Integración de un correlacionador de eventos de seguridad de la red institucional
No Thumbnail Available
Date
2023
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
El presente trabajo de investigación tiene por objeto la implementación de un
correlacionador de eventos de seguridad en la red DMZ de la Universidad Técnica de
Ambato a través de la herramienta SIEM open source AlienVault OSSIM, la misma
que posee características además de la correlación de eventos, la evaluación de
vulnerabilidades, detección de intrusiones, monitoreo de comportamiento. La
aplicación de este sistema de seguridad permitirá un mejor control ante las diferentes
amenazas a las que están expuestos los activos de la red y ofrecerá al administrador
de seguridad filtrar eventos específicos para realizar diversas tareas de monitoreo,
vigilancia, diagnóstico y toma de decisiones en una sola interfaz de trabajo. Para
llevar a cabo la implementación, en primer lugar, se realiza un análisis de la situación
actual en base al levantamiento de información del entorno de trabajo, es decir, los
equipos que conforman este segmento de red, su distribución y diseño.
Posteriormente, en base a las necesidades de los administradores de red y seguridad,
y necesidades institucionales, se analiza y selecciona la herramienta que más se
adapta para el proceso. Finalmente, se procede a la instalación y configuración de la
herramienta. Se integra los activos seleccionados y se logra la configuración
necesaria. A través de políticas y acciones creadas se procede a su comprobación
mediante filtros y ataques (Fuerza bruta, Inyección SQL, XSS) que evidencien el
xv
funcionamiento y la obtención de resultados deseados. Entre los activos de los cuales
se recepta los eventos en tiempo real existen varios equipos críticos que generan un
alto flujo de datos, lo cual pone a prueba la capacidad de la herramienta de trabajar
con grandes cantidades de información. La implementación de sistemas y procesos
que ayuden a la mitigación de ataques y vulnerabilidades permite además cumplir
con normas y estándares de seguridad en las instituciones.
Description
The purpose of this research work is to implement a
security event correlator in the DMZ network of the Technical University of
Ambato through the open source SIEM tool AlienVault OSSIM, the same
which has features in addition to event connection, event evaluation,
vulnerabilities, intrusion detection, behavior monitoring. The
The application of this security system will allow a better control before the different
threats to which network assets are exposed and offer the administrator
filter specific events to perform various monitoring tasks,
surveillance, diagnosis and decision-making in a single work interface. Parachute
carry out the implementation, first of all, an analysis of the situation is carried out
based on the collection of information from the work environment, that is, the
equipment that make up this network segment, its distribution and design.
Subsequently, based on the needs of network and security administrators,
and institutional needs, the most suitable tool is analyzed and selected.
fit for the process. Finally, we proceed to the installation and configuration of the
tool. The selected assets are integrated and the configuration is achieved
necessary Through policies and actions created, it is verified
through filters and attacks (brute force, SQL injection, XSS) that show the
fifteenth
functioning and obtaining the desired results. Among the assets of which
events are received in real time there are several critical equipments that generate a
high data flow, which tests the capacity of the work tool
with large amounts of information. The implementation of systems and processes
that help to mitigate attacks and vulnerabilities also allows compliance
with norms and safety standards in institutions.
Keywords
SOFTWARE LIBRE, VULNERABILIDADES, ATAQUES, AMENAZAS, ALARMAS, CORRELACIONADOR DE EVENTOS, DASHBOARD, IDS, MONITOREO, SIEM