Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red

Abstract

La finalidad de este proyecto es implementar la herramienta Zeek IDS para el análisis de anomalías de seguridad en el tráfico de red, e integrarlo con la solución ELK (Elasticsearch, Logstash y Kibana), a través de las cuales se realizará el envío de las detecciones realizadas por el sistema de detección de intrusiones, así como el almacenado, indexado y representación de estos datos. Además, se incluye a la funcionalidad de Zeek la integración del proyecto BZAR de Mitre ATT&CK, a través del cual, se amplía la información de las detecciones de Zeek, añadiendo la tipificación del ataque de seguridad detectado. Por último, con la integración de ambas tecnologías en el entorno de trabajo preparado, se construyó un sistema de alertas a través del cual, se generan notificaciones siempre y cuando se detecten en los datos generados por Zeek IDS conexiones hacia sitios web maliciosos de tipo botnet. Además, se incluye a la funcionalidad de Zeek la integración del proyecto BZAR de Mitre ATT&CK, a través del cual, se amplía la información de las detecciones de Zeek, añadiendo la categorización del ataque de seguridad detectado. Toda esta funcionalidad ha sido posible conseguirla a través de una metodología de trabajo de investigación de los productos y posterior aplicación de los conocimientos adquiridos a la práctica. Finalmente, las conclusiones obtenidas son muy positivas, debido al grado de aprendizaje obtenido en este proyecto, así como la utilidad de la solución desarrollada, la cual podría ser aplicada en entornos reales de pequeñas y medianas empresas que deseen añadir una capa más de seguridad a sus entornos.

The purpose of this project is to implement the Zeek IDS tool for the analysis of security anomalies in network traffic, and to integrate it with the ELK solution (Elasticsearch, Logstash and Kibana), through which the detections made by the intrusion detection system will be sent, as well as the storage, indexing and representation of this data. Once both technologies are integrated into the prepared work environment, the intention is to include an alert system through which, notifications are generated whenever connections to malicious botnet-type websites are found in the data generated by Zeek IDS. In addition to Zeek's functionality, the integration of Mitre ATT&CK's BZAR project have been made, through which, the information of Zeek's detections is extended, adding the categorization of the security attack which was detected. All this functionality has been possible to achieve through a working methodology of product research and subsequent application of the knowledge acquired to practice. Finally, the conclusions obtained are very positive, due to the degree of learning obtained in this project, as well as the usefulness of the solution developed, which could be applied in real environments, like small and medium enterprises that wish to add an extra layer of security to their environments.

La finalitat d'aquest projecte és implementar l'eina Zeek IDS per a l'anàlisi d'anomalies de seguretat en el trànsit de xarxa, i integrar-lo amb la solució ELK (Elasticsearch, Logstash i Kibana), a través de les quals es realitzarà l'enviament de les deteccions realitzades pel sistema de detecció d'intrusions, així com l'emmagatzemat, indexat i representació d'aquestes dades. A més, s'inclou a la funcionalitat de Zeek la integració del projecte BZAR de Mitre ATT&CK, a través del qual, s'amplia la informació de les deteccions de Zeek, afegint la tipificació de l'atac de seguretat detectat. Finalment, amb la integració de totes dues tecnologies a l'entorn de treball preparat, es va construir un sistema d'alertes a través del qual, es generen notificacions sempre que es detectin en les dades generades per Zeek IDS connexions cap a llocs web maliciosos de tipus xarxa de zombis. A més, s'inclou a la funcionalitat de Zeek la integració del projecte BZAR de Mitre ATT&CK, a través del qual, s'amplia la informació de les deteccions de Zeek, afegint la categorització de l'atac de seguretat detectat. Tota aquesta funcionalitat ha estat possible aconseguir-la a través d'una metodologia de treball de recerca dels productes i posterior aplicació dels coneixements adquirits a la pràctica. Finalment, les conclusions obtingudes són molt positives, a causa del grau d'aprenentatge obtingut en aquest projecte, així com la utilitat de la solució desenvolupada, la qual podria ser aplicada en entorns reals de petites i mitjanes empreses que desitgin afegir una capa més de seguretat als seus entorns.