Afinación de reglas en un SIEM para correlacionar los eventos de seguridad del laboratorio de redes convergentes del ITM

Abstract

Debido a los grandes avances tecnológicos que se están presentando, las entidades que cuentan con dispositivos informáticos se encuentran altamente vulnerables; ya que ofrecen diversidad de servicios a un alto número de personas y como deber fundamental de estas entidades es evitar los posibles ataques que atenten contra la integridad, confiabilidad y disponibilidad de sus sistemas. Este proyecto busca apoyarse en la infraestructura que se encuentra ubicada en el laboratorio de redes convergentes del Bloque O del ITM para la configuración y afinación de un correlacionador de eventos de seguridad – SIEM, el cual se encuentra enfocado hacia la seguridad informática, validando los routers, servidores y dispositivos de seguridad que se encuentren en el laboratorio, con el fin de ofrecer un mecanismo de monitoreo proactivo de las diferentes amenazas que puedan generarse en las instalaciones y equipos (físicos y/o virtuales) del laboratorio, ya que es una área que maneja un alto flujo de información. Para la implementación de este proyecto se decide utilizar la herramienta OSSIM de Alienvault, la cuenta con una licencia Open Source y que cumple con las características necesarias para gestionar los eventos de seguridad que suceden en los dispositivos de red; permitiendo la recolección de logs, alertas sobre posibles vulnerabilidades, configuración de reglas, entre otras funcionalidades. El SIEM debe ser evaluado para garantizar su óptimo funcionamiento y para ello se llevaron a cabo una serie de pruebas explotando las vulnerabilidades de los dispositivos, con las diversas aplicaciones que dispone la herramienta Kali Linux; es necesario analizar los logs que arrojaron los dispositivos al servidor SIEM para ver la información del ataque