Security analytics with Elastic

Abstract

Els ciberatacs poden ser molt diversos i els diferents sistemes d'informació solen estar distribuïts. En moltes ocasions, aquests comportaments delictius es veuen reflectits als diferents logs. Per tant, és necessari tenir-los identificats, controlats i revisar-los de manera habitual. No obstant això, a causa de la quantitat de logs que es poden arribar a generar, aquesta tasca esdevé molt costosa. Obtenir logs de diferents orígens i processar-los conjuntament, ens permet veure fluxos i accions traçables que, revisades individualment, no són tan evidents. Realitzar aquest seguiment no és trivial i és necessari disposar d'alguna utilitat o eina per poder centralitzar aquesta informació i poder tractar-la. Per tal de centralitzar tota aquesta informació, en aquest treball s'utilitzarà el Stack d'ElasticSearch. A més, disposa d'un seguit de productes per tractar, emmagatzemar i cercar informació. Recentment, s'ha publicat una nova funcionalitat que és l'ElasticSearch SIEM, que ens permet detectar diferents anomalies. Per tal d¿avaluar aquest producte, s'han planificat un seguit d'escenaris en format pilot que contenen les tecnologies més habituals que es poden utilitzar en una organització. Mitjançant la simulació de diferents atacs, generarem dades per alimentar l'ElasticSearch i utilitzar la funcionalitat del SIEM per tractar-los. A causa de la popularització del Cloud Computing en l'àmbit empresarial, el segon escenari proposat es basarà en un cas d'ús real utilitzant els serveis d'Amazon Web Service d'un sistema productiu. L'últim escenari es basarà en el funcionament del Machine Learning que ens ofereix la versió de pagament d'ElasticSearch per tractar els logs obtinguts anteriorment.

Los ciberataques pueden ser muy diversos y los diferentes sistemas de información suelen estar distribuidos. En muchas ocasiones, estos comportamientos delictivos se ven reflejados a los diferentes logs. Por lo tanto, es necesario tenerlos identificados, controlados y revisarlos de manera habitual. Sin embargo, a causa de la cantidad de logs que se pueden llegar a generar, esta tarea acontece muy costosa. Obtener logs de diferentes orígenes y procesarlos conjuntamente, nos permite ver flujos y acciones trazables que, revisadas individualmente, no son tan evidentes. Realizar este seguimiento no es trivial y es necesario disponer de alguna utilidad o herramienta para poder centralizar esta información y poder tratarla. Para centralizar toda esta información, en este trabajo se utilizará el Stack de ElasticSearch. Además, dispone de una serie de productos para tratar, almacenar y buscar información. Recientemente, se ha publicado una nueva funcionalidad que es la ElasticSearch SIEM, que nos permite detectar diferentes anomalías. Para evaluar este producto, se han planificado una serie de escenarios en formato piloto que contienen las tecnologías más habituales que se pueden utilizar en una organización. Mediante la simulación de diferentes ataques, generaremos datos para alimentar el ElasticSearch y utilizar la funcionalidad del SIEM para tratarlos. A causa de la popularización del Cloud Computing en el ámbito empresarial, el segundo escenario propuesto se basará en un caso de uso real utilizando los servicios de Amazon Web Service de un sistema productivo. El último escenario se basará en el funcionamiento del Machine Learning que nos ofrece la versión de pago de ElasticSearch para tratar los logs obtenidos anteriormente.

Cyberattacks can be very diverse and the information systems are often distributed. In many cases, these criminal behaviours are reflected in the different logs. Therefore, they often need to be identified, monitored and reviewed. However, due to the amount of logs that can be generated, this task becomes very difficult. Obtaining logs from different sources and processing them together allows us to see traceable flows and actions that, individually reviewed, are not so obvious. Carrying out this monitoring is not trivial and it is necessary to have some utility or tool to be able to centralize this information and be able to process it. In order to centralize all this information, the ElasticSearch Stack will be used in this project. ElasticSearch has different products to store and search information. Recently, ElasticSearch SIEM has been published. It is a new feature that allows us to detect different anomalies. I have planned some pilot scenarios to evaluate this product. They will contain the most common technologies that can be present in an organization. By simulating different attacks, we will generate data to add it in ElasticSearch and use the SIEM functionality to discover anomalies. Due to the popularity of Cloud Computing in business, the second scenario proposed is based on a real case that uses the services of Amazon Web Service on a productive system. The last scenario will be based on the Machine Learning features. It is the premium version of ElasticSearch and it will be used to process the logs obtained above.