Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red

La finalidad de este trabajo es desplegar un sistema de detección de intrusiones y otros eventos anómalos en la red. El objetivo es detectar anomalías en tiempo real pero también disponer de una base de datos de información histórica para la investigación de ataques, intrusiones y sus consecuencias...

Descripción completa

Detalles Bibliográficos
Autor: Paulo Carvalho, Adelino Manuel
Tipo de recurso: tesis de maestría
Fecha de publicación:2020
País:España
Institución:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/118586
Acceso en línea:http://hdl.handle.net/10609/118586
Access Level:acceso abierto
Palabra clave:Zeek
SIEM
IDS
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
Descripción
Sumario:La finalidad de este trabajo es desplegar un sistema de detección de intrusiones y otros eventos anómalos en la red. El objetivo es detectar anomalías en tiempo real pero también disponer de una base de datos de información histórica para la investigación de ataques, intrusiones y sus consecuencias y gravedad. Se despliega Zeek-IDS como sensor de captura de trafico de red y Elasticsearch como base de datos de información y esta combinación se ha mostrado de enorme potencial y versatilidad. Por un lado, se consigue la captura pasiva de la información de los protocolos de red y, de esta forma, sin impacto en las operaciones y, por otro, se asegura su almacenamiento en un sistema escalable y flexible que permite acceso a la información en tiempo real, su procesamiento y análisis, pero también, el acceso a algoritmos de Machine Learning para detección de anomalías de forma desatendida. Hoy, la gestión continua de eventos ha sustituido el análisis de respuesta a incidentes, de ayer, y la solución desplegada, mediante Kibana y Elastic SIEM proporcionan el interfaz, herramientas y funcionalidades necesarios para la monitorización de la actividad de red y gestión de incidentes. La configuración de reglas de detección y también de ElastAlert, como sistema de notificación, ha creado un entorno óptimo para supervisión de la red de forma autónoma y con gestión integrada de la investigación de incidentes.