Desplegar la herramienta "Zeek IDS" y su posterior explotación para el análisis de actividades sospechosas en la red

El objetivo principal planteado era la evaluación de la capacidad de una herramienta IDS como Zeek combinada con un entorno de visualización y explotación de datos como ELK Stack para analizar actividades sospechosas en la red. Adicionalmente se han integrado distintas fuentes de inteligencia de ame...

Full description

Bibliographic Details
Author: Galván Vitas, Ignacio
Format: master thesis
Publication Date:2020
Country:España
Institution:Universitat Oberta de Catalunya (UOC)
Repository:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/117846
Online Access:http://hdl.handle.net/10609/117846
Access Level:Open access
Keyword:Elastic
malware
Zeek IDS
programari maliciós
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
Description
Summary:El objetivo principal planteado era la evaluación de la capacidad de una herramienta IDS como Zeek combinada con un entorno de visualización y explotación de datos como ELK Stack para analizar actividades sospechosas en la red. Adicionalmente se han integrado distintas fuentes de inteligencia de amenazas y se han correlacionado a través de ELK Stack con los datos obtenidos de Zeek IDS. Este documento describe todo el proceso llevado a cabo para diseñar, planificar, desplegar la solución y, posteriormente, analiza los resultados obtenidos. Adicionalmente incluye el código fuente de los distintos «scripts», «playbooks» de Ansible y ficheros de configuración de las distintas aplicaciones utilizadas. La metodología de gestión de proyectos en cascada ha permitido mantener un control constante del proyecto al mismo tiempo que ha facilitado su gestión. Las principales conclusiones que se han obtenido es que es totalmente posible y viable disponer de un sistema de detección de intrusos utilizando como base Zeek IDS y el conjunto ELK Stack. Además también se ha confirmado que este tipo de soluciones se puede desarrollar mediante herramientas de código abierto y manteniendo un bajo presupuesto. Por último también se ha concluido que es sencillo integrar fuentes de información sobre amenazas y que están sean correlacionadas con la información obtenida de Zeek.