Diseño e implementación de un siem

ALCAÍN PRO, Jorge (2019) Trabajo de Fin de Máster (TFM)

Configuración de una pequeña red que simula la red de una empresa la cual estará formada internamente de tres subredes divididas a través de un Firewall y un IDS. La primera subred es una DMZ Externa que cuenta con un servidor FTP y un servidor web apache con un SQL y PHP. Como segunda subred se denomina Red Interna de Servidores que está formada de un Directorio Activo de un Windows Server, un Servidor con un recurso compartido y un proxy Squirt que genera una subred denominada Red de Usuarios que es a través de la que se conectan todos los equipos de la empresa. En la Red Interna de Servidores, para la detección de eventos de seguridad se va a implementar, configurar y gestionar un SIEM, donde la elección es AlientVault. La motivación que me ha llevado a realizar este trabajo es que considero que tener una herramienta SIEM es muy importante para la detección de eventos de seguridad ya que con este sistema podemos conocer el estado de seguridad de nuestra red donde tenemos eventos en tiempo real y toda la actividad que surge en la red. No solo nos ayuda en la detención si no que es de gran ayuda en caso de producirse un incidente de seguridad de la información ya que aporta mucho valor en un análisis forense. Nos aporta información muy útil para un aprendizaje continuo y que si se complementa con el uso de threat intelligence se puede tener un aprendizaje de mayor conocimiento dado que con ello se tiene la capacidad de compartir datos que permiten llegar a medidas preventivas de antelación. Desde mi punto de vista, es de vital importancia el uso de herramientas SIEM que, tras tener la implementación de la seguridad por niveles, nos aportan una detención de eventos de seguridad y conocimiento del estado de la seguridad de nuestra red muy valiosa. Los pasos posteriores serían realizar auditorías de hacking ético de forma periódica para la comprobación de vulnerabilidades y el estado de la seguridad de los sistemas e infraestructura para tener una mejora continua de la seguridad de nuestra red. Este trabajo está compuesto de nueve apartados que conforman seis grandes bloques que son: infraestructura IT de la compañía, análisis de activos de información claves de la compañía e información que muestran, implantación del sistema de monitorización (SIEM), configuración del sistema de monitorización y visión del estado de la seguridad de los elementos, respuesta a incidentes de seguridad y reportes del estado de la seguridad. Con esta organización vamos a ver como partiendo de la infraestructura tecnológica de la compañía se puede conocer los activos de información claves, después de conocer el modelo de negocio de la empresa (Capítulo 1: Mapa de Red de la Empresa). Después de conocer los activos clave, se muestra cuales son todos los dispositivos que los soportan y actúan para su protección, para monitorizarlos a través del SIEM. (Capítulo 2: Identificación y descripción de los dispositivos a monitorizar). Posteriormente, se analizan los dispositivos que se quieren monitorizar para conocer cómo se puede hacer (Capítulo 3: Descripción de los eventos y logs a recolectar). En el siguiente capítulo (Capítulo 4: Sistemas de recolección de logs) se muestra con que sistemas se pueden monitorizar. Y después, se muestra en detalle la implementación del sistema SIEM para centralizar la monitorización de todos esos dispositivos (Capítulo 5: Implementación del sistema SIEM) y como definir reglas que nos ayudarán a estar en alerta según la actividad dentro de la red (Capítulo 6: Reglas de correlación). Finalmente, veremos un cuadro que nos ayudará a ver el estado de la seguridad (Capitulo 7: Cuadro de mando), como gestionar los incidentes de seguridad (Capítulo 8: Sistema de alarmas y ticketing), y acabando con un reporte a medida de la situación de los incidentes y del estado de la seguridad (Capítulo 9: Reporting).
Configuration of a small network that simulates the network of a company that will be internally made up of three subnets divided through a Firewall and an IDS. The first subnet is an External DMZ that has an FTP server and an Apache webserver with SQL and PHP. The second subnet is called the Internal Server Network, which is made up of an Active Directory of a Windows Server, a Server with a shared resource, and a Squirt proxy that generates a subnet called the User Network, which is through which all the company equipment. In the Internal Server Network, for the detection of security events, a SIEM will be implemented, configured, and managed, the choice is AlientVault. The motivation that has led me to carry out this work is that I consider that having a SIEM tool is very important for the detection of security events since with this system we can know the security status of our network we have events in real-time and all the activity that arises in the network. Not only does it help us in detention, but it is also a great help in the event of an information security incident since it provides a lot of value in forensic analysis. It provides us with very useful information for continuous learning and that if it is complemented with the use of threat intelligence, it is possible to have more knowledgeable learning given that with this we have the ability to share data that allows us to reach preventive measures in advance. From my point of view, the use of SIEM tools is of vital importance, which, after having implemented security by levels, provides us with a halt to security events and knowledge of the security status of our very valuable network. The next steps would be to carry out ethical hacking audits on a regular basis to check vulnerabilities and the security status of systems and infrastructure in order to continuously improve the security of our network. This work is made up of nine sections that make up six large blocks, which are: the company´s IT infrastructure, analysis of the company´s key information assets and the information they , implementation of the monitoring system (SIEM), configuration of the monitoring system, and view of the security status of the elements, response to security incidents and security status reports. With this organization we are going to see how, starting from the technological infrastructure of the company, it is possible to know the key information assets, after knowing the business model of the company (Chapter 1: Company Network Map). After knowing the key assets, it s which are all the devices that support them and act for their protection, to monitor them through the SIEM. (Chapter 2: Identification and deion of the devices to be monitored). Subsequently, the devices to be monitored are d to know how this can be done (Chapter 3: Deion of the events and logs to be collected). The next chapter (Chapter 4: Log collection systems) s which systems can be monitored. And then, the implementation of the SIEM system is n in detail to centralize the monitoring of all these devices (Chapter 5: Implementation of the SIEM system) and how to define rules that will help us to be alert based on activity within the network (Chapter 6: Correlation rules). Finally, we will see a table that will help us to see the security status (Chapter 7: Dashboard), how to manage security incidents (Chapter 8: Alarm system and ticketing), and ending with a report tailored to the Incident situation and security status (Chapter 9: Reporting).
  • Tipo de documento: Trabajo de Fin de Máster (TFM)
  • Directores: Manuel Carpio Cámara
  • Tipo de autorizacion: Acceso abierto
  • Título obtenido:
  • Derechos: CC Atribución-NoComercial-SinDerivadas 3.0 España