Centralización y análisis de eventos de seguridad con Graylog

Abstract

Cada día las empresas tienen más sistemas TIC que generan eventos de seguridad. Analizar estos eventos con editores de texto puede ser muy difícil. Además se tienen que analizar los eventos de cada sistema por separado. En este trabajo vamos a mostrar la utilidad de utilizar graylog, una herramienta para centralizar el análisis de eventos de seguridad. De esta forma, usando una única herramienta podremos analizar los eventos de varios sistemas de forma sencilla y además mostrar los resultados claramente, pudiendo mostrarlos de manera gráfica. Para ello utilizaremos dicha solución en un entorno cloud (aws) y realizaremos cuatro casos de uso. Analizaremos eventos SSH, DNS, WAF y firewall. Finalmente, compararemos esta solución con otras disponibles en el mercado. Concretamente haremos un análisis de Splunk y Eslastic. Tras finalizar el trabajo habremos comprobado como graylog nos ha permitido realizar los casos de uso de forma sencilla, obteniendo resultados de forma rápida y clara. Además podemos configurar gráficos para tener información disponible en todo momento.

Every day enterprises have more ICT systems that generate security events. Analizing these events with word processor can be very difficult. In addition, the events of each system must be analysed separately. In this paper we're going to show the utility of using graylog, a tool to centralize the analysis of security events. In this way, using a single tool we can analyse the events of several systems in a simple way and we can also show the results clearly, being able to show them graphically. To do this we will use this solution in a cloud environment (aws) and we will perform four use cases. We will analyse SSH, DNS, WAF and firewall events. Finally, we will compare this solution with others avalaible in the market. Specifically, we will do an analysis of splunk and Elastic. After finishing this work we will have verified how graylog has allowed us to carry out the use cases easily, obtaining result quickly and clearly. Also, we can configure graphics to have information available in every moment.

Cada dia les empreses tenen més sistemes TIC que generen esdeveniments de seguretat. Analitzar aquests esdeveniments amb editors de text pot ser molt difícil. A més s'han d'analitzar els esdeveniments de cada sistema per separat. En aquest treball mostrarem la utilitat d'utilitzar graylog, una eina per a centralitzar l'anàlisi d'esdeveniments de seguretat. D'aquesta forma, usant una única eina podrem analitzar els esdeveniments de diversos sistemes de manera senzilla i a més mostrar els resultats clarament, podent mostrar-los de manera gràfica. Per a això utilitzarem aquesta solució en un entorn cloud (aws) i realitzarem quatre casos d'ús. Analitzarem esdeveniments SSH, DNS, WAF i firewall. Finalment, compararem aquesta solució amb altres disponibles en el mercat. Concretament farem una anàlisi de Splunk i Eslastic. Després de finalitzar el treball haurem comprovat com graylog ens ha permès realitzar els casos d'ús de manera senzilla, obtenint resultats de manera ràpida i clara. A més podem configurar gràfics per a tenir informació disponible en tot moment.