Automatización de la búsqueda de la Correlación de Indicadores de Compromiso y el Histórico de Eventos de una Organización para la Respuesta a Incidentes de Ciberseguridad

Abstract

[ES] El objetivo se centra en la mejora y enriquecimiento de la información contenida en las alertas de ciberseguridad dentro de la plataforma TheHive. Estas alertas se gestionan y categorizan en función de su gravedad, y cuando alcanzan un nivel crítico, se asocian a un caso para un análisis más detenido. Mi proyecto se orienta hacia la creación de un mecanismo de respuesta automatizado en TheHive que tenga la capacidad de buscar indicadores de compromiso (IOCs, por sus siglas en inglés) que hayan desencadenado una alerta, con el propósito de identificar posibles correlaciones entre eventos en una organización.

Para llevar a cabo esta tarea, se utilizará las API de las plataformas Exabeam, un sistema de Gestión de Eventos e Información de Seguridad (SIEM), y CrowdStrike, una solución de Detección y Respuesta frente Amenazas (EDR). En ellas se almacenan y gestionan los registros históricos de eventos o logs de la organización. Estas API permitirán realizar consultas extensas con el objetivo de identificar registros de eventos relacionados con los IOCs previamente identificados. La información recopilada se utilizará para generar un informe detallado que se adjuntará al caso en TheHive. Todo este proceso se llevará a cabo de manera automatizada mediante un script desarrollado en Python.

En última instancia, esta automatización proporcionará una eficiente y rápida manera de examinar los casos en TheHive, eliminando la necesidad de acceder directamente a las plataformas Exabeam y CrowdStrike. El proyecto busca mejorar significativamente la capacidad de respuesta y el análisis de incidentes de ciberseguridad en la organización, agilizando la toma de decisiones y fortaleciendo la postura de seguridad en general.

[EN] The objective focuses on the improvement and enrichment of the information contained in cybersecurity alerts within the TheHive platform. These alerts are managed and categorized based on severity, and when they reach a critical level, they are associated with a case for further analysis. My project is oriented towards creating an automated response mechanism in TheHive that has the ability to search for indicators of compromise (IOCs) that have triggered an alert, with the purpose of identifying possible correlations between events in an organization.

To carry out this task, the APIs of the Exabeam platforms, a Security Information and Event Management (SIEM) system, and CrowdStrike, a Threat Detection and Response (EDR) solution, will be used. In them, the historical records of events or logs of the organization are stored and managed. These APIs will allow extensive queries to be carried out with the objective of identifying event records related to the previously identified IOCs. The information collected will be used to generate a detailed report that will be attached to the case on TheHive. This entire process will be carried out automatically using a script developed in Python.

Ultimately, this automation will provide an efficient and fast way to vet cases on TheHive, eliminating the need to directly access the Exabeam and CrowdStrike platforms. The project seeks to significantly improve the organization's response capacity and analysis of cybersecurity incidents, streamlining decision-making and strengthening the overall security posture.

[CA] L’objectiu principal del meu Treball de Fi de Màster (TFM) se centra en la millora i enriquiment de la informació continguda en les alertes de ciberseguretat dins de la plataforma TheHive. Aquestes alertes es gestionen i categoritzen en funció de la seua gravetat, i quan aconsegueixen un nivell crític, s’associen a un cas per a una anàlisi més detinguda. El meu projecte s’orienta cap a la creació d’un mecanisme de resposta automatitzat en TheHive que tinga la capacitat de buscar indicadors de compromís (IOCs, per les seues sigles en anglés) que hagen desencadenat una alerta, amb el propòsit d’identificar possibles correlacions entre esdeveniments en una organització. Per a dur a terme aquesta tasca, s’utilitzaran les API de les plataformes Exabeam, un sistema de Gestió d’Esdeveniments i Informació de Seguretat (SIEM) , i CrowdStrike, una solució de Detecció i Resposta front Amenaces (EDR) . En elles s’emmagatzemen i gestionen els registres històrics d’esdeveniments o logs de l’organització. Aquestes API permetran realitzar consultes extenses amb l’objectiu d’identificar registres d’esdeveniments relacionats amb els IOCs prèviament identificats. La informació recopilada s’utilitzarà per a generar un informe detallat que s’adjuntarà al cas en TheHive. Tot aquest procés es durà a terme de manera automatitzada mitjançant un script desenvolupat en Python. En última instància, aquesta automatització proporcionarà una eficient i ràpida manera d’examinar els casos en TheHive, eliminant la necessitat d’accedir directament a les plataformes Exabeam i CrowdStrike. El projecte busca millorar significativament la capacitat de resposta i l’anàlisi d’incidents de ciberseguretat en l’organització, agilitzant la presa de decisions i enfortint la postura de seguretat en general.