Security analytics with Elastic

Els ciberatacs poden ser molt diversos i els diferents sistemes d'informació solen estar distribuïts. En moltes ocasions, aquests comportaments delictius es veuen reflectits als diferents logs. Per tant, és necessari tenir-los identificats, controlats i revisar-los de manera habitual. No obstan...

ver descrição completa

Detalhes bibliográficos
Autor: Mateos Martinez, Eduard
Formato: tesis de maestría
Fecha de publicación:2020
País:España
Recursos:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/118246
Acesso em linha:http://hdl.handle.net/10609/118246
Access Level:acceso abierto
Palavra-chave:Elastic
SIEM
aprendizaje automático
aprenentatge automàtic
machine learning
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
Descrição
Resumo:Els ciberatacs poden ser molt diversos i els diferents sistemes d'informació solen estar distribuïts. En moltes ocasions, aquests comportaments delictius es veuen reflectits als diferents logs. Per tant, és necessari tenir-los identificats, controlats i revisar-los de manera habitual. No obstant això, a causa de la quantitat de logs que es poden arribar a generar, aquesta tasca esdevé molt costosa. Obtenir logs de diferents orígens i processar-los conjuntament, ens permet veure fluxos i accions traçables que, revisades individualment, no són tan evidents. Realitzar aquest seguiment no és trivial i és necessari disposar d'alguna utilitat o eina per poder centralitzar aquesta informació i poder tractar-la. Per tal de centralitzar tota aquesta informació, en aquest treball s'utilitzarà el Stack d'ElasticSearch. A més, disposa d'un seguit de productes per tractar, emmagatzemar i cercar informació. Recentment, s'ha publicat una nova funcionalitat que és l'ElasticSearch SIEM, que ens permet detectar diferents anomalies. Per tal d¿avaluar aquest producte, s'han planificat un seguit d'escenaris en format pilot que contenen les tecnologies més habituals que es poden utilitzar en una organització. Mitjançant la simulació de diferents atacs, generarem dades per alimentar l'ElasticSearch i utilitzar la funcionalitat del SIEM per tractar-los. A causa de la popularització del Cloud Computing en l'àmbit empresarial, el segon escenari proposat es basarà en un cas d'ús real utilitzant els serveis d'Amazon Web Service d'un sistema productiu. L'últim escenari es basarà en el funcionament del Machine Learning que ens ofereix la versió de pagament d'ElasticSearch per tractar els logs obtinguts anteriorment.