Security analytics with Elastic
Els ciberatacs poden ser molt diversos i els diferents sistemes d'informació solen estar distribuïts. En moltes ocasions, aquests comportaments delictius es veuen reflectits als diferents logs. Per tant, és necessari tenir-los identificats, controlats i revisar-los de manera habitual. No obstan...
| Autor: | |
|---|---|
| Formato: | tesis de maestría |
| Fecha de publicación: | 2020 |
| País: | España |
| Recursos: | Universitat Oberta de Catalunya (UOC) |
| Repositorio: | O2, repositorio institucional de la UOC |
| OAI Identifier: | oai:openaccess.uoc.edu:10609/118246 |
| Acesso em linha: | http://hdl.handle.net/10609/118246 |
| Access Level: | acceso abierto |
| Palavra-chave: | Elastic SIEM aprendizaje automático aprenentatge automàtic machine learning Computer security -- TFM Seguretat informàtica -- TFM Seguridad informática -- TFM |
| Resumo: | Els ciberatacs poden ser molt diversos i els diferents sistemes d'informació solen estar distribuïts. En moltes ocasions, aquests comportaments delictius es veuen reflectits als diferents logs. Per tant, és necessari tenir-los identificats, controlats i revisar-los de manera habitual. No obstant això, a causa de la quantitat de logs que es poden arribar a generar, aquesta tasca esdevé molt costosa. Obtenir logs de diferents orígens i processar-los conjuntament, ens permet veure fluxos i accions traçables que, revisades individualment, no són tan evidents. Realitzar aquest seguiment no és trivial i és necessari disposar d'alguna utilitat o eina per poder centralitzar aquesta informació i poder tractar-la. Per tal de centralitzar tota aquesta informació, en aquest treball s'utilitzarà el Stack d'ElasticSearch. A més, disposa d'un seguit de productes per tractar, emmagatzemar i cercar informació. Recentment, s'ha publicat una nova funcionalitat que és l'ElasticSearch SIEM, que ens permet detectar diferents anomalies. Per tal d¿avaluar aquest producte, s'han planificat un seguit d'escenaris en format pilot que contenen les tecnologies més habituals que es poden utilitzar en una organització. Mitjançant la simulació de diferents atacs, generarem dades per alimentar l'ElasticSearch i utilitzar la funcionalitat del SIEM per tractar-los. A causa de la popularització del Cloud Computing en l'àmbit empresarial, el segon escenari proposat es basarà en un cas d'ús real utilitzant els serveis d'Amazon Web Service d'un sistema productiu. L'últim escenari es basarà en el funcionament del Machine Learning que ens ofereix la versió de pagament d'ElasticSearch per tractar els logs obtinguts anteriorment. |
|---|