Security analytics with Elastic

Abstract

Este proyecto nace para cubrir la creciente necesidad en las empresas en cuanto a la implementación de sistemas de control y monitorización de seguridad, que permitan mejorar la seguridad de los activos y de la infraestructura en los entornos empresariales. El proyecto se fundamenta en su totalidad en la Suite de Elastic, siendo un conjunto de herramientas que permiten un análisis sencillo de las fuentes de información existentes en los entornos empresariales, de las cuales se extrae información de seguridad, como por ejemplo DNS, Netflow, Eventos del sistema, Auditoria, etc. El objetivo consiste en utilizar las herramientas que proporciona Elastic para el análisis de los datos empresariales, para posteriormente integrarlos con Elastic SIEM y, mediante técnicas de Machine Learning, conseguir mejorar la prevención y detección de amenazas de seguridad. Esto es realmente útil para visualizar en tiempo real el estado de los activos y de la infraestructura, lo que permite mantener un control total de lo que está sucediendo en cada instante. Esto ayuda, en caso necesario, a una pronta actuación para la prevención o mitigación de una amenaza de seguridad. El producto final se convierte en un sistema integral de seguridad, que permite no solo controlar posibles amenazas de seguridad, sino que también proporciona información útil a través de la continua monitorización de los activos, pudiendo conocer el estado actual de la infraestructura en tiempo real.

Aquest projecte neix per a cobrir la creixent necessitat en les empreses quant a la implementació de sistemes de control i monitoratge de seguretat, que permetin millorar la seguretat dels actius i de la infraestructura en els entorns empresarials. El projecte es fonamenta íntegrament en la Suite de Elastic, sent un conjunt d'eines que permeten una anàlisi senzilla de les fonts d'informació existents en els entorns empresarials, de les quals s'extreu informació de seguretat, com per exemple DNS, Netflow, Esdeveniments del sistema, Auditoria, etc. L'objectiu consisteix a utilitzar les eines que proporciona Elastic per a l'anàlisi de les dades empresarials, per a posteriorment integrar-los amb Elastic SIEM i, mitjançant tècniques de Machine Learning, aconseguir millorar la prevenció i detecció d'amenaces de seguretat. Això és realment útil per a visualitzar en temps real l'estat dels actius i de la infraestructura, la qual cosa permet mantenir un control total del que està succeint en cada instant. Això ajuda, en cas necessari, a una ràpida actuació per a la prevenció o mitigació d'una amenaça de seguretat. El producte final es converteix en un sistema integral de seguretat, que permet no sols controlar possibles amenaces de seguretat, sinó que també proporciona informació útil a través del continu monitoratge dels actius, podent conèixer l'estat actual de la infraestructura en temps real.

This project was created to cover the growing need in companies for the implementation of control and security monitoring systems, which allow for the improvement of asset and infrastructure security in business environments. The project is based entirely on the Elastic Suite, a set of tools that allow a simple analysis of existing information sources in business environments, from which security information is extracted, such as DNS, Netflow, System Events, Audit, etc. The objective is to use the tools provided by Elastic for the analysis of business data, to later integrate them with Elastic SIEM and, by means of Machine Learning techniques, achieve improved prevention and detection of security threats. This is really useful to visualize in real time the state of the assets and the infrastructure, which allows to keep a total control of what is happening in every moment. This entails, if necessary, to prompt action for the prevention or mitigation of a security threat. The final product becomes a comprehensive security system, which allows not only to control possible security threats, but also provides useful information through continuous monitoring of assets, being able to know the current status of the infrastructure in real time.