Implementación de las operaciones y la gestión de un SOC en una institución financiera partiendo desde cero utilizando soluciones SIEM

Abstract

La finalidad para realizar este proyecto es la muestra desde principio a fin de la implementación de un centro de monitorización de amenazas de ciberseguridad (SOC), un tema muy de actualidad y con mucho potencial hoy en día. Este centro basará su monitorización en soluciones SIEM a nivel profesional. La metodología aplicada se basa en dos pilares, se implementarán por un lado las operaciones del centro (implementaciones, monitorización, configuración) y, por otro lado, todos los aspectos relacionados con la gestión, estos últimos realizados principalmente por la dirección del centro. El contexto empleado se centra en la aplicación de un SOC para una gran empresa, en este caso del sector financiero. Se debe implementar un SOC funcional en un periodo relativamente corto debido a requerimientos por parte de las entidades supervisoras a nivel nacional y europeo, ya que es una de las condiciones mínimas exigidas para poder operar con la licencia proporcionada por este organismo. Al finalizar el proyecto, se ha podido proporcionar al cliente (compañía Fincomp) con la implementación de dos soluciones SIEM (Qradar y Splunk), junto con los procedimientos para la gestión de los diferentes aspectos del día a día, como procedimiento de respuesta ante desastres, creación de casos de uso o entrenamiento de nuevos analistas. Todo ello sin desviarse demasiado del presupuesto inicial.

The purpose of carrying out this project is to show, from the beginning till the end, the implementation of a security operation center (SOC), a very trend topic with great potential today. This center will base its monitoring on SIEM solutions at a professional level. The applied methodology is based on two pillars, the SOC operations (implementations, monitoring, configuration) will be implemented on the one hand and, on the other hand, all aspects related to management, the latter carried out mainly by the center's management. As a context, the project focuses on the application of a SOC for a large company, in this case the financial sector. A functional SOC must be implemented in a relatively short period due to requirements by regulators at national and European level, since it is one of the minimum conditions required to operate with the license that they provide. At the end of the project, the client (Fincomp company) was able to perform the implementation of two SIEM solutions (Qradar and Splunk), together with the procedures for managing the different aspects of day-to-day life, like a disaster response procedure for example, creation of use cases or training of new analysts. All this without deviating too much from the initial budget.

La finalitat per a realitzar aquest projecte és la mostra des de principi a fi de la implementació d'un centre de monitorització d'amenaces de ciberseguretat (SOC), un tema molt d'actualitat i amb molt potencial avui dia. Aquest centre basarà la seva monitorització en solucions SIEM a nivell professional. La metodologia aplicada es basa en dos pilars, s'implementaran d'una banda les operacions de centre (implementacions, monitorització, configuració) i, d'altra banda, tots els aspectes relacionats amb la gestió, aquests últims realitzats principalment per la direcció de centre. El context empleat es centra en l'aplicació d'un SOC per a una gran empresa, en aquest cas de el sector financer. S'ha de implementar un SOC funcional en un període relativament curt a causa de requeriments per part de les entitats supervisores a nivell nacional i europeu, ja que és una de les condicions mínimes exigides per poder operar amb la llicència proporcionada per aquest organisme. A l'acabar el projecte, s'ha pogut proporcionar el client (companyia Fincomp) amb la implementació de dues solucions SIEM (Qradar i Splunk), juntament amb els procediments per a la gestió dels diferents aspectes del dia a dia, com a procediment de resposta davant desastres , creació de casos d'ús o entrenament de nous analistes. Tot això sense desviar-massa del pressupost inicial.