Detección de anomalías con Elastic Stack

Abstract

The dependence on technology makes companies nowday implement security through multiple levels in order to prevent the company from having problems of threats against information security and affecting its internal resources in a critical way. In this Master's thesis, the security solution based on the 'all-in-one' architecture of Wazuh and Elastic Stack is implemented as a laboratory, in order to carry out proofs of concept for the detection of anomalies that occur in the devices on a LAN network, in this case specifically for servers that are in a DMZ, which makes up the Wazuh agent. In this way, the security contribution proactively with the collection of logs in real time, allows this system in question to generate alerts in case of attempted attacks and execute Active Response, an action that allows mitigating the detected incident. This project promotes the opensource software solutions, validating that it is a complete business security solution in the context of log data analysis to secure host of the internal business network. It is concluded that the solution is ideal for business environments of any kind, even more for small environments such as ours simulated. Considering that the way to automate responses against security incidents proposes a great alternative in the field of information technology.

La dependencia de la tecnología hace que las empresas en la actualidad implementen seguridad a varios niveles con la finalidad de evitar que la empresa tenga problemas de amenazas contra la seguridad de la información y afecte a sus recursos internos de forma crítica. En este trabajo de fin de Máster se implementa la solución de seguridad basada en la arquitectura 'todo en uno' de Wazuh y Elastic Stack a manera de laboratorio, con la finalidad de realizar pruebas de concepto para la detección de anomalías que se presentan en los dispositivos de una red LAN, en este caso en concreto del proyecto, para servidores que están en una DMZ, que compone al agente de Wazuh. De esta manera, el aporte de seguridad de forma proactiva con la recolección de logs en tiempo real, permite que este sistema en cuestión genere alertas en caso de intentos de ataques y ejecute Active Response, acción que permita mitigar el incidente detectado. Este proyecto promueve las soluciones basadas en software libre, validando que es una solución completa de seguridad empresarial en el contexto de analisis de datos de registro para securizar host de la red interna empresarial. Se llega a concluir que la solución es idónea para entornos empresariales de cualquier índole, más aún para entorno pequeños como lo simulado. Considerando que la forma de automatizar las respuestas contra incidentes de seguridad propone una gran alternativa en el campo de las tecnologías de la información.

La dependència de la tecnologia fa que les empreses en l'actualitat implementin seguretat a diversos nivells amb la finalitat d'evitar que l'empresa tingui problemes d'amenaces contra la seguretat de la informació i afecti els seus recursos interns de manera crítica. En aquest treball de fi de màster s'implementa la solució de seguretat basada en l'arquitectura "tot en un" de Wazuh i Elastic Stack a manera de laboratori, amb la finalitat de realitzar proves de concepte per a la detecció d'anomalies que es presenten en els dispositius d'una xarxa LAN, en aquest cas en concret de el projecte, per a servidors que estan en una DMZ, que compon a l'agent de Wazuh. D'aquesta manera, l'aportació de seguretat de forma proactiva amb la recol·lecció de logs en temps real, permet que aquest sistema en qüestió generi alertes en cas d'intents d'atacs i executi Active Response, acció que permeti mitigar l'incident detectat. Aquest projecte promou les solucions basades en programari lliure, validant que és una solució completa de seguretat empresarial en el context d'anàlisi de dades de registre per securitzar host de la xarxa interna empresarial. S'arriba a concloure que la solució és idònia per a entorns empresarials de qualsevol índole, més encara per a entorn petits com el simulat. Atès que la forma d'automatitzar les respostes contra incidents de seguretat proposa una gran alternativa en el camp de les tecnologies d ela informació.