Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red

La finalidad de este trabajo es desplegar un sistema de detección de intrusiones y otros eventos anómalos en la red. El objetivo es detectar anomalías en tiempo real pero también disponer de una base de datos de información histórica para la investigación de ataques, intrusiones y sus consecuencias...

ver descrição completa

Detalhes bibliográficos
Autor: Paulo Carvalho, Adelino Manuel
Tipo de documento: dissertação
Data de publicação:2020
País:España
Recursos:Universitat Oberta de Catalunya (UOC)
Repositório:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/118586
Acesso em linha:http://hdl.handle.net/10609/118586
Access Level:Acceso aberto
Palavra-chave:Zeek
SIEM
IDS
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
id ES_4332fcc1a7df9db54fca7826dc9a2bd5
oai_identifier_str oai:openaccess.uoc.edu:10609/118586
network_acronym_str ES
network_name_str España
repository_id_str
dc.title.none.fl_str_mv Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red
title Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red
spellingShingle Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red
Paulo Carvalho, Adelino Manuel
Zeek
SIEM
IDS
Zeek
SIEM
IDS
Zeek
SIEM
IDS
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
title_short Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red
title_full Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red
title_fullStr Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red
title_full_unstemmed Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red
title_sort Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red
dc.creator.none.fl_str_mv Paulo Carvalho, Adelino Manuel
author Paulo Carvalho, Adelino Manuel
author_facet Paulo Carvalho, Adelino Manuel
author_role author
dc.contributor.none.fl_str_mv Rifà-Pous, Helena
Guaita Pérez, Borja
dc.subject.none.fl_str_mv Zeek
SIEM
IDS
Zeek
SIEM
IDS
Zeek
SIEM
IDS
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
topic Zeek
SIEM
IDS
Zeek
SIEM
IDS
Zeek
SIEM
IDS
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
description La finalidad de este trabajo es desplegar un sistema de detección de intrusiones y otros eventos anómalos en la red. El objetivo es detectar anomalías en tiempo real pero también disponer de una base de datos de información histórica para la investigación de ataques, intrusiones y sus consecuencias y gravedad. Se despliega Zeek-IDS como sensor de captura de trafico de red y Elasticsearch como base de datos de información y esta combinación se ha mostrado de enorme potencial y versatilidad. Por un lado, se consigue la captura pasiva de la información de los protocolos de red y, de esta forma, sin impacto en las operaciones y, por otro, se asegura su almacenamiento en un sistema escalable y flexible que permite acceso a la información en tiempo real, su procesamiento y análisis, pero también, el acceso a algoritmos de Machine Learning para detección de anomalías de forma desatendida. Hoy, la gestión continua de eventos ha sustituido el análisis de respuesta a incidentes, de ayer, y la solución desplegada, mediante Kibana y Elastic SIEM proporcionan el interfaz, herramientas y funcionalidades necesarios para la monitorización de la actividad de red y gestión de incidentes. La configuración de reglas de detección y también de ElastAlert, como sistema de notificación, ha creado un entorno óptimo para supervisión de la red de forma autónoma y con gestión integrada de la investigación de incidentes.
publishDate 2020
dc.date.none.fl_str_mv 2020
2020
2020
dc.type.none.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
dc.identifier.none.fl_str_mv http://hdl.handle.net/10609/118586
url http://hdl.handle.net/10609/118586
dc.language.none.fl_str_mv Español
language_invalid_str_mv Español
dc.rights.none.fl_str_mv CC BY-NC-ND
http://creativecommons.org/licenses/by-nc-nd/3.0/es/
info:eu-repo/semantics/openAccess
rights_invalid_str_mv CC BY-NC-ND
http://creativecommons.org/licenses/by-nc-nd/3.0/es/
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
application/pdf
dc.publisher.none.fl_str_mv Universitat Oberta de Catalunya (UOC)
publisher.none.fl_str_mv Universitat Oberta de Catalunya (UOC)
dc.source.none.fl_str_mv reponame:O2, repositorio institucional de la UOC
instname:Universitat Oberta de Catalunya (UOC)
instname_str Universitat Oberta de Catalunya (UOC)
reponame_str O2, repositorio institucional de la UOC
collection O2, repositorio institucional de la UOC
repository.name.fl_str_mv
repository.mail.fl_str_mv
_version_ 1869407007223578624
spelling Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la redPaulo Carvalho, Adelino ManuelZeekSIEMIDSZeekSIEMIDSZeekSIEMIDSComputer security -- TFMSeguretat informàtica -- TFMSeguridad informática -- TFMLa finalidad de este trabajo es desplegar un sistema de detección de intrusiones y otros eventos anómalos en la red. El objetivo es detectar anomalías en tiempo real pero también disponer de una base de datos de información histórica para la investigación de ataques, intrusiones y sus consecuencias y gravedad. Se despliega Zeek-IDS como sensor de captura de trafico de red y Elasticsearch como base de datos de información y esta combinación se ha mostrado de enorme potencial y versatilidad. Por un lado, se consigue la captura pasiva de la información de los protocolos de red y, de esta forma, sin impacto en las operaciones y, por otro, se asegura su almacenamiento en un sistema escalable y flexible que permite acceso a la información en tiempo real, su procesamiento y análisis, pero también, el acceso a algoritmos de Machine Learning para detección de anomalías de forma desatendida. Hoy, la gestión continua de eventos ha sustituido el análisis de respuesta a incidentes, de ayer, y la solución desplegada, mediante Kibana y Elastic SIEM proporcionan el interfaz, herramientas y funcionalidades necesarios para la monitorización de la actividad de red y gestión de incidentes. La configuración de reglas de detección y también de ElastAlert, como sistema de notificación, ha creado un entorno óptimo para supervisión de la red de forma autónoma y con gestión integrada de la investigación de incidentes.The purpose of this work is to deploy an intrusion detection system and other anomalous events on the network. The objective is to detect anomalies in real-time but also to have a database of historical information for the investigation of attacks, intrusions, and their consequences and severity. Zeek-IDS is deployed as a network traffic capture sensor and Elasticsearch as an information database and this combination has shown enormous potential and versatility. On the one hand, passive capture of information from network protocols is achieved and, thus, without impact on operations and, on the other, its storage is ensured in a scalable and flexible system that allows access to information in real-time, its processing and analysis, but also, access to machine learning algorithms for detecting anomalies unattended. Today, continuous event management has replaced yesterday's incident response analysis, and the solution deployed, using Kibana and Elastic SIEM, provides the interface, tools and functionalities necessary for monitoring network activity and incident management. The configuration of detection rules and also of ElastAlert, as a notification system, has created an optimal environment for autonomous network monitoring and with integrated management of incident investigation.La finalitat d'aquest treball és desplegar un sistema de detecció d'intrusions i altres esdeveniments anòmals en la xarxa. L'objectiu és detectar anomalies en temps real però també disposar d'una base de dades d'informació històrica per a la recerca d'atacs, intrusions i les seves conseqüències i gravetat. Es desplega Zeek-IDS com a sensor de captura de trafico de xarxa i Elasticsearch com a base de dades d'informació i aquesta combinació s'ha mostrat d'enorme potencial i versatilitat. D'una banda, s'aconsegueix la captura passiva de la informació dels protocols de xarxa i, d'aquesta manera, sense impacte en les operacions i, per un altre, s'assegura el seu emmagatzematge en un sistema escalable i flexible que permet accés a la informació en temps real, el seu processament i anàlisi, però també, l'accés a algorismes de Machine Learning per a detecció d'anomalies de forma desatesa. Avui, la gestió contínua d'esdeveniments ha substituït l'anàlisi de resposta a incidents, d'ahir, i la solució desplegada, mitjançant Kibana i Elastic SIEM proporcionen la interfície, eines i funcionalitats necessaris per al monitoratge de l'activitat de xarxa i gestió d'incidents. La configuració de regles de detecció i també de ElastAlert, com a sistema de notificació, ha creat un entorn òptim per a supervisió de la xarxa de manera autònoma i amb gestió integrada de la recerca d'incidents.Universitat Oberta de Catalunya (UOC)Rifà-Pous, HelenaGuaita Pérez, Borja202020202020info:eu-repo/semantics/masterThesisapplication/pdfapplication/pdfhttp://hdl.handle.net/10609/118586reponame:O2, repositorio institucional de la UOCinstname:Universitat Oberta de Catalunya (UOC)EspañolCC BY-NC-NDhttp://creativecommons.org/licenses/by-nc-nd/3.0/es/info:eu-repo/semantics/openAccessoai:openaccess.uoc.edu:10609/1185862026-05-28T12:42:01Z
score 15.301603