Despliegue de la herramienta "Zeek" y su posterior explotación para el análisis de actividades sospechosas en la red

La finalidad principal de este trabajo es valorar qué ventajas nos ofrece la implementación de un sistema de detección de intrusiones en combinación con herramientas de transformación de logs, para su almacenaje en bases de datos NoSQL y su posterior explotación mediante el uso de herramientas avanz...

Descripción completa

Detalles Bibliográficos
Autor: Álvarez Rubio, Sergio
Tipo de recurso: tesis de maestría
Fecha de publicación:2019
País:España
Institución:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/107146
Acceso en línea:http://hdl.handle.net/10609/107146
Access Level:acceso abierto
Palabra clave:network intrusion detection system
patient security
Zeek-ELK Stack
seguridad del paciente
sistema de detección de intrusos en la red
sistema de detecció d'intrusos a la xarxa
seguretat del pacient
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
Descripción
Sumario:La finalidad principal de este trabajo es valorar qué ventajas nos ofrece la implementación de un sistema de detección de intrusiones en combinación con herramientas de transformación de logs, para su almacenaje en bases de datos NoSQL y su posterior explotación mediante el uso de herramientas avanzadas de creación de distintas gráficas ,que nos ayuden a la detección de comportamientos anómalos en nuestra red dentro del ámbito laboral y a coste reducido, aprovechando los recursos disponibles. La particularidad de nuestro entorno laboral hace que estén conectados a la red muchos equipos electromédicos con Windows embebido y, dada la dificultad de aplicación de parches de seguridad, suponen una importante amenaza para la seguridad de la información y, más concretamente, para la seguridad del paciente. Para ello, se ha utilizado Zeek como Sistema de Detección de Intrusiones en Red (NIDS), ELK Stack para la transformación de logs (Beats), como almacén de datos (Elastic Search) y para la posterior explotación y visualización gráfica de la información, Machine Learning y SIEM (Kibana). Se ha utilizado hardware virtualizado para ELK Stack en Windows Server 2012 R2 y PCs, cuyo valor residual es 0 para instalar Zeek en Linux como Sniffer de Red utilizando configuración de puertos espejo en switch gestionado. Se ha podido visualizar varias anomalías, con lo que no ha sido necesaria la simulación de ataques o infecciones.