Ir al contenido principal

Monitor de inicio de sesión fallido

Alert on repeated failed login attempts on Windows, macOS, and Linux. Set a threshold and time window, scope to all users or admins only, and attach remediations like locking the device.

Introducción

Detecte intentos de fuerza bruta y uso indebido de credenciales antes de que tengan éxito. El monitor de inicio de sesión fallido activa una alerta cuando un dispositivo registra intentos de inicio de sesión fallidos iguales o superiores a su umbral dentro de un intervalo de tiempo que usted define.

Es un monitor nativo que funciona en Windows, macOS y Linux. Sin IDs de evento, sin análisis de registros, sin scripts personalizados.

Monitor de inicio de sesión fallido

Level lee los intentos de autenticación fallidos de los registros de seguridad propios de cada sistema operativo, los contabiliza en una ventana retrospectiva continua y activa una alerta cuando el recuento alcanza su Umbral.

La combinación de umbral más ventana es lo que separa la señal del ruido. Una contraseña mal escrita es algo cotidiano. 10 fallos en 5 minutos es un ataque activo.

Failed Login Monitor

Qué se detecta por plataforma

Las fuentes de detección difieren según el sistema operativo, por lo que la cobertura no es idéntica en todas partes. No hay configuración por sistema operativo: asigne la política del monitor a dispositivos Windows, macOS o Linux y el monitor funcionará en todos ellos.

🖥️ NOTA DE PLATAFORMA:

  • Windows: Lee el registro de eventos de seguridad (Event ID 4625) mediante una suscripción en vivo. Cubre cualquier inicio de sesión fallido que registre Windows: interactivo, RDP, de red, etc. La detección es en tiempo real.

  • macOS: Lee el registro unificado. Cubre fallos de SSH, fallos de sudo y su, y fallos de la ventana de inicio de sesión GUI y la pantalla de bloqueo. Se comprueba cada 10 segundos.

  • Linux: Lee /var/log/btmp, el mismo registro de inicio de sesión incorrecto lastb lecturas. Cubre todo lo que PAM escriba allí: consola, SSH, etc. Se comprueba cada 10 segundos.

⚠️ ADVERTENCIA: El monitor solo ve lo que registra el sistema operativo. En Windows, la auditoría de inicios de sesión fallidos debe estar habilitada (lo está por defecto). En Linux, la detección depende de /var/log/btmp existente. Algunas distribuciones no lo crean por defecto y, si falta, el agente no reporta nada en lugar de un error. Un dispositivo silencioso no es prueba de que no haya habido inicios de sesión fallidos.

💡 CONSEJO: Antes de que existiera este monitor, el enfoque estándar era un monitor de registro de eventos que observaba el ID de evento 4625 de Windows. El monitor de inicio de sesión fallido reemplaza ese enfoque en la mayoría de los casos y, a diferencia del monitor de registro de eventos, también cubre macOS y Linux.

Configuración del monitor de inicio de sesión fallido

Abra la política de monitor a la que desea agregar esto y luego haga clic en + Agregar nuevo monitor (o abra un monitor de inicio de sesión fallido existente para editarlo). Se abre el panel de configuración.

Nombre y tipo

  1. Introduzca un nombre en el campo Nombre campo. Sea específico sobre el alcance y la intención: «Servidores - Inicios de sesión de administrador fallidos» se lee mejor en una lista de alertas que «Alerta de inicio de sesión fallido».

  2. Establezca Tipo a Inicio de sesión fallido.

Gravedad

Establezca Gravedad para que coincida con la forma en que su equipo debe responder:

  • Información — prioridad baja, nivel informativo

  • Advertencia — merece atención pero no es urgente

  • Crítico — requiere respuesta inmediata

  • Emergencia — abandone todo

💡 CONSEJO: Crítico es un valor predeterminado sensato aquí. Los inicios de sesión fallidos repetidos en un servidor o una cuenta de administrador generalmente merecen una revisión rápida, incluso si la mayoría resultan ser un usuario que olvidó su contraseña después de las vacaciones.

Alcance

Alcance controla qué cuentas cuentan para el umbral:

  • Todos los usuarios — los intentos fallidos de cualquier cuenta del dispositivo cuentan

  • Solo usuarios administradores — solo cuentan los intentos fallidos contra cuentas de nivel administrador; los fallos de cuentas sin privilegios de administrador se descartan antes de contabilizarse

Lo que califica como cuenta de administrador depende de la plataforma:

🖥️ NOTA DE PLATAFORMA:

  • Windows: La cuenta de Administrador integrada o la pertenencia al grupo local de Administradores.

  • macOS: root, o la pertenencia al grupo admin o wheel grupo.

  • Linux: root, o la pertenencia al grupo sudo, wheel, o root grupo.

💡 CONSEJO: Ejecute dos monitores en la misma política: un Todos los usuarios monitor con gravedad Advertencia, y un Solo usuarios administradores monitor en Crítico o Emergencia. Los ataques contra cuentas privilegiadas merecen una alarma más sonora.

Umbral

Umbral establece el número de intentos fallidos que activa la alerta. Configúrelo con las flechas arriba/abajo.

La comparación es igual o superior al umbral. Con un umbral de 3, el tercer intento fallido dentro de la ventana activa la alerta. No hay requisito de verificaciones consecutivas; la alerta se activa en la primera evaluación que supera el umbral.

Duración

Duración es la ventana retrospectiva continua frente a la que se mide el umbral. Los intentos más antiguos que la ventana se eliminan del recuento.

Seleccione una unidad del menú desplegable y luego establezca el valor con las flechas o el control deslizante:

  • Minutos — 1 a 120

  • Horas — 1 a 24

Las ventanas más cortas detectan ataques rápidos y automatizados. Las ventanas más largas detectan ataques lentos y deliberados. 3 intentos en 60 minutos es un punto de partida razonable para estaciones de trabajo; ajústelo para servidores expuestos a RDP o SSH.

ℹ️ NOTA: La ventana es continua, no fija. Level comprueba continuamente (en tiempo real en Windows, en segundos en macOS y Linux) y evalúa la ventana retrospectiva, por lo que los recuentos no se reinician al inicio de cada hora.

Remediación

Adjunte una o más automatizaciones para ejecutar cuando se active esta alerta. Para los inicios de sesión fallidos, Bloquear dispositivo es el candidato obvio: detenga el ataque primero, investigue después.

  1. Haga clic en el campo Remediación campo y seleccione una automatización.

  2. Para agregar más, haga clic en + Agregar otra remediación.

  3. Para eliminar una, haga clic en × junto a ella.

Cada automatización adjunta tiene 2 iconos: el icono de enlace abre la automatización en una nueva pestaña y el icono de ojo muestra una vista previa rápida de lo que hace.

⚠️ ADVERTENCIA: Las remediaciones se ejecutan automáticamente en el momento en que se crea la alerta. Combinar este monitor con una automatización destructiva (bloquear, borrar, deshabilitar cuenta) con un umbral demasiado bajo puede bloquear a usuarios legítimos que cometen un error tipográfico con su contraseña unas pocas veces. Pruebe su umbral con el comportamiento del mundo real antes de adjuntar remediaciones agresivas.

Notificar a los destinatarios

Dos casillas de verificación controlan si los destinatarios de la política reciben un correo electrónico:

  • Al crear la alerta — los destinatarios reciben un correo electrónico cuando se activa la alerta

  • Al resolver la alerta — los destinatarios reciben un correo electrónico cuando la alerta se resuelve

Los destinatarios se configuran en el nivel de política del monitor, en la Destinatarios sección. Si no se establecen destinatarios en la política, no se enviarán correos electrónicos independientemente de estas casillas de verificación.

Resolución automática

El botón Resolver alerta automáticamente cuando las condiciones se normalicen controla si Level cierra la alerta automáticamente una vez que los intentos fallidos caen por debajo del umbral dentro de la ventana retrospectiva.

Las alertas de inicio de sesión fallido representan algo que ya ocurrió, y una ventana de inactividad no significa que el evento no haya tenido importancia. Dejar la resolución automática desactivada mantiene la alerta abierta hasta que un técnico la revise.

Qué muestra la alerta

Cuando el monitor se activa, la alerta resume el recuento («Se detectaron 3 intentos de inicio de sesión fallidos para los usuarios») seguido de una lista por intento del usuario y la fuente.

Lo que aparece en el campo de fuente depende de la plataforma:

🖥️ NOTA DE PLATAFORMA:

  • Windows: El nombre de usuario aparece como DOMAIN\user. La fuente es la IP de origen, con el nombre de la estación de trabajo como alternativa.

  • macOS: La fuente es la IP para fallos de SSH, «local» para fallos de sudo y su, y «ventana de inicio de sesión» para fallos de GUI.

  • Linux: La fuente es el nombre de host registrado en btmp.

Preguntas frecuentes

  • ¿Quién puede crear y editar monitores? Técnicos con acceso a la política de monitor correspondiente. Los ajustes de permisos se gestionan en Espacio de trabajo → Permisos.

  • ¿Esto reemplaza al monitor de registro de eventos para los inicios de sesión fallidos? En la mayoría de los casos, sí. El monitor de inicio de sesión fallido es nativo, no necesita configuración de ID de evento y funciona en las 3 plataformas. El enfoque del registro de eventos sigue teniendo sentido si desea observar IDs de eventos de Windows relacionados que este monitor no cubre, o combinar inicios de sesión fallidos con otros eventos de seguridad en un solo monitor.

  • ¿Qué tipos de inicio de sesión cuentan? Lo que el sistema operativo registre como autenticación fallida. En Windows, eso es cualquier fallo de inicio de sesión con Event ID 4625 (interactivo, RDP, de red). En macOS: SSH, sudo, su y la ventana de inicio de sesión GUI o la pantalla de bloqueo. En Linux: cualquier cosa que PAM escriba en btmp, incluidos la consola y SSH.

  • ¿Qué cuenta como usuario administrador con «Solo usuarios administradores»? En Windows, la cuenta de Administrador integrada o los miembros del grupo local de Administradores. En macOS, root o los miembros del grupo admin o wheel. En Linux, root o los miembros del grupo sudo, wheel o root.

  • ¿Cuentan los intentos fallidos contra nombres de usuario que no existen? Sí. Level contabiliza todos los intentos fallidos que registra el sistema operativo, independientemente de si la cuenta existe en el dispositivo. Los ataques de fuerza bruta SSH contra nombres de usuario no válidos igualmente activan el monitor.

  • ¿Por qué un dispositivo Linux nunca muestra inicios de sesión fallidos, aunque sé que los hay? Compruebe que /var/log/btmp existe. Algunas distribuciones no lo crean por defecto y, sin él, el agente no tiene nada que leer. Reporta cero en lugar de un error.

  • ¿Por qué no se activó mi alerta? Sé que alguien falló un inicio de sesión. El recuento debe alcanzar o superar el umbral dentro de la ventana de duración. Los intentos más antiguos que la ventana se descartan. Confirme también que el dispositivo está cubierto por las etiquetas de destino de la política y que su configuración de Alcance coincide con la cuenta implicada.

  • ¿Puedo establecer diferentes umbrales para servidores y estaciones de trabajo? Sí. Cree políticas de monitor separadas orientadas a etiquetas diferentes y configure el umbral de cada monitor de forma independiente.

  • ¿Qué ocurre con las alertas de inicio de sesión fallido abiertas si elimino el monitor? Las alertas existentes permanecen en su lugar. Eliminar un monitor no cierra las alertas que ya creó. Resuélvalas manualmente.

Artículos relacionados
Primeros pasos con los monitores
Monitor de registro de eventos
Monitor de Latencia de Disco
Monitor de Longitud de Cola de Disco
Monitor de estado SMART del disco
¿Ha quedado contestada tu pregunta?