Despliegue de la herramienta "Zeek" y su posterior explotación para el análisis de actividades sospechosas en la red
La finalidad principal de este trabajo es valorar qué ventajas nos ofrece la implementación de un sistema de detección de intrusiones en combinación con herramientas de transformación de logs, para su almacenaje en bases de datos NoSQL y su posterior explotación mediante el uso de herramientas avanz...
| Autor: | |
|---|---|
| Tipo de recurso: | tesis de maestría |
| Fecha de publicación: | 2019 |
| País: | España |
| Institución: | Universitat Oberta de Catalunya (UOC) |
| Repositorio: | O2, repositorio institucional de la UOC |
| OAI Identifier: | oai:openaccess.uoc.edu:10609/107146 |
| Acceso en línea: | http://hdl.handle.net/10609/107146 |
| Access Level: | acceso abierto |
| Palabra clave: | network intrusion detection system patient security Zeek-ELK Stack seguridad del paciente sistema de detección de intrusos en la red sistema de detecció d'intrusos a la xarxa seguretat del pacient Computer security -- TFM Seguretat informàtica -- TFM Seguridad informática -- TFM |
| Sumario: | La finalidad principal de este trabajo es valorar qué ventajas nos ofrece la implementación de un sistema de detección de intrusiones en combinación con herramientas de transformación de logs, para su almacenaje en bases de datos NoSQL y su posterior explotación mediante el uso de herramientas avanzadas de creación de distintas gráficas ,que nos ayuden a la detección de comportamientos anómalos en nuestra red dentro del ámbito laboral y a coste reducido, aprovechando los recursos disponibles. La particularidad de nuestro entorno laboral hace que estén conectados a la red muchos equipos electromédicos con Windows embebido y, dada la dificultad de aplicación de parches de seguridad, suponen una importante amenaza para la seguridad de la información y, más concretamente, para la seguridad del paciente. Para ello, se ha utilizado Zeek como Sistema de Detección de Intrusiones en Red (NIDS), ELK Stack para la transformación de logs (Beats), como almacén de datos (Elastic Search) y para la posterior explotación y visualización gráfica de la información, Machine Learning y SIEM (Kibana). Se ha utilizado hardware virtualizado para ELK Stack en Windows Server 2012 R2 y PCs, cuyo valor residual es 0 para instalar Zeek en Linux como Sniffer de Red utilizando configuración de puertos espejo en switch gestionado. Se ha podido visualizar varias anomalías, con lo que no ha sido necesaria la simulación de ataques o infecciones. |
|---|