Anàlisis i implementació d'un SIEM en l'àmbit empresarial

Abstract

Aquest TFM te com a objectiu explorar una eina molt concreta, com és el SIEM Wazuh, juntament amb la pila Elastic, per tal d'analitzar els logs generats en un sistema i evaluar-los mitjançant eines de Machine Learning per determinar si s'està produint un incident de seguretat concret com és un atac de Ransomware amb Cryptolocker. La configuració de la solució s'ha realitzat en un entorn empresarial amb una configuració on premise, mitjançant Docker i utilitzant les solucions: Elastic Stack per emmagatzemar i gestionar els logs de manera centralitzada, Wazuh per recollir els logs i generar alertes de seguretat, la solució Machine Learning d'Elasticsearch per detectar i notificar incidents de seguretat, i, finalment, MS Teams per centralitzar la recepció de les alertes. Les conclusions de la POC han estat satisfactòries en quant a la detecció de l'incident de seguretat, utilitzant la configuració de Machine Learning de Elasticsearch. Tot i això, s'insta a extendre la solució de seguretat amb més opcions per ampliar la protecció, ja què, aquest TFM està molt centrat en un tipus d'incident de seguretat molt concret, i, la seguretat empresarial és més complexa.

This TFM explores the SIEM Wazuh with Elastic stack, so that to analyse the logs generated in a system and evaluate them with Machine Learning to detect a Ransomware attack with Cryptolocker. The solution has been done in a business environment with an on premise Docker configuration and it use the platforms: Elastic stack to centralize storage and manage the logs, Wazuh to collect logs and generate security alerts, the Elasticsearch's machine learning to detect and inform security incidents, and finally MS Teams to centralize the alert's collections. The findings of this POC have been satisfactory in terms of detecting this security incident with Elasticsearch's machine learning configuration, although it is recommended to extend the security solution with more options to increase protection, as this TFM is highly focused on a very specific security incident, and business security is more complex.

Este TFM tiene como objetivo explorar una herramienta, como es el SIEM Wazuh, y la pila Elastic, para analizar los logs generados en un sistema y evaluarlos con herramientas de Machine Learning para determinar si se está produciendo un incidente de seguridad concreto como es un ataque de Ransomware con Cryptolocker. La configuración de la solución se ha realizado en un entorno empresarial con una configuración on premise, con Docker y utilizando las soluciones: Elastic Stack para almazenar y gestionar los logs de forma centralizada, Wazuh para recoger los logs y generar alertas de seguridad, la solución Machine Learning de Elasticsearch para detectar y notificar incidentes de seguridad, y, finalmente, MS Teams para centralizar la recepción de las alertas. Las conclusiones de la POC han sido satisfactorias en lo referente a la detección del incidente de seguridad, utilizando la configuración de Machine Learning de Elasticsearch. Sin embargo, se insta a extender la solución de seguridad con más opciones para ampliar la protección, ya que, este TFM está centrado en un tipo de incidente de seguridad muy concreto, y, la seguridad empresarial es más compleja.