este registro es dinámico, ya que se utiliza ampliamente en indicadores de ataque tanto para la detección como para la correlación. El sistema ajusta la retención en función del uso de la memoria para equilibrar el procesamiento de eventos con los recursos del sistema:

  • Primera hora: el servicio de análisis de seguridad aplica el período de retención predeterminado de 5 minutos.

  • Después de la primera hora, el sistema evalúa la memoria restante y ajusta la retención de la siguiente manera:

    • Si la memoria disponible es superior al 50 %: 1 día.

    • Si la memoria disponible es del 35 al 50 %: 6 horas.

    • Si la memoria disponible es del 20 al 35 %: 1 hora.

    • Si la memoria disponible es del 10 al 20 %: 10 minutos.

    • Si la memoria disponible es inferior al 10 %: valor predeterminado de 5 minutos.

Este enfoque dinámico garantiza que el sistema pueda gestionar los eventos entrantes de manera eficiente y, al mismo tiempo, mantenga una memoria adecuada para el análisis de seguridad.