Funcionamiento, mantenimiento y actualización de un SIEM en un entorno real

Abstract

[ES] El objetivo de la realización de este trabajo de fin de máster (de ahora en adelante TFM) es el de estudiar y mostrar las labores de mantenimiento y actualización de un sistema de información de seguridad y gestión de eventos (en adelante SIEM por sus siglas en inglés), desde la visión conceptual y teórica hasta la aplicación práctica real sobre los conocimientos vistos tanto a lo largo de la realización de las asignaturas de este máster, cómo de la actividad realizada durante la realización de este proyecto. Este proyecto será realizado en colaboración con la empresa NTT Data en la que el autor se encuentra realizando unas prácticas como becario a realización de este proyecto. El proyecto donde el autor se encuentra trabajando a realización de este TFM no está relacionado directamente con la susodicha empresa si no que es hacia un cliente, el cual ha pedido expresamente que, tanto la información del proyecto, como la identidad de este sean anonimizadas u omitidas. Por este motivo cualquier información mínimamente sensible que se encuentre en este proyecto será falsa, así como los esquemas sobre infraestructuras. Se intentará proporcionar en lugar de la información real sobre los sistemas, un sustituto que plasme los diferentes conceptos e ideas que sean relevantes para la realización de este TFM. Para ello se expondrá primero una sección sobre que es un SOC y cómo funcionan tanto sus herramientas como su logística, que función realiza un SIEM dentro del mismo, cómo funciona un SIEM, diferentes productos tipo SIEM del mercado, que son los logs y como se realiza su ingesta dentro del sistema y cualquier otro aspecto conceptual que se considere necesario para el entendimiento de este TFM. Posteriormente se realizará una segunda parte de trabajo práctico aplicado donde, de nuevo, la información estará anonimizada. En esta parte constarán puntos como que actividades suelen ser más necesarias en el día a día del mantenimiento de un SIEM, como diferentes decisiones estratégicas y comerciales pueden afectar a la calidad de este, como se aplican en la realidad los diferentes conceptos teóricos vistos en la primera mitad, aplicación práctica de técnicas de HUMINT y OSINT, y si fuese necesario, otros puntos prácticos que se irán teniendo en cuenta a futuro. En el caso de que se viese necesario añadir más partes a tratar, estas se harán a futuro de la realización de este resumen.

[EN] This master’s thesis (from now on TFM) objective is to study and to show the different daily labors that are needed for maintaining and updating a security information and event management system (from now on SIEM). This project is going to include both the conceptual information and vision on the subject and the practical activities done during its realization. This project is done in collaboration with the company NTT Data due to the Author working there as this project is being written. NTT’s project is with a client that informed both the company and the author that information must be anonymized, due to this reason, information and schemes found in this memory will be false. Instead of real information, a substitute made of fake information based on the real one will be used to show and explain the different ideas and topics to be treated in this TFM. By the initial approximation of the project, it will be divided into two different parts. The first will consist of mainly theorical concepts like what is a SOC, different SIEM products, what are the logs and how they are ingested on the system and any other concept that will be considered to be explained in the future. The second otherwise, will consist of the real practical work, how different strategical and economical decisions can affect how a SIEM works, how are the different theorical concepts applicated on a real system, how HUMINT and OSINT techniques are used to make decisions and any other practical concept that will be considered in the future. Lastly, any other different part that will be considered of, will be added aŌer this summary is written.