Arquitectura de gestión y análisis de ciberseguridad basada en Elastic Stack

Abstract

[CA] En l’era digital contemporània i amb la creixent dependència d’Internet, la ciberseguretat és essencial per a previndre, detectar i analitzar amenaces amb la finalitat de protegir les nostres dades i sistemes. Assegurar la xarxa és una prioritat tant per a usuaris com per a empreses. En el marc teòric d’aquest projecte, s’aprofundix en el desplegament i la configuració d’una infraestructura sobre una xarxa d’àrea local que permeta gestionar els incidents de seguretat tan reactivament com proactivament. Per a això s’utilitzarà la pila d’Elastic, comunament anomenada Elastic Stack, ja que proporciona serveis de rastreig, identificació, filtratge i recopilació de dades, a més de disposar d’eines que permeten visualitzar els incidents detectats. El desplegament d’Elastic Stack té com a objectiu principal analitzar en temps real el trànsit de xarxa i recopilar dades contínuament. Això és essencial per a mantindre sistemes de monitoratge i anàlisi dinàmics que enfortisquen la ciberseguretat dels internautes. Amb estes dades, es podrà establir un sistema d’alertes visualment accessible per a detectar i respondre ràpidament a anomalies o esdeveniments de risc prèviament identificats en la xarxa. Addicionalment, es documenten i emmagatzemen els esdeveniments detectats en una base de dades JSON. Això permet millorar contínuament la seguretat en retroalimentar el sistema amb informació valuosa. A més, ajuda a establir les bases per a potenciar futures capacitats d’intel·ligència en este sistema de seguretat mitjançant eines com Machine Learning. Amb la finalitat d’assolir tots els objectius esmentats prèviament, es definix una arquitectura que permeta integrar una solució global per al filtratge, monitoratge i recopilació de les dades relatives a la seguretat. Esta arquitectura estarà composta principalment pels següents elements: un component de captura i anàlisi de dades que permeta tant el filtratge com el monitoratge; un component de filtratge i monitoratge, que poden estar fusionats, i una base de dades de recopilació i emmagatzematge de la informació rellevant. Tots estos components es complementaran amb un mòdul de visualització que facilitarà la transició cap a una arquitectura de seguretat més dinàmica

[ES] En la era digital en la que vivimos y con la creciente dependencia a Internet, la ciberseguridad es esencial para prevenir, detectar y analizar amenazas con el fin de proteger nuestros datos y sistemas. Asegurar la red es una prioridad tanto para usuarios como para empresas.

En el marco de este proyecto, se profundiza en el despliegue y la configuración de una infra-estructura sobre una red de área local que permita gestionar los incidentes de seguridad tanto reactiva como proactivamente. Para ello se utilizará la pila de Elastic, comúnmente lla-mado ElasticStack, dado que proporciona servicios de rastreo, identificación, filtrado y reco-pilación de datos, además de disponer de herramientas que permiten visualizar los inciden-tes detectados.

Uno de los objetivos de la puesta en funcionamiento de ElasticStack es analizar datos del trá-fico de nuestra red mientras nos proporciona información en tiempo real sobre que está ocu-rriendo en esta, así mismo permite recopilar dichos datos. La recopilación continua de datos es primordial ya que nos proporciona la materia prima necesaria para alimentar nuestros sis-temas de monitoreo y análisis, permitiéndonos así conseguir una ciberseguridad más diná-mica.

Este análisis nos permitirá establecer un sistema de alertas que nos notifique de cualquier anomalía o situación que requiera de atención inmediata, de una forma visualmente accesi-ble, pudiendo además filtrar la información que intenta acceder a nuestra red, lo que nos permitirá protegernos de eventos conocidos y que previamente hemos identificado como de riesgo .

Además, planteamos documentar y almacenar los eventos detectados en una base de datos basada en JSON. De esta manera, por un lado, podremos retroalimentar nuestra seguridad y, por otro lado, disponer de una información valiosa que en un futuro nos permita dotar de cierta inteligencia a nuestro sistema de seguridad mediante herramientas de Machine Learning o similares.

Con el fin de alcanzar todos los objetivos mencionados previamente, definiremos una arqui-tectura que permita integrar una solución global para el filtrado, monitoreo y recopilación de los datos relativos a la seguridad, Dicha arquitectura estará compuesta principalmente por los siguientes elementos: un componente de captura y análisis de datos que permita tanto el filtrado como la monitorización; un componente de filtrado y monitoreo, que pueden estar fusionados; una base de datos de recopilación y almacenamiento de la información rele-vante; un componente que permita alimentar y potenciar nuestro módulo de Machine Lear-ning. Todos estos componentes se complementarán con un módulo de visualización que fa-cilitará la transición hacia una arquitectura de seguridad más proactiva.

[EN] In the contemporary digital era and with the growing dependence on the Internet, cybersecurity is essential to prevent, detect, and analyze threats to protect our data and systems. Securing the network is a priority for both users and companies. In the theoretical framework of this project, the deployment and configuration of an infrastructure on a local area network are explored to manage security incidents both reactively and proactively. The Elastic stack, commonly known as Elastic Stack, will be used for this purpose, as it provides services for tracking, identification, filtering, and data collection, in addition to having tools that allow visualizing detected incidents. The main objective of the Elastic Stack deployment is to analyze network traffic in real-time and continuously collect data. This is essential to maintain dynamic monitoring and analysis systems that strengthen the cybersecurity of internet users. With this data, a visually accessible alert system can be established to quickly detect and respond to anomalies or risk events previously identified in the network. Additionally, detected events are documented and stored in a JSON database. This allows for continuous improvement of security by feeding the system with valuable information. Furthermore, it helps lay the foundations to enhance future intelligence capabilities in this security system through tools like Machine Learning. In order to achieve all the previously mentioned objectives, an architecture is defined that allows integrating a global solution for filtering, monitoring, and collecting securityrelated data. This architecture will be mainly composed of the following elements: a data capture and analysis component that allows both filtering and monitoring; a filtering and monitoring component, which can be merged, and a database for collecting and storing relevant information. All these components will be complemented by a visualization module that will facilitate the transition to a more dynamic security architecture