Model teòric de creació d'un SOC per a entorns al núvol amb les eines natives d'AZURE

Abstract

Aquesta memòria presenta un model teòric d'implementació de serveis SOC al núvol per la prestació de sistemes de seguretat d'infraestructures, hostatjades a Microsoft Azure. Es presenta un model d'infraestructura d'un client fictici anomenat ACME: es descriu breument el funcionament d¿un SOC i les eines que pot fer servir, es revisen alguns possibles orígens de dades de seguretat de la plataforma i es planteja com es pot fer arribar aquesta informació al SOC pel seu tractament. La metodologia seguida ha estat una descripció teòrica, ometent conscientment referències comercials específiques més enllà dels recursos propis existents al núvol de Microsoft Azure, per tal de fer un redactat agnòstic a les eines que, finalment, siguin implementades per desplegar els serveis i funcionalitats del SOC. El resultat ha estat una memòria estructurada en 7 capítols, on s'ha presentat cadascun dels components mencionats i s'ha procurat proporcionar al lector totes aquelles referències necessàries per poder aprofundir en cadascun dels elements tractats. La conclusió final del treball és que la quantitat d'informació que es pot generar dels recursos d'Azure, tant a nivell de registres com de mètriques, ofereix dues possibilitats diferents de tractament: una primera on es filtrarà en origen la informació crítica de seguretat i una segona en la que es farà un enviament massiu de tots els esdeveniments pel posterior tractament del SOC.

Esta memoria presenta un modelo teórico de implementación de servicios SOY a la nube por la prestación de sistemas de seguridad de infraestructuras, hospedadas en Microsoft Azure. Se presenta un modelo de infraestructura de un cliente ficticio denominado ACMÉ: se describe brevemente el funcionamiento de un ZOCO y las herramientas que puede usar, se revisan algunos posibles orígenes de datos de seguridad de la plataforma y se plantea como se puede hacer llegar esta información al ZOCO por su tratamiento. La metodología seguida ha sido una descripción teórica, omitiendo conscientemente referencias comerciales específicas más allá de los recursos propios existentes a la nube de Microsoft Azure, para hacer un redactado agnóstico a las herramientas que, finalmente, sean implementadas para desplegar los servicios y funcionalidades del ZOCO. El resultado ha sido una memoria estructurada en 7 capítulos, donde se ha presentado cada uno de los componentes mencionados y se ha procurado proporcionar al lector todas aquellas referencias necesarias para poder profundizar en cada uno de los elementos tratados. La conclusión final del trabajo es que la cantidad de información que se puede generar de los recursos de Azure, tanto a nivel de registros como de métricas, ofrece dos posibilidades diferentes de tratamiento: una primera donde se filtrará en origen la información crítica de seguridad y una segunda en la que se hará un envío masivo de todos los acontecimientos por el posterior tratamiento del ZOCO.

This report presents a theoretical model of SOY services implementation to the cloud for the provision of infrastructure security systems, hosted in Microsoft Azure. An infrastructure model of a fictitious client called ACMÉ is presented: the functioning of a ZOCO and the tools it can use are briefly described, some possible sources of platform security data are reviewed and it is proposed how this information can be delivered to the ZOCO for processing. The methodology followed has been a theoretical description, consciously omitting specific commercial references beyond the existing own resources to the Microsoft Azure cloud, to make a drafting agnostic to the tools that, finally, are implemented to deploy the services and functionalities of the ZOCO. The result has been a report structured in 7 chapters, where each of the mentioned components has been presented and it has been tried to provide the reader with all the necessary references to be able to deepen in each of the treated elements. The final conclusion of the work is that the amount of information that can be generated from Azure resources, both at the level of logs and metrics, offers two different possibilities of treatment: a first one where the critical security information will be filtered at source and a second one where a massive sending of all the events will be made by the subsequent ZOCO treatment.