SIEM en ELK i Kibana

Abstract

La finalitat del treball és implementar un SIEM mitjançant la pila ELK de codi obert. Per fer-ho s’ha fet servir l’eina Docker que permet virtualitzar els serveis. Un cop implementada la pila i per tal de simular un funcionament real, s’han afegit serveis que generen dades i d’altres que permeten capturar-les, d’aquesta manera la implementació és totalment funcional i amb les dades es podrà generar informació útil pel SIEM. Aquesta informació permetrà a l’equip de seguretat respondre a les amenaces de manera més eficient localitzant-les un cop es produeixen o obtenint possibles evidències del que hagi pogut succeir. Per dur a terme la implementació s’ha optat per l’ús d’una metodologia àgil que permeti més facilitat a l’hora d’adaptar-se a possibles canvis i els resultats d’aquesta han permès implementar el sistema en la seva totalitat en un entorn controlat, però escalable a altres entorns. Finalment, s’ha pogut comprovar el funcionament de tot el SIEM i el seu funcionament amb les dades capturades.

La finalidad del trabajo es implementar un SIEM mediante la pila ELK de código abierto. Para hacerlo se ha usado la herramienta Docker que permite virtualizar los servicios. Una vez implementada la pila y para simular un funcionamiento real, se han añadido servicios que generan datos y otros que permiten capturarlas, de este modo la implementación es totalmente funcional y con los datos se podrá generar información útil por el SIEM. Esta información permitirá al equipo de seguridad responder a las amenazas de manera más eficiente localizándolas una vez se producen u obteniendo posibles evidencias del que haya podido suceder. Para llevar a cabo la implementación se ha optado por el uso de una metodología ágil que permita más facilidad en la hora de adaptarse a posibles cambios y los resultados de esta han permitido implementar el sistema en su totalidad en un entorno controlado, pero escalable a otros entornos. Finalmente, se ha podido comprobar el funcionamiento de todo lo SIEM y su funcionamiento con los datos capturados.

In this work, a SIEM solution has been implemented using the ELK stack and a set of virtualized containerized services using Docker to generate data that will later be captured and analyzed by the SIEM. This information will allow the security team to respond to threats as efficiently as possible while they are occurring or to obtain possible evidence of what has happened. In order to carry out the implementation, an agile methodology has been chosen to allow an easier adaptation to possible changes, and the results have allowed the system to be implemented in its entirety in a controlled environment, but scalable to others. Finally, it has been possible to test the functions of the entire SIEM and its operation with the captured data.