Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red

Abstract

El objetivo principal planteado era la evaluación de la capacidad de una herramienta IDS como Zeek combinada con un entorno de visualización y explotación de datos como ELK Stack para analizar actividades sospechosas en la red. Adicionalmente se han integrado distintas fuentes de inteligencia de amenazas y se han correlacionado a través de ELK Stack con los datos obtenidos de Zeek IDS. Este documento describe todo el proceso llevado a cabo para diseñar, planificar, desplegar la solución y, posteriormente, analiza los resultados obtenidos. Adicionalmente incluye el código fuente de los distintos «scripts», «playbooks» de Ansible y ficheros de configuración de las distintas aplicaciones utilizadas. La metodología de gestión de proyectos en cascada ha permitido mantener un control constante del proyecto al mismo tiempo que ha facilitado su gestión. Las principales conclusiones que se han obtenido es que es totalmente posible y viable disponer de un sistema de detección de intrusos utilizando como base Zeek IDS y el conjunto ELK Stack. Además también se ha confirmado que este tipo de soluciones se puede desarrollar mediante herramientas de código abierto y manteniendo un bajo presupuesto. Por último también se ha concluido que es sencillo integrar fuentes de información sobre amenazas y que están sean correlacionadas con la información obtenida de Zeek.

The main objective was to assess the ability of an IDS tool like Zeek combined with a data visualization and exploitation environment like ELK Stack to analyze suspicious activity on the network. Additionally, different sources of threat intelligence have been integrated and correlated through ELK Stack with the data obtained from Zeek IDS. This document describes the entire process carried out to design, plan, deploy the solution and then analyze the results obtained. It also includes the source code of the different scripts, Ansible playbooks and configuration files of the different applications used. The waterfall project management methodology has allowed to maintain a constant control of the project while facilitating its management. The main conclusions obtained are that it is totally possible and viable to have an intrusion detection system using Zeek IDS and the ELK Stack as a base. It has also been confirmed that this type of solution can be developed using open source tools and maintaining a low budget. Finally, it has also been concluded that it is easy to integrate sources of information on threats and that they are correlated with the information obtained from Zeek.

L'objectiu principal plantejat era l'avaluació de la capacitat d'una eina IDS com Zeek combinada amb un entorn de visualització i explotació de dades com ELK Stack per a analitzar activitats sospitoses en la xarxa. Addicionalment s'han integrat diferents fonts d'intel·ligència d'amenaces i s'han correlacionat a través de ELK Stack amb les dades obtingudes de Zeek IDS. Aquest document descriu tot el procés dut a terme per a dissenyar, planificar, desplegar la solució i, posteriorment, analitza els resultats obtinguts. Addicionalment inclou el codi font dels diferents «scripts», «playbooks» de Ansible i fitxers de configuració de les diferents aplicacions utilitzades. La metodologia de gestió de projectes en cascada ha permès mantenir un control constant del projecte al mateix temps que ha facilitat la seva gestió. Les principals conclusions que s'han obtingut és que és totalment possible i viable disposar d'un sistema de detecció d'intrusos utilitzant com a base Zeek IDS i el conjunt ELK Stack. A més també s'ha confirmat que aquest tipus de solucions es pot desenvolupar mitjançant eines de codi obert i mantenint un baix pressupost. Finalment també s'ha conclòs que és senzill integrar fonts d'informació sobre amenaces i que estan siguin correlacionades amb la informació obtinguda de Zeek.