Implementación de un SOC con la herramienta SIEM Elastic Security

Abstract

[ES] Los ataques informáticos están a la orden del día. Las organizaciones se encuentran continuamente amenazadas tanto desde Internet como desde la propia red interna. Por ello, una de las soluciones más extendidas para detectar y responder a estos ataques es mediante un Centro de Operaciones de Seguridad (SOC). Además de estudiar los problemas de seguridad informática, también se destacarán los desafíos encontrados al crear un SOC desde cero y escoger la tecnología correcta para desplegarlo.

La tecnología principal de un SOC es el gestor de información y eventos de seguridad (SIEM) que permite la monitorización de activos de una organización a través de alarmas. Se estudiarán algunas herramientas SIEM y se profundizará en Elastic Security, un SIEM innovador y open source de Elastic, así como en el resto de tecnologías complementarias como Elasticsearch, Kibana, Logstash y Beats.

En lo que se refiere a la parte práctica, se diseñará una arquitectura siguiendo las recomendaciones y buenas prácticas de Elastic y se implementará una solución SIEM de Elastic Security en un entorno virtual para poder experimentar con esta tecnología en un entorno de pruebas. Además, se ejemplificará la creación de reglas con 5 casos de uso reales extraídos del framework Mitre Att&ck.

Finalmente, se analizará el trabajo realizado y se expondrán los resultados obtenidos, valorando los objetivos logrados.

[EN] Cyber attacks are the order of the day. Organizations are under constant threat both from the Internet and from their own internal network. Therefore, one of the most widespread solutions to detect and respond to these attacks is through a Security Operations Center (SOC). In addition to studying IT security issues, the challenges encountered in creating a SOC from scratch and choosing the right technology to deploy it will also be highlighted.

The core technology of a SOC is the Security Information and Event Management (SIEM) that allows the monitoring of an organization's assets through alarms. Some SIEM tools will be studied, especifically Elastic Security, an innovative and open source SIEM from Elastic, as well as the other complementary tools such as Elasticsearch, Kibana, Logstash and Beats.

Regarding the practical part, an architecture will be designed following Elastic's recommendations and best practices and an Elastic Security SIEM solution will be implemented in a virtual environment in order to experiment with this technology in a test environment. In addition, the creation of rules will be exemplified with 5 real use cases extracted from the Mitre Att&ck framework.

Finally, the work done will be analyzed and the results obtained will be presented, evaluating the objectives achieved.