Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red

El objetivo principal planteado era la evaluación de la capacidad de una herramienta IDS como Zeek combinada con un entorno de visualización y explotación de datos como ELK Stack para analizar actividades sospechosas en la red. Adicionalmente se han integrado distintas fuentes de inteligencia de ame...

Descripción completa

Detalles Bibliográficos
Autor: Galván Vitas, Ignacio
Tipo de recurso: tesis de maestría
Fecha de publicación:2020
País:España
Institución:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/117846
Acceso en línea:http://hdl.handle.net/10609/117846
Access Level:acceso abierto
Palabra clave:Elastic
malware
Zeek IDS
programari maliciós
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
Descripción
Sumario:El objetivo principal planteado era la evaluación de la capacidad de una herramienta IDS como Zeek combinada con un entorno de visualización y explotación de datos como ELK Stack para analizar actividades sospechosas en la red. Adicionalmente se han integrado distintas fuentes de inteligencia de amenazas y se han correlacionado a través de ELK Stack con los datos obtenidos de Zeek IDS. Este documento describe todo el proceso llevado a cabo para diseñar, planificar, desplegar la solución y, posteriormente, analiza los resultados obtenidos. Adicionalmente incluye el código fuente de los distintos «scripts», «playbooks» de Ansible y ficheros de configuración de las distintas aplicaciones utilizadas. La metodología de gestión de proyectos en cascada ha permitido mantener un control constante del proyecto al mismo tiempo que ha facilitado su gestión. Las principales conclusiones que se han obtenido es que es totalmente posible y viable disponer de un sistema de detección de intrusos utilizando como base Zeek IDS y el conjunto ELK Stack. Además también se ha confirmado que este tipo de soluciones se puede desarrollar mediante herramientas de código abierto y manteniendo un bajo presupuesto. Por último también se ha concluido que es sencillo integrar fuentes de información sobre amenazas y que están sean correlacionadas con la información obtenida de Zeek.