Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red

Abstract

La finalidad de este trabajo es desplegar un sistema de detección de intrusiones y otros eventos anómalos en la red. El objetivo es detectar anomalías en tiempo real pero también disponer de una base de datos de información histórica para la investigación de ataques, intrusiones y sus consecuencias y gravedad. Se despliega Zeek-IDS como sensor de captura de trafico de red y Elasticsearch como base de datos de información y esta combinación se ha mostrado de enorme potencial y versatilidad. Por un lado, se consigue la captura pasiva de la información de los protocolos de red y, de esta forma, sin impacto en las operaciones y, por otro, se asegura su almacenamiento en un sistema escalable y flexible que permite acceso a la información en tiempo real, su procesamiento y análisis, pero también, el acceso a algoritmos de Machine Learning para detección de anomalías de forma desatendida. Hoy, la gestión continua de eventos ha sustituido el análisis de respuesta a incidentes, de ayer, y la solución desplegada, mediante Kibana y Elastic SIEM proporcionan el interfaz, herramientas y funcionalidades necesarios para la monitorización de la actividad de red y gestión de incidentes. La configuración de reglas de detección y también de ElastAlert, como sistema de notificación, ha creado un entorno óptimo para supervisión de la red de forma autónoma y con gestión integrada de la investigación de incidentes.

The purpose of this work is to deploy an intrusion detection system and other anomalous events on the network. The objective is to detect anomalies in real-time but also to have a database of historical information for the investigation of attacks, intrusions, and their consequences and severity. Zeek-IDS is deployed as a network traffic capture sensor and Elasticsearch as an information database and this combination has shown enormous potential and versatility. On the one hand, passive capture of information from network protocols is achieved and, thus, without impact on operations and, on the other, its storage is ensured in a scalable and flexible system that allows access to information in real-time, its processing and analysis, but also, access to machine learning algorithms for detecting anomalies unattended. Today, continuous event management has replaced yesterday's incident response analysis, and the solution deployed, using Kibana and Elastic SIEM, provides the interface, tools and functionalities necessary for monitoring network activity and incident management. The configuration of detection rules and also of ElastAlert, as a notification system, has created an optimal environment for autonomous network monitoring and with integrated management of incident investigation.

La finalitat d'aquest treball és desplegar un sistema de detecció d'intrusions i altres esdeveniments anòmals en la xarxa. L'objectiu és detectar anomalies en temps real però també disposar d'una base de dades d'informació històrica per a la recerca d'atacs, intrusions i les seves conseqüències i gravetat. Es desplega Zeek-IDS com a sensor de captura de trafico de xarxa i Elasticsearch com a base de dades d'informació i aquesta combinació s'ha mostrat d'enorme potencial i versatilitat. D'una banda, s'aconsegueix la captura passiva de la informació dels protocols de xarxa i, d'aquesta manera, sense impacte en les operacions i, per un altre, s'assegura el seu emmagatzematge en un sistema escalable i flexible que permet accés a la informació en temps real, el seu processament i anàlisi, però també, l'accés a algorismes de Machine Learning per a detecció d'anomalies de forma desatesa. Avui, la gestió contínua d'esdeveniments ha substituït l'anàlisi de resposta a incidents, d'ahir, i la solució desplegada, mitjançant Kibana i Elastic SIEM proporcionen la interfície, eines i funcionalitats necessaris per al monitoratge de l'activitat de xarxa i gestió d'incidents. La configuració de regles de detecció i també de ElastAlert, com a sistema de notificació, ha creat un entorn òptim per a supervisió de la xarxa de manera autònoma i amb gestió integrada de la recerca d'incidents.