Plataformas SOAR. Respuesta orquestada y automatizada de la seguridad

Abstract

El presente trabajo busca situar al lector en la importancia de la monitorización de las comunicaciones para aumentar la seguridad, haremos un repaso por las principales sistemas de monitorización de comunicaciones, profundizaremos en los SIEMs actuales y su evolución, para centrarnos en el conocimiento de las Plataformas SOAR (Security Orchestration, Automation and Response Solutions), de donde surgen, cuáles son sus componentes y la importancia que van a tener en el futuro ante el uso de IA para la realización de ataques informáticos. También se analizarán las soluciones SOAR actuales que está teniendo mayor éxito en el mercado y su importancia como herramienta que pueda actuar en tiempo real ante incidentes, previniendo daños mayores actuando de manera automática. A modo de laboratorio mostraremos los componentes necesarios para implementar una solución SOAR Open Source, para ello analizaremos el funcionamiento el Proyecto TheHive, describiremos la arquitectura, la instalación y fuuncionamiento. También analizaremos diferentes soluciones Cloud Pública centrándonos en la plataforma Amazon GuardDuty. Realizaremos pruebas de concepto del Proyecto TheHive y GuardDuty.

This paper seeks to place the reader on the importance of communication monitoring to increase security, we will review the main communication monitoring systems, we will delve into current SIEMs and their evolution, to focus on the knowledge of the Platforms SOAR (Security Orchestration, Automation and Response Solutions), where they arise, what are their components and the importance that they will have in the future in the face of the use of AI to carry out computer attacks. The current SOAR solutions that are having greater success in the market will also be analyzed and their importance as a tool that can act in real time in the event of incidents, preventing greater damage by acting automatically. As a laboratory we will show the necessary components to implement an Open Source SOAR solution, for this we will analyze the operation of the TheHive Project, we will describe the architecture, installation and operation. We will also analyze different Public Cloud solutions focusing on the Amazon GuardDuty platform. We will conduct proofs of concept for Project TheHive and GuardDuty.

El present treball busca situar el lector en la importància de la monitorització de les comunicacions per augmentar la seguretat, farem un repàs per les principals sistemes de monitorització de comunicacions, aprofundirem en els Siems actuals i la seva evolució, per centrar-nos en el coneixement de les Plataformes SOAR (Security Orchestration, Automation and Response Solutions), d'on sorgeixen, quins són els seus components i la importància que tindran en el futur davant l'ús d'IA per a la realització d'atacs informàtics. També s'analitzaran les solucions SOAR actuals que està tenint més èxit al mercat i la seva importància com a eina que pugui actuar en temps real davant incidents, prevenint danys majors actuant de manera automàtica. A manera de laboratori mostrarem els components necessaris per implementar una solució SOAR Open Source, per a això analitzarem el funcionament el Projecte TheHive, descriurem l'arquitectura, la instal·lació i fuuncionamiento. També analitzarem diferents solucions Cloud Pública centrant-nos en la plataforma Amazon GuardDuty. Farem proves de concepte de el Projecte TheHive i GuardDuty.