Implantació d'un sistema de gestió d'esdeveniments i informació de seguretat per una organització

Abstract

Donat l'actual paradigma de processament massiu de dades i incidents de seguretat on la gestió és cada cop més complexa, i donat el número d'actius d'una organització, es proposa la integració d'una plataforma de gestió d'esdeveniments i informació de seguretat. Per el projecte SIEM (security information and event management) s'ha escollit la plataforma ElasticSearch-LogStash-Kibana (ELK) una solució Open Source, que permet la gestió de logs, a aquesta plataforma s'afegirà Wazuh una solució de gestió i creació d'esdeveniments de seguretat que monitoritza les activitats d'una màquina i crea esdeveniments segons la seva gravetat per després poder prendre mesures de protecció. Per poder incorporar els esdeveniments de xarxa, s'inclourà Logstash Netflow, un col·lector, normalitzador i visualitzador de fluxos de xarxa que permet tindre un històric del tràfic i permet fer un anàlisis detallat dels possibles incidents de seguretat. El resultat potencial que s'espera és crear una plataforma que agrupa totes les possibles eines de seguretat que ens ajudin a la resolució de problemes en un sistema centralitzat, fàcil de controlar i ens permet tindre la capacitat de visualitzar esdeveniments de seguretat, realitzar anàlisi forense d'incidents i avançar-nos a possibles amenaces.

Given the current paradigm of mass data processing and security incidents where the management is more complex every time, and given the number of assets of an organization, the integration of a security information and event management platform is proposed. For the SIEM project the platform ElasticSearch-LogStash-Kibana (ELK) has been chosen. An open source solution which allows the management of logs. Wazuh will be added to this platform: a management and creation of security events solution which monitorizes the activities from a machine and creates events according to their importance to be able to prevent them later. In order to incorporate the events, Logstash Netflow will be added: a collector, normalizer and visualizer of net flow which allows to have a history for the traffic and will allow to make a detailed analysis of the possible security incidents. The potential result is to create a platform which gathers all the possible security tools which might help to the resolution of problems in a centralized system, easy to control and which allows us to be able to visualize security events, make forensic analysis of incidents, and to anticipate possible threats.

Dado el actual paradigma de procesamiento masivo de datos e incidentes de seguridad donde la gestión es cada vez más compleja, y dado el número de activos de una organización, se propone la integración de una plataforma de gestión de eventos e información de seguridad. Para el proyecto SIEM (security information and event management) se ha escogido la plataforma ElasticSearch-LogStash-Kibana (ELK) una solución Open Source, que permite la gestión de logs, a esta plataforma añadirá Wazuh una solución de gestión y creación de eventos de seguridad que monitoriza las actividades de una máquina y crea eventos según su gravedad para luego poder tomar medidas de protección. Para poder incorporar los eventos de red, se incluirá Logstash NetFlow, un colector, normalizador y visualizador de flujos de red que permite tener un histórico del tráfico y permite hacer un análisis detallado de los posibles incidentes de seguridad. El resultado potencial que se espera es crear una plataforma que agrupa todas las posibles herramientas de seguridad que nos ayuden a la resolución de problemas en un sistema centralizado, fácil de controlar y nos permite tener la capacidad de visualizar eventos de seguridad, realizar análisis forense de incidentes y adelantarnos a posibles amenazas.