Generación de ciberinteligencia mediante la herramienta QRadar

Abstract

[ES] La cibercriminalidad está creciendo en todo el mundo. Como respuesta a la cibercriminalidad, surgen disciplinas como la ciberseguridad y la ciberinteligencia. La ciberinteligencia adopta un enfoque más proactivo a la hora de hacer frente a las amenazas, tratando de obtener información que nos ayude a tomar las mejores decisiones para minimizar o anular los daños que un atacante pueda causar a nuestra organización. QRadar es uno de los SIEM que mejor se posicionan en el mercado, una herramienta muy potente que es capaz de monitorizar las redes de las empresas. Esta herramienta puede ser una fuente muy valiosa de ciberinteligencia si es configurada adecuadamente. En este documento se explicará cómo hacer un correcto uso de QRadar y se mostrará su utilidad mediante un experimento. Además de esto, se expondrá un proceso mediante el que se puede extraer información generada por QRadar para que sea aprovechada por herramientas de terceros.

[EN] Cybercrime is growing all around the world. As an answer to the cybercrime, some disciplines such as the cybersecurity or the cyber intelligence emerge. The cyber intelligence assumes a more proactive approach when trying to deal with threats, trying to obtain information that help us to take more accurate decisions in order to minimize or nullify the damage that an attacker would deal to our organization. QRadar is one of the best SIEM in the market, a powerful tool capable of monitoring the networks of the companies. This tool, if well configured, can be a very valuable source of cyber intelligence. In this paper, it will be explained how to properly use QRadar and it will be shown its usefulness through an experiment. Besides this, it will be exposed a procedure that will allow us to extract QRadar¿s generated information in order for it to be used by third party tools.