{"id":148559,"date":"2023-01-27T08:59:19","date_gmt":"2023-01-27T08:59:19","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/como-supervisar-los-archivos-log4j-conelusode-ninjaone\/"},"modified":"2025-12-16T14:51:07","modified_gmt":"2025-12-16T14:51:07","slug":"como-supervisar-los-archivos-log4j-conelusode-ninjaone","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/es\/blog\/como-supervisar-los-archivos-log4j-conelusode-ninjaone\/","title":{"rendered":"C\u00f3mo monitorear archivos Log4j con NinjaOne"},"content":{"rendered":"<p>Con noticias de \u00faltima hora: <a href=\"https:\/\/www.lunasec.io\/docs\/blog\/log4j-zero-day\/\" target=\"_blank\" rel=\"noopener\">Log4Shell (CVE-2021-44228)<\/a> y los intentos de explotaci\u00f3n se generalizaron, los MSP y los equipos de TI trabajaron sin parar para evaluar la exposici\u00f3n, buscar posibles IoC, aplicar mitigaciones y parchear.<\/p>\n<p>El problema es que, dado que <a href=\"https:\/\/www.techsolvency.com\/story-so-far\/cve-2021-44228-log4j-log4shell\/\" target=\"_blank\" rel=\"noopener\">esta vulnerabilidad afecta a tantas aplicaciones<\/a>, y que no todos los proveedores pueden brindar un asesoramiento claro sobre si los productos se ven afectados o no (<a href=\"https:\/\/www.ninjaone.com\/es\/blog\/actualizacion-vulnerabilidad-log4j\/\">nota: NinjaOne no lo est\u00e1<\/a>): determinar qu\u00e9 sistemas son potencialmente vulnerables es un gran desaf\u00edo.<\/p>\n<p>Ese problema ha llevado a bastantes investigadores de seguridad y miembros de la comunidad a crear scripts y herramientas que se pueden usar para escanear entornos en busca de archivos Log4j potencialmente vulnerables y se\u00f1ales de IoC.<\/p>\n<p>Aqu\u00ed tienes algunos ejemplos:<\/p>\n<ul>\n<li><a href=\"https:\/\/log4shell.huntress.com\/\" target=\"_blank\" rel=\"noopener\">Probador de vulnerabilidades Huntress Log4Shell<\/a><\/li>\n<li><a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-detecting-log4j-files\/\" target=\"_blank\" rel=\"noopener\">Detecci\u00f3n de script de archivos Log4j<\/a> de Kelvin Tegelaar<\/li>\n<li><a href=\"https:\/\/ninjarmm.zendesk.com\/hc\/en-us\/community\/posts\/4416326416397-Log4j\" target=\"_blank\" rel=\"noopener\">Esc\u00e1ner Ninja-Log4shell<\/a> de Jan Scholte<\/li>\n<li><a href=\"https:\/\/github.com\/N-able\/ScriptsAndAutomationPolicies\/blob\/master\/Vulnerability%20-%20CVE-2021-44228%20(Log4j)\/get-log4jrcevulnerability.ps1\" target=\"_blank\" rel=\"noopener\">get-log4jrcevulnerability.ps1 por Prejay Shah<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/datto\/log4shell-tool\" target=\"_blank\" rel=\"noopener\">Herramienta de detecci\u00f3n de ataques, mitigaci\u00f3n y enumeraci\u00f3n Log4Shell de Datto<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/AshtonSolutions\/log4j-ninja-scanner\" target=\"_blank\" rel=\"noopener\">Log4j\/Log4Shell PowerShell Scan dise\u00f1ado para usar con Ninja de AshtonSolutions<\/a><\/li>\n<li>\u00a0<a class=\"ext\" href=\"https:\/\/github.com\/mubix\/CVE-2021-44228-Log4Shell-Hashes\" data-extlink=\"\" target=\"_blank\" rel=\"noopener\">CVE-2021-44228-Log4Shell-Hashes<\/a> de Rob Fuller<\/li>\n<li><a href=\"https:\/\/github.com\/Neo23x0\/log4shell-detector\" target=\"_blank\" rel=\"noopener\">Log4shell-detector de Florian Roth<\/a> (que detecta intentos de explotaci\u00f3n, NO aplicaciones vulnerables<\/li>\n<\/ul>\n<p>Decidir utilizar cualquiera de los scripts disponibles es totalmente tu elecci\u00f3n (aunque, por supuesto, siempre debes probarlos y realizar la debida diligencia previamente). No obstante, si encuentras un script que quieras probar, esta publicaci\u00f3n te guiar\u00e1 a trav\u00e9s de un ejemplo de c\u00f3mo desplegarlo en tu red aprovechando los <a href=\"https:\/\/www.ninjaone.com\/es\/blog\/uso-campos-personalizados-ninjaone\/\">campos personalizados<\/a>\u00a0en NinjaOne.<\/p>\n<p>Antes de empezar, si quieres ponerte al d\u00eda con Log4Shell, los siguientes son excelentes recursos:<\/p>\n<ul>\n<li><a href=\"https:\/\/youtu.be\/igoDXnkYDy8?t=604\" target=\"_blank\" rel=\"noopener\">Fant\u00e1stica explicaci\u00f3n de Log4Shell por John Strand en Black Hills Information Security<\/a>\n<ul>\n<li><a href=\"https:\/\/www.youtube.com\/watch?v=igoDXnkYDy8&amp;t=1200s\" target=\"_blank\" rel=\"noopener\">Ve directamente a la parte donde habla sobre las mitigaciones aqu\u00ed<\/a><\/li>\n<\/ul>\n<\/li>\n<li><a href=\"https:\/\/www.huntress.com\/blog\/rapid-response-critical-rce-vulnerability-is-affecting-java\" target=\"_blank\" rel=\"noopener\">Buena descripci\u00f3n general de Log4Shell con actualizaciones peri\u00f3dicas de Huntress<\/a><\/li>\n<li><a href=\"https:\/\/www.cisa.gov\/uscert\/apache-log4j-vulnerability-guidance\" target=\"_blank\" rel=\"noopener\">Gu\u00eda de vulnerabilidad Log4j del CISA<\/a><\/li>\n<\/ul>\n<h2>Ejemplo de c\u00f3mo monitorear archivos Log4j con NinjaOne<\/h2>\n<p>Para configurar un monitor personalizado que detecte la presencia de archivos de la biblioteca Log4J en endpoints en NinjaOne, necesitar\u00e1s:<\/p>\n<ol>\n<li>Un <a href=\"https:\/\/www.ninjaone.com\/es\/blog\/uso-campos-personalizados-ninjaone\/\">campo personalizado<\/a><\/li>\n<li>Un script para recopilar y almacenar los datos (ejemplo a continuaci\u00f3n, o consulta otros ejemplos citados anteriormente)<\/li>\n<li>Una condici\u00f3n personalizada para crear una alerta<\/li>\n<li>Un m\u00e9todo para desplegar el script de detecci\u00f3n<\/li>\n<\/ol>\n<h3><strong>Configuraci\u00f3n del campo personalizado<\/strong><\/h3>\n<p>El campo personalizado se utilizar\u00e1 para almacenar los datos devueltos por el script de detecci\u00f3n.<\/p>\n<p>1)\u00a0A\u00f1ade un nuevo campo personalizado. Como monitoreamos el resultado del script en todos los endpoints, crearemos un <strong>campo personalizado global<\/strong>.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone size-full wp-image-102828\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/ninja-screen-log4j.png\" alt=\"ninja-pantalla-log4j\" width=\"780\" height=\"125\" \/><\/p>\n<p>2)\u00a0El campo personalizado se llamar\u00e1 <strong>log4j<\/strong> y se configurar\u00e1 para escribir <strong>Multil\u00ednea<\/strong>. Usamos varias l\u00edneas ya que es posible que cada endpoint tenga varios archivos con vulnerabilidades. Las l\u00edneas m\u00faltiples har\u00e1n que la informaci\u00f3n sea m\u00e1s legible.<\/p>\n<p><img decoding=\"async\" class=\"alignnone size-full wp-image-102841\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/create-field-log4j.png\" alt=\"crear-campo-log4j\" width=\"458\" height=\"286\" \/><\/p>\n<p>3)\u00a0Luego necesitamos configurar el campo personalizado. Estableceremos el script <strong>Script Access <\/strong>en <strong>Leer \/ Escribir<\/strong>.<\/p>\n<p><em><strong>Nota:<\/strong> si el acceso al script no est\u00e1 configurado en \u00abEscribir\u00bb o \u00abLeer\/Escribir\u00bb, no podr\u00e1s escribir en el campo a partir de un script.<\/em><\/p>\n<p><img decoding=\"async\" class=\"alignnone size-full wp-image-102853\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/text-log4j.png\" alt=\"texto-log4j\" width=\"650\" height=\"340\" \/><\/p>\n<p>A continuaci\u00f3n, se presenta todo lo que se requiere para configurar el campo personalizado si configuramos un campo personalizado global.<\/p>\n<h3><strong>Creaci\u00f3n de un script para extraer datos<\/strong><\/h3>\n<p>Para fines ilustrativos, usaremos un script de ejemplo a continuaci\u00f3n creado a partir del script de Kelvin Tegelaar provisto en <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-detecting-log4j-files\/\" target=\"_blank\" rel=\"noopener\">CyberDrain<\/a> y en <a href=\"https:\/\/ninjarmm.zendesk.com\/hc\/en-us\/community\/posts\/4416918246669-CyberDrain-com-Log4J-Detection\" target=\"_blank\" rel=\"noopener\">la comunidad Dojo de NinjaOne<\/a>. La diferencia principal con el script de Kelvin es que utiliza una herramienta externa llamada \u201ctodo\u201d que acelera la ejecuci\u00f3n.<\/p>\n<p>Ten en cuenta que circulan scripts adicionales que tambi\u00e9n puedes consultar y personalizar\u00a0, que incluyen:<\/p>\n<ul>\n<li><a href=\"https:\/\/ninjarmm.zendesk.com\/hc\/en-us\/community\/posts\/4416326416397-Log4j\" target=\"_blank\" rel=\"noopener\">Esc\u00e1ner Ninja-Log4shell<\/a> de Jan Scholte<\/li>\n<li><a href=\"https:\/\/github.com\/N-able\/ScriptsAndAutomationPolicies\/blob\/master\/Vulnerability%20-%20CVE-2021-44228%20(Log4j)\/get-log4jrcevulnerability.ps1\" target=\"_blank\" rel=\"noopener\">get-log4jrcevulnerability.ps1 por Prejay Shah<\/a><\/li>\n<\/ul>\n<p>Es posible que provean resultados m\u00e1s r\u00e1pidos y eficientes.<\/p>\n<p><strong>*** Aviso legal: El uso de cualquiera de estos scripts en NinjaOne se realiza a tu propia discreci\u00f3n y bajo tu exclusiva responsabilidad. ***<\/strong><\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\">$array = @()\r\n$Drives = Get-PSDrive -PSProvider 'FileSystem'<\/pre>\n<p>foreach($Drive in $Drives) {<\/p>\n<p>$drivePath = $Drive.name + \u00ab:\u00bb,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,<br \/>\n$array += gci $drivePath -rec -force -include *.jar -ea 0 | foreach {select-string \u00ab\u00bbJndiLookup.class\u00bb\u00bb $_} | select -exp Path\u00bb<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\"><\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Con noticias de \u00faltima hora: Log4Shell (CVE-2021-44228) y los intentos de explotaci\u00f3n se generalizaron, los MSP y los equipos de TI trabajaron sin parar para evaluar la exposici\u00f3n, buscar posibles IoC, aplicar mitigaciones y parchear. El problema es que, dado que esta vulnerabilidad afecta a tantas aplicaciones, y que no todos los proveedores pueden brindar [&hellip;]<\/p>\n","protected":false},"author":35,"featured_media":132925,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4366],"tags":[],"class_list":["post-148559","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad"],"acf":[],"modified_by":"Karina PicoCatala","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts\/148559","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/comments?post=148559"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts\/148559\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/media\/132925"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/media?parent=148559"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/categories?post=148559"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/tags?post=148559"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}