Visualización SIEM - Intentos Fallidos de Inicio de Sesión en Usuarios Deshabilitados
En este ejemplo, crearemos una visualización SIEM para monitorear los intentos fallidos de inicio de sesión realizados contra cuentas de usuario deshabilitadas en un entorno Windows.
⚙️ Concepto General
Los intentos fallidos de inicio de sesión con usuarios deshabilitados siempre fallarán, incluso si las credenciales son correctas.
En los registros de Windows, este tipo de fallo se representa con el valor de SubStatus: 0xC0000072, que indica “cuenta deshabilitada”.
📌 Objetivo: Detectar y visualizar estos eventos fallidos en un dashboard de Elastic (Kibana).
🧭 Pasos para Crear la Visualización
-
Navega a 👉
http://[Target IP]:5601 -
Haz clic en el menú lateral y selecciona “Dashboard”.
-
Edita el dashboard existente (
SOC-Alerts) haciendo clic en el ✏️ icono de edición.
-
Presiona el botón “Create visualization” para iniciar una nueva visualización.
!Pasted image - ejemplo dashboard.png
🔍 Configuración de Filtros
Antes de configurar la tabla, debemos filtrar los eventos relevantes.
🔹 Evento: 4625 → Inicio de sesión fallido
🔹 SubStatus: 0xC0000072 → Usuario deshabilitado
📜 Filtro aplicado:
event.code: 4625 AND winlog.event_data.SubStatus: 0xC0000072
Este filtro nos asegura que solo se mostrarán los eventos que correspondan a intentos fallidos por usuarios deshabilitados.
🧩 Configuración del Dataset y Campos
-
Índice:
windows*
(Contiene los eventos provenientes de sistemas Windows) -
Campo a visualizar:
user.name.keyword
(Representa el nombre del usuario que realizó el intento)
Usa user.name.keyword en lugar de user.name cuando vayas a realizar agregaciones o conteos, ya que .keyword permite agrupar valores textuales de forma exacta.
🧱 Tipo de Visualización
Selecciona “Table” como tipo de visualización.
Luego, configura los siguientes campos:
🔹 Filas (Rows)
-
user.name.keyword→ Nombre del usuario deshabilitado. -
host.hostname.keyword→ Nombre del equipo donde ocurrió el intento.
🔹 Métricas (Metrics)
count→ Cantidad total de eventos registrados.
📋 Ejemplo de Tabla Resultante
💾 Guardar la Visualización
Haz clic en “Save and return” para agregar la tabla al dashboard existente.
Puedes renombrar la visualización como:
“Intentos fallidos (Usuarios deshabilitados)”
🕒 Consejo Final
🔄 Puede tardar 3 a 5 minutos en estar disponible el entorno de Kibana después de lanzar el sistema objetivo.
Asegúrate de aplicar correctamente los filtros antes de guardar la visualización.
🔗 Referencia
📚 MITRE ATT&CK Framework – Official Site
📘 Documentación de Elastic Stack