Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red
El objetivo principal planteado era la evaluación de la capacidad de una herramienta IDS como Zeek combinada con un entorno de visualización y explotación de datos como ELK Stack para analizar actividades sospechosas en la red. Adicionalmente se han integrado distintas fuentes de inteligencia de ame...
| Autor: | |
|---|---|
| Tipo de recurso: | tesis de maestría |
| Fecha de publicación: | 2020 |
| País: | España |
| Institución: | Universitat Oberta de Catalunya (UOC) |
| Repositorio: | O2, repositorio institucional de la UOC |
| OAI Identifier: | oai:openaccess.uoc.edu:10609/117846 |
| Acceso en línea: | http://hdl.handle.net/10609/117846 |
| Access Level: | acceso abierto |
| Palabra clave: | Elastic malware Zeek IDS programari maliciós Computer security -- TFM Seguretat informàtica -- TFM Seguridad informática -- TFM |
| Sumario: | El objetivo principal planteado era la evaluación de la capacidad de una herramienta IDS como Zeek combinada con un entorno de visualización y explotación de datos como ELK Stack para analizar actividades sospechosas en la red. Adicionalmente se han integrado distintas fuentes de inteligencia de amenazas y se han correlacionado a través de ELK Stack con los datos obtenidos de Zeek IDS. Este documento describe todo el proceso llevado a cabo para diseñar, planificar, desplegar la solución y, posteriormente, analiza los resultados obtenidos. Adicionalmente incluye el código fuente de los distintos «scripts», «playbooks» de Ansible y ficheros de configuración de las distintas aplicaciones utilizadas. La metodología de gestión de proyectos en cascada ha permitido mantener un control constante del proyecto al mismo tiempo que ha facilitado su gestión. Las principales conclusiones que se han obtenido es que es totalmente posible y viable disponer de un sistema de detección de intrusos utilizando como base Zeek IDS y el conjunto ELK Stack. Además también se ha confirmado que este tipo de soluciones se puede desarrollar mediante herramientas de código abierto y manteniendo un bajo presupuesto. Por último también se ha concluido que es sencillo integrar fuentes de información sobre amenazas y que están sean correlacionadas con la información obtenida de Zeek. |
|---|