Generación de ciberinteligencia con Splunk

Abstract

[ES] El creciente desarrollo de las TICs y de los servicios sobre internet ha provocado el incremento de los usuarios y dispositivos conectados a nivel global, estrechándose el vínculo entre el ciberespacio y la vida cotidiana. Paralelamente el cibercrimen, el ciberterrorismo y otras actividades maliciosas han aumentado drásticamente, y las técnicas empleadas por sus autores son cada vez más eficaces y sofisticadas. Para hacer frente a esta situación es imprescindible mantener una Ciber Conciencia Situacional. En este sentido la ciberinteligencia juega un papel fundamental, por lo que en el presente trabajo se propone la generación de la misma mediante la plataforma Splunk Enterprise. Primeramente se efectúa un estudio de los principales conceptos sobre el asunto de la ciberseguridad, se analizan las características de la plataforma y se realiza una breve comparación con otras herramientas empleadas para fines similares. Luego se implementa un entorno virtualizado en el cual se realizan ciber ataques controlados, y los registros de esta actividad son enviados a Splunk para su indexado y procesamiento. Una vez hecho esto, se genera ciberinteligencia mediante búsquedas (Search Processing Language) que son guardadas como alertas, reportes y dashboards y se exporta esta información a través de diferentes vías, brindando la posibilidad de integración con otras plataformas.

[EN] The growing development of ICTs and Internet services has led to an increase in the number of users and devices connected globally, strengthening the relationship between cyberspace and everyday life. At the same time, cybercrime, cyberterrorism and other malicious activities have increased dramatically, and the techniques used by their perpetrators are becoming more effective and sophisticated. To deal with this situation, it is essential to maintain a cyber situational awareness. In this sense, cyber-intelligence plays a fundamental role, therefore, in this paper we propose the generation of cyber-intelligence using the Splunk Enterprise platform. First, a study of the main concepts on the issue of cybersecurity is carried out, the characteristics of the platform are analyzed and a brief comparison is made with other tools used for similar purposes. Next, a virtualized environment is implemented where controlled cyber-attacks are performed, and the logs of this activity are sent to Splunk for indexing and processing. Once this is accomplished, cyber intelligence is generated through searches (Search Processing Language) that are saved as alerts, reports and dashboards and this information is exported through different channels providing the possibility of integration with other platforms.