Generación de ciberinteligencia mediante la herramienta SEC para correlación de eventos

Abstract

[ES] El presente trabajo de investigación propone a usted una solución para la interpretación y manejo de la información extraída de archivos de logs de uno o múltiples eventos, mediante la creación y prueba de expresiones regulares REGEXP mediante su motor de correlación Perl, integrando herramientas de software libre, para la obtención y análisis de información presente en el ciberespacio para generar una arquitectura híbrida entre máquina-humano. El trabajo se enfoca en la correlación de eventos, recopilación y gestión de información que se manifiesta al encontrar vulnerabilidades de un sistema en uno o varios ordenadores conectados a internet y aún más importante la explotación de brechas de seguridad. A términos generales la herramienta realiza la visualización y manejo de la información System, Error y Critical, extraída con expresiones regulares programadas en subrutinas Perl perteneciente a SEC, manejando archivos .txt generados por la herramienta Syslog Watcher después de recolectar logs generados por la explotación de una vulnerabilidad o creación de eventos sintéticos por parte de Nxlog en una o más maquinas físicas o virtuales conectadas a la web.

[EN] This research job proposes to you a solution for the interpretation and management of the information extracted from log files of one or multiple events, through the creation and testing of "REGEXP" regular expressions using its "Perl" correlation engine, integrating software tools free, to obtain and analyze information present in cyberspace to generate a hybrid architecture between machine and human. The work focuses on the correlation of events, collection and management of information that manifests itself when finding vulnerabilities of a system in one or more computers connected to the internet and, even more importantly, the exploitation of security breaches. In general terms, the tool visualizes and manages System, Error and Critical information, extracted with regular expressions programmed in Perl subroutines belonging to "SEC", "handling .txt" files generated by the Syslog Watcher tool after collecting logs generated by the exploitation of a vulnerability or creation of synthetic events by Nxlog in one or more physical or virtual machines connected to the web.