Diseño de Un SIEM

MÁSTER EN CIBERSEGURIDAD
BERSEGURIDAD
PROYECTO FIN DE MÁSTER

Diseño e Implementación de un SIEM
Jorge Alcaín Pro 47233109X jorgeapro@gmail.com
IMF BUSINESS SCHOOL & UNIVERSIDAD CAMILO JOSÉ CELA
Dedicado
Se lo dedico a mi padre Jorge, a mi madre Mª Pilar, a mi abuela Beatriz y a mis

familiares y amigos.
Dedicatoria especial
Como siempre, a aquella persona que sigue viendo desde donde está como progresa mi
vida. Espero estar haciéndolo bien.
Agradecimientos
A mi tutor José Amelio, que ya es más mi amigo que mi tutor. Agradecerle toda la confianza que ha
depositado en mí para realizar el proyecto del Grado en Ingeniería Informática y el proyecto del
Máster en Dirección de Proyectos Informáticos. Por sus consejos siempre que lo necesito. Aún queda
bastante, pero después de estudiar alguna formación más el siguiente paso será el doctorado.
A todos mis amigos del grupo junto con todos aquellos que no están en ese grupo, pero siempre
tengo para lo que necesito, todos ellos son una familia más.
Al resto de amigos que me rodean y que no por no nombrarlos son menos importantes.
A mi padre por ser mi persona a seguir. Sus valores: “En esta vida nadie te regala nada” “Esfuerzo,
ímpetu y constancia”
A mi madre por cambiar mi forma de ver las cosas, entenderme y apoyarme.
Agradecerles a aquellos que me han aportado su ayuda para realizar este máster como son Rafael
Porro, Lórien Doménech, Jaime Mingo, Jaime Odena, Javier Gil y Elena Arroyo.
Al resto de personas que me han ayudado a crecer como profesional y que lo siguen haciendo
continuamente como son Fernando Romero, mi maestro Jedi , y Agustín Russo, maestro y
consejero .
Antiguos y nuevos compañeros de universidad.
A todos aquellos que me rodean y siguen aportando grandes momentos en mi vida.
A aquellos que ya no están.
“If you work hard, you can do anything”
“Seguir cuando crees que no puedes más es lo que te hace diferente a los
demás”
“Esfuérzate, sin rendirte, para alcanzar tus objetivos y conseguirás crearte

a ti mismo”
ABSTRACT
Se va a configurar una pequeña red que simula la red de una empresa la cual estará formada
internamente de tres subredes divididas a través de un Firewall y un IDS. La primera subred es una
DMZ Externa que cuenta con un servidor FTP y un servidor web apache con un SQL y PHP. Como
segunda subred se denomina Red Interna de Servidores que está formada de un Directorio Activo de
un Windows Server, un Servidor con un recurso compartido y un proxy Squirt que genera una subred
denominada Red de Usuarios que es a través de la que se conectan todos los equipos de la empresa.
En la Red Interna de Servidores, para la detección de eventos de seguridad se va a implementar,
configurar y gestionar un SIEM, donde la elección es AlientVault.
La motivación que me ha llevado a realizar este trabajo es que considero que tener una herramienta
SIEM es muy importante para la detección de eventos de seguridad ya que con este sistema podemos
conocer el estado de seguridad de nuestra red donde tenemos eventos en tiempo real y toda la
actividad que surge en la red. No solo nos ayuda en la detención si no que es de gran ayuda en caso de
producirse un incidente de seguridad de la información ya que aporta mucho valor en un análisis
forense. Nos aporta información muy útil para un aprendizaje continuo y que si se complementa con
el uso de threat intelligence se puede tener un aprendizaje de mayor conocimiento dado que con ello
se tiene la capacidad de compartir datos que permiten llegar a medidas preventivas de antelación.
Desde mi punto de vista, es de vital importancia el uso de herramientas SIEM que, tras tener la
implementación de la seguridad por niveles, nos aportan una detención de eventos de seguridad y
conocimiento del estado de la seguridad de nuestra red muy valiosa. Los pasos posteriores serían
realizar auditorías de hacking ético de forma periódica para la comprobación de vulnerabilidades y el
estado de la seguridad de los sistemas e infraestructura para tener una mejora continua de la seguridad
de nuestra red.
Índice
DESARROLLO DEL CONTENIDO ................................................................................................................1

1. Mapa de Red de la Empresa.............................................................................................................1
1.1. Equipo de Sobremesa...............................................................................................................2
1.2. Equipo Portátil..........................................................................................................................3
1.3. Firewall + IDS ............................................................................................................................4
1.4. Servidor FTP .............................................................................................................................6
1.5. Servidor Web ............................................................................................................................7
1.6. Directorio Activo ......................................................................................................................9
1.7. Recurso compartido .............................................................................................................. 10
1.8. Servidor Proxy ....................................................................................................................... 12
2. Identificación y descripción de los dispositivos a monitorizar ...................................................... 13
2.1. Firewall + IDS ......................................................................................................................... 13
2.2. Servidor FTP .......................................................................................................................... 15
2.3. Servidor Web ......................................................................................................................... 16
2.4. Directorio Activo ................................................................................................................... 17
2.5. Recurso Compartido.............................................................................................................. 18
2.6. Proxy Squid ............................................................................................................................ 19
3. Descripción de los eventos y logs a recolectar ............................................................................. 20
3.1. Logs del Firewall .................................................................................................................... 20
3.2. Logs del IDS ........................................................................................................................... 20
3.3. Logs del Servidor FTP ............................................................................................................ 20
3.4. Logs del Servidor Web Windows ........................................................................................... 20
3.5. Logs del Directorio Activo ..................................................................................................... 21
3.6. Recurso Compartido.............................................................................................................. 21
3.7. Logs del Proxy........................................................................................................................ 21
4. Sistemas de recolección de logs .................................................................................................... 22
4.1. WMI ....................................................................................................................................... 22
4.2. Syslog..................................................................................................................................... 23
4.3. Otros ...................................................................................................................................... 23
5. Implementación del sistema SIEM ................................................................................................ 24
5.1. Inicios AlienVault ................................................................................................................... 25
5.2. Integración de fuentes .......................................................................................................... 28
5.2.1. Integración del Firewall + IDS ........................................................................................ 29
5.2.2. Integrar FTP ................................................................................................................... 30
5.2.3. Integrar el servidor web ................................................................................................ 30
5.2.4. Integrar el Directorio Activo .......................................................................................... 31
5.2.5. Integrar Windows con recurso compartido .................................................................. 32
5.2.6. Integrar Proxy ................................................................................................................ 33
5.3. Monitorización de dispositivos ............................................................................................. 34
5.4. Herramientas de AlienVault .................................................................................................. 39
6. Reglas de correlación .................................................................................................................... 45
6.1. Host Port Scan ....................................................................................................................... 48
6.2. Sweep Port Scan .................................................................................................................... 49
6.3. Cambios en Grupos Críticos .................................................................................................. 50
6.4. Ataques de fuerza bruta ........................................................................................................ 50
6.5. Accesos a documentos compartidos ..................................................................................... 52
7. Cuadro de mando. ......................................................................................................................... 53
8. Sistema de alarmas y ticketing. ..................................................................................................... 57
9. Reporting ....................................................................................................................................... 65
BIBLIOGRAFÍA ........................................................................................................................................ 72
APÉNDICE .................................................................................................................................................0
A1. Instalación VMWare ..................................................................................................................0
A2. Desplegar una máquina en VMWare .........................................................................................2
A3. Instalación de Windows Server 2012 (Directorio Activo) ..........................................................4
A4. Instalación del Firewall pfSense .................................................................................................7
A5. Instalación Proxy Squid ........................................................................................................... 10
A6. Instalación Windows 7 ............................................................................................................ 11
A7. Creación de recurso compartido ............................................................................................ 14
A8. Instalación Xampp ................................................................................................................... 15
A9. Instalación FTP ........................................................................................................................ 18
A10. Instalación FileZilla ................................................................................................................ 22
A11. Instalación AlienVault ........................................................................................................... 24
A12. KeePass ................................................................................................................................. 28
A13. Rendimiento del Equipo de Sobremesa................................................................................ 28
A14. Activar Auditoría de Objetos en Windows 7......................................................................... 29
VITA (Biografía del autor) ...................................................................................................................... 32
LISTADO DE TABLAS
Tabla 1. Sistemas de Recolección utilizados ............................................................................ 28

Tabla 2. Correlaciones creadas ................................................................................................. 47
ÍNDICE DE FIGURAS
Figura 1. Diagrama de Red ............................................................................................... 1

Figura 2. Características Equipo de Sobremesa ............................................................... 2
Figura 3. IP asignada al Equipo de Sobremesa ................................................................ 2
Figura 4. Características Equipo de Sobremesa ............................................................... 3
Figura 5.IP asignada al Portátil......................................................................................... 3
Figura 6. Características del Firewall + IDS .................................................................... 4
Figura 7. IP asignada al Firewall+IDS ............................................................................. 4
Figura 8. Panel de acceso a pfSense ................................................................................. 5
Figura 9. Información del Sistema donde se encuentra desplegado pfSense ................... 5
Figura 10. Características del Servidor FTP ..................................................................... 6
Figura 11. IP asignada al Servidor FTP ............................................................................ 6
Figura 12. Características del Servidor Web .................................................................... 7
Figura 13. IP asignada al Servidor Web ........................................................................... 7
Figura 14.Página web personal ......................................................................................... 8
Figura 15. Características del Directorio Activo .............................................................. 9
Figura 16. IP asignada al Directorio Activo ..................................................................... 9
Figura 17. Características del Recurso Compartido ....................................................... 10
Figura 18. IP asignada al Recurso Compartido .............................................................. 10
Figura 19. Acceso al recurso compartido ....................................................................... 11
Figura 20. Comprobación de acceso al Recurso Compartido desde otra máquina ........ 11
Figura 21. Características del Servidor Proxy Squid ...................................................... 12
Figura 22. IP asignada al Servidor Proxy ....................................................................... 12
Figura 23. pfSense .......................................................................................................... 13
Figura 24. Suricata .......................................................................................................... 14
Figura 25. FTP ................................................................................................................ 15
Figura 26. Apache Software Foundation ........................................................................ 16
Figura 27. Web Personal ................................................................................................ 16
Figura 28. Windows Server Active ................................................................................ 17
Figura 29. Proxy Squid ................................................................................................... 19
Figura 30. Recolección de logs con Syslog .................................................................... 23
Figura 31. Características del Sistema de AlienVault .................................................... 24
Figura 32. Versión AlienVault ....................................................................................... 25
Figura 33.AlienVault Setup ............................................................................................ 25
Figura 34. AlienVault – Configure Monitor Plugins ...................................................... 26
Figura 35. Panel de Login a la heramienta AlienVault .................................................. 27
Figura 36.Panel principal AlienVault ............................................................................. 27
Figura 37. Panel de herramientas de AlienVault ............................................................ 28
Figura 38. Panel de información del sistema de pfSense ............................................... 29
Figura 39. Panel de opciones del Logging de pfSense ................................................... 29
Figura 40. Configuración SyslogAgent en FTP ............................................................. 30
Figura 41. Configuración SyslogAgent en Servidor Web .............................................. 30
Figura 42. Configuración NXLog en Windows Server 2012 ......................................... 31
Figura 43. Configuración SyslogAgent en Windows 7 .................................................. 32
Figura 44. Security Settings............................................................................................ 32
Figura 45. Configuración Rsyslog en Squid ................................................................... 33
Figura 46 Panel de Environment de AlienVault ............................................................. 34
Figura 47. Panel de Assets de AlienVault ...................................................................... 34
Figura 48. Escaneo de Assets en AlienVault .................................................................. 35
Figura 49. Selección del tipo de assests para el escaneo en AlienVault......................... 35
Figura 50. Iniciando el escaneo de Host en AlienVault ................................................. 36
Figura 51. Assets encontrados por el escaner ................................................................. 36
Figura 52. Botón para añadir un host de forma manual ................................................. 37
Figura 53. Panalla para crear un host.............................................................................. 37
Figura 54.Networks en AlienVault ................................................................................. 38
Figura 55. Panel Alarms ................................................................................................. 39
Figura 56. Security Events (SIEM) ................................................................................ 39
Figura 57. Security Events (Real-Time) ......................................................................... 40
Figura 58. Panel para el escaneo de Vulnerabilidades ................................................... 40
Figura 59. Panel de Netflow ........................................................................................... 41
Figura 60. Traffic capture ............................................................................................... 42
Figura 61. Monitoring..................................................................................................... 43
Figura 62. HIDS de AlienVault ...................................................................................... 43
Figura 63. Panel de administración de AlienVault ......................................................... 44
Figura 64. Correlation Directives ................................................................................... 45
Figura 65. Nueva directiva ............................................................................................. 46
Figura 66. Elegir tipo de evento o taxonomía................................................................. 46
Figura 67. Selección de fuentes ...................................................................................... 46
Figura 68. Elegir assest ................................................................................................... 47
Figura 69. Correlación creada ........................................................................................ 47
Figura 70. Correlación Host Port Scan ........................................................................... 48
Figura 71. Alarmas detectadas por la correlación Host Port Scan ................................. 48
Figura 72. Correlación Sweep Scan 445 ........................................................................ 49
Figura 73. Alarmas detectadas por la correlación Sweep Scan 445 ............................... 49
Figura 74. Correlación Cambios en Grupos Críticos ..................................................... 50
Figura 76. Correlacion Bruteforce attack FTP ............................................................... 50
Figura 78. Correlación Bruteforce attack Windows authentication ............................... 51
Figura 80. Correlación Accesos a documentos compartidos .......................................... 52
Figura 81. Accediendo al panel de Dashboards ............................................................. 53
Figura 82. Tipos de Dashboars disponibles den AlienVault .......................................... 53
Figura 83. Informe Executive ......................................................................................... 54
Figura 84. Informe Tickets ............................................................................................. 54
Figura 85. Informe Security............................................................................................ 55
Figura 86. Informe Taxonomia ....................................................................................... 55
Figura 87. Informe Network ........................................................................................... 56
Figura 88. Informe Personalizado .................................................................................. 56
Figura 89. Herramienta de ticketing ............................................................................... 57
Figura 90. Elegir tipo de ticket ....................................................................................... 58
Figura 91. Crear un ticket ............................................................................................... 58
Figura 92. Formulario para ticket tipo Alarm o Event ................................................... 59
Figura 93. Formulario para ticket tipo Vulnerability...................................................... 59
Figura 94. Formulario para ticket tipo MAC .................................................................. 60
Figura 95. Formulario para ticket tipo OS ...................................................................... 60
Figura 96. Formulario para ticket tipo Services ............................................................. 60
Figura 97. Creando un ticket tipo Alarm ........................................................................ 61
Figura 98. Ticket de prueba ............................................................................................ 61
Figura 99. Panel de tickets abiertos ................................................................................ 62
Figura 100. Formulario para modificar el ticket............................................................. 62
Figura 101. Cerrar un ticket ............................................................................................ 62
Figura 102. Tickets cerrados .......................................................................................... 63
Figura 103. Panel de Alarmas......................................................................................... 63
Figura 104. Búsqueda de alarmas ................................................................................... 64
Figura 105. Listado de alarmas generadas...................................................................... 64
Figura 106. Acceso al Panel de Reports ......................................................................... 65
Figura 107. Alarms Reports e Informe generado ........................................................... 66
Figura 108. Asset Details................................................................................................ 66
Figura 109. Información LD-WindowsServer2012........................................................ 66
Figura 110. Detalle actividad de LD-WindowsServer2012 ........................................... 67
Figura 111. Availability Report ...................................................................................... 67
Figura 112. Business & Compliance ISO PCI Report e Informe ................................... 67
Figura 113. Geographic Report e Informe...................................................................... 67
Figura 114. SIEM Events e Informe ............................................................................... 68
Figura 115. Threats & Vulnerabilites Database ............................................................. 68
Figura 116. Threat Database ........................................................................................... 68
Figura 117. Tickets Status .............................................................................................. 69
Figura 118. Informe tickets status .................................................................................. 69
Figura 119 Informe tickets status ................................................................................... 69
Figura 120. Informe tickets status .................................................................................. 70
Figura 121. Tickets Report e Informe ............................................................................ 71
Figura 122. User Activity Report ................................................................................... 71
Figura 123. User Activity ............................................................................................... 71
Figura 124. Vulnerabilities Report ................................................................................. 71
DESARROLLO DEL
CONTENIDO
1. Mapa de Red de la Empresa
Figura 1. Diagrama de Red
La red de una empresa está formada internamente de tres subredes divididas a través de un
Firewall [1] pfSense con un IDS [2] Suricata. La primera subred es una DMZ [3] Externa que
cuenta con un Servidor FTP [4] y un Servidor Web Apache con un SQL y PHP. Como segunda
subred se denomina Red Interna de Servidores que está formada de un Directorio Activo [5] de
un Windows Server, un Servidor con un Recurso Compartido [6] y un Proxy [7] Squid que
genera una subred denominada Red de Usuarios que es a través de la que se conectan todos los
equipos de la empresa. En la Red Interna de Servidores, para la detección de eventos de
seguridad se va a implementar, configurar y gestionar un SIEM [8], donde la elección es
AlienVault [9].
1
1.1. Equipo de Sobremesa

Este es uno de los equipos con el que se ha realizado la práctica y en la imagen de a continuación
podemos ver las características del equipo.
Figura 2. Características Equipo de Sobremesa
En esta imagen podemos ver la IP asignada dentro de la red interna.
Figura 3. IP asignada al Equipo de Sobremesa
2
1.2. Equipo Portátil

Figura 4. Características Equipo de Sobremesa
Figura 5.IP asignada al Portátil
3
1.3. Firewall + IDS

Figura 6. Características del Firewall + IDS
Figura 7. IP asignada al Firewall+IDS
4
En esta imagen podemos ver el panel de configuración de pfSense que más adelante se explica
en el apartado 1.4. Firewall.
Figura 8. Panel de acceso a pfSense
Figura 9. Información del Sistema donde se encuentra desplegado pfSense
5
1.4. Servidor FTP

Figura 10. Características del Servidor FTP
Figura 11. IP asignada al Servidor FTP
6
1.5. Servidor Web

Figura 12. Características del Servidor Web
Figura 13. IP asignada al Servidor Web
7
En esta imagen podemos ver como accedemos a la página que se encuentra alojada en el
Servidor Web.
Figura 14.Página web personal
8
1.6. Directorio Activo

Figura 15. Características del Directorio Activo
Figura 16. IP asignada al Directorio Activo
9
1.7. Recurso compartido

Figura 17. Características del Recurso Compartido
Figura 18. IP asignada al Recurso Compartido
10
En esta imagen vemos como accedemos desde uno de los equipos al recurso compartido.
Figura 19. Acceso al recurso compartido
En esta imagen vemos que la información que se ha dejado en el recurso compartido es la misma
que al abrirlo en una de las máquinas.
Figura 20. Comprobación de acceso al Recurso Compartido desde otra máquina
11
1.8. Servidor Proxy

Figura 21. Características del Servidor Proxy Squid
Figura 22. IP asignada al Servidor Proxy
12
2. Identificación y descripción de los dispositivos a monitorizar
Todos los dispositivos a monitorizar son los que se han identificado y descrito a partir del
mapa de red en el apartado anterior. En los siguientes puntos se van a describir cada uno de los
dispositivos a monitorizar describiendo con que sistema operativo y aplicaciones cuentan.
2.1. Firewall + IDS

El sistema operativo de este equipo está basado en FreeBSD, con el objetivo de tener un firewall
fácilmente configurable a través de una interface web e instalable en cualquier PC, además de
contar con un IDS. El firewall que tiene desplegado se denomina pfSense [10] y el IDS se
denomina Suricata [11].
PFSense se trata de una solución muy completa, que esta licenciada bajo BSD lo que significa
que es de libre distribución. OpenBsd considerado uno de los sistemas operativos más seguro a
día de hoy que tiene presente packet filter (PF) (filtro de paquetes sistema de OpenBsd para
filtrar el tráfico tcp/ip, proporciona además control de ancho de banda y priorización de
paquetes) como estándar desde noviembre de 2004 que tiene también su propio hardware
como VK-T40E, FW-755, C2758.
Figura 23. pfSense
Este Firewall se encarga de la red de ordenadores de las intrusiones que provienen de una
tercera red (expresamente de Internet). Este dispositivo nos permite filtrar los paquetes de
datos que andan por la red. Se va a encargar de filtrar el tráfico entre la red interna y externa.
13
Figura 24. Suricata
Un IDS es un programa de detección de accesos no autorizados a un computador o a una red. El

IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS
puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a
dichos sensores, las anomalías que pueden ser indicio de la presencia de ataques y falsas
alarmas.
Con este IDS vamos a poder tener análisis pormenorizado del tráfico de red, con el que se podrá
comprobar comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes
malformados, etc.
14
2.2. Servidor FTP

El sistema operativo de este servidor FTP es un Windows 7, sistema operativo que no necesita
presentación, por lo que se muestra una breve introducción. Este sistema operativo se
encuentra disponible para PC, smartphone, servidores y sistemas empotrados, desarrollados y
vendidos por Microsoft y disponibles para múltiples arquitecturas, tales como x86 y ARM.
Windows 7 es una versión que está diseñada para uso en PC, incluyendo equipos de escritorio
en hogares y oficinas, equipos portátiles, tabletas, netbooks y equipos multimedia.2 El
desarrollo de Windows 7 se completó el 22 de julio de 2009, siendo entonces confirmada su
fecha de venta oficial para el 22 de octubre de 2009 junto a su equivalente para servidores
Windows Server 2008 R2.3.
Un Servidor FTP es un programa especial que se ejecuta en un equipo servidor normalmente

conectado a Internet (aunque puede estar conectado a otros tipos de redes, LAN, MAN, etc.).
Su función es permitir el intercambio de datos entre diferentes servidores/ordenadores.
Por lo general, los programas servidores FTP no suelen encontrarse en los ordenadores
personales, por lo que un usuario normalmente utilizará el FTP para conectarse remotamente a
uno y así intercambiar información con él.
Las aplicaciones más comunes de los servidores FTP suelen ser el alojamiento web, en el que sus
clientes utilizan el servicio para subir sus páginas web y sus archivos correspondientes; o como
servidor de backup (copia de seguridad) de los archivos importantes que pueda tener una
empresa. Para ello, existen protocolos de comunicación FTP para que los datos se transmitan
cifrados, como el SFTP (Secure File Transfer Protocol).
Figura 25. FTP
Con este servidor FTP ejecutado en un equipo servidor conectado a Internet nos va a permitir el
intercambio de datos entre diferentes servidores/computadores en el cual vamos a poder alojar
información accesible dentro y fuera de nuestra red.
15
2.3. Servidor Web

Este servidor web tiene desplegado el sistema operativo Windows 10 con la instalación de
Apache Software Foundation [12] para el despliegue de aplicaciones web.
Apache es un servidor web HTTP de código abierto, para plataformas Unix (BSD, GNU/Linux,
etc.), Microsoft Windows, Macintosh y otras, que implementa el protocolo HTTP/1.12 y la
noción de sitio virtual.
El Servidor Apache es desarrollado y mantenido por una comunidad de usuarios bajo la

supervisión de la Apache Software Foundation dentro del proyecto HTTP Server (httpd).
Apache es usado principalmente para enviar páginas web estáticas y dinámicas en la World Wide
Web. Muchas aplicaciones web están diseñadas asumiendo como ambiente de implantación a
Apache, o que utilizarán características propias de este servidor web.
Figura 26. Apache Software Foundation
Este servidor web se va a desplegar mi página web personal que nos va a permitir tener acceso
a ella para consultar la información que se encuentra en dicha página.
Figura 27. Web Personal
16
2.4. Directorio Activo

Este equipo tiene instalado un Windows Server 2012 que contiene desplegado el software de
gestión del Active Directory donde podemos gestionar los dominios y cuentas de la red interna.
Este son los términos que utiliza Microsoft para referirse a su implementación de servicio de
directorio en una red distribuida de computadores. Utiliza distintos protocolos, principalmente
LDAP, DNS, DHCP y Kerberos.
De forma sencilla se puede decir que es un servicio establecido en uno o varios servidores en
donde se crean objetos tales como usuarios, equipos o grupos, con el objetivo de administrar
los inicios de sesión en los equipos conectados a la red, así como también la administración de
políticas en toda la red.
Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes
de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de
acceso.1
Active Directory permite a los administradores establecer políticas a nivel de empresa, desplegar
programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera.
Un Active Directory almacena información de una organización en una base de datos central,
organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una
red pequeña hasta directorios con millones de objetos.
Figura 28. Windows Server Active
Con este directorio vamos a disponer de una base de datos que almacena de forma centralizada
toda la información a un dominio de autenticación, pudiendo disponer de una sincronización
presente en todos los servidores de autenticación de todo el dominio. Con esto podremos crear
los usuarios que tendrán acceso a los diferentes sistemas de nuestra red interna.
17
2.5. Recurso Compartido

El sistema operativo utilizado para crear el recurso compartido es Windows 7 el cual ya
dispone de la configuración necesaria para crear un recurso compartido desde su panel de
control donde aparece programas.
Con este recurso compartido tendremos la opción de compartir información accesible desde
nuestros equipos y fácilmente editable.
18
2.6. Proxy Squid

Esta máquina tiene instalado el sistema operativo Ubuntu 16.04.2 LTS de Linux y desplegado
Squid [23] para tener en nuestra red un Servidor Proxy.
Squid es un servidor proxy para web con caché. Es una de las aplicaciones más populares y de
referencia para esta función, software libre publicado bajo licencia GPL. Entre sus utilidades está
la de mejorar el rendimiento de las conexiones de empresas y particulares a Internet guardando
en caché peticiones recurrentes a servidores web y DNS, acelerar el acceso a un servidor web
determinado o añadir seguridad realizando filtrados de tráfico.
Figura 29. Proxy Squid
Con este servidor proxy podremos tener control sobre el tráfico de nuestra red para filtrar la
información de las peticiones a Internet de tal manera que podamos limitar y restringir los
derechos de los usuarios, y dar permisos únicamente al servidor proxy. También, podremos
negar a responder algunas peticiones si detecta que están prohibidas y otra serie de ventajas
que tenemos cuando disponemos de un Servidor Proxy.
19
3. Descripción de los eventos y logs a recolectar
3.1. Logs del Firewall

Cualquiera que sea el tipo de firewall instalado podrá disponer de fieros logs correspondientes
a la propia máquina o sistema operativo y además tendrá ficheros donde se registra toda la
actividad y eventos de la red. En estos eventos contamos con direcciones IP de origen,
direcciones IP de destino, protocolos, puertos origen y destino, URLs accedidas, aplicaciones o
servicios utilizados, etc.
En este enlace podemos ver la información que registran los logs del Firewall pfSense:
https://doc.pfsense.org/index.php/Firewall_Logs
3.2. Logs del IDS

Los diferentes logs del IDS registran el estado del tráfico sobre alertas de potenciales brechas de
seguridad dentro de la red.
En este enlace podemos ver la información que registran los logs del IDS Suricata:
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
3.3. Logs del Servidor FTP

El servidor FTP va a registrar logs relacionados con los accesos al mismo donde se presentan
también aquellos que no se han realizado correctamente. Va a presentar información de IPs de
origen, los usuarios que acceden, la fecha, etc.
En este enlace podemos ver la información que registran los logs del Firewall pfSense:
https://technet.microsoft.com/en-us/library/hh831624(v=ws.11).aspx
3.4. Logs del Servidor Web Windows

El registro de errores del servidor, cuyo nombre y ubicación se especifica en la directiva ErrorLog,
es el más importante de todos los registros. Apache enviará cualquier información de
diagnóstico y registrará cualquier error que encuentre al procesar peticiones al archivo de
registro seleccionado. Es el primer lugar donde tiene que mirar cuando surja un problema al
iniciar el servidor o durante su operación normal, porque con frecuencia encontrará en él
información detallada de qué ha ido mal y cómo solucionar el problema.
El servidor almacena en el registro de acceso información sobre todas las peticiones que
procesa. La ubicación del fichero de registro y el contenido que se registra se pueden modificar
con la directiva CustomLog. Puede usar la directiva LogFormat para simplificar la selección de
los contenidos que quiere que se incluyan en los registros. Esta sección explica como configurar
el servidor para que registre la información que usted considere oportuno en el registro de
acceso.
20
En este enlace podemos ver la información que registran los logs de Apache:
https://httpd.apache.org/docs/2.4/es/logs.html
3.5. Logs del Directorio Activo

El directorio Activo va a registrar toda la actividad realizada por todo lo que se encuentra
almacenado en su sistema, donde podremos encontrar la actividad de todas las cuentas creadas.
Se registra la actividad relacionada con los accesos al directorio donde se registran los intentos
de acceso junto con el bloqueo de cuentas si se realizan varios intentos fallidos, denegación de
acceso por falta de privilegios, la creación y eliminación de cuentas, etc.
En estos enlaces podremos consultar la información que nos muestra el Directorio Activo de
Windows:
https://technet.microsoft.com/en-us/library/cc961809.aspx
https://msdn.microsoft.com/en-us/library/bb726966.aspx
3.6. Recurso Compartido

La información a recoger de un recurso compartido es la que nos va a facilitar el sistema
operativo con respecto a auditoría de accesos donde quedará registrado toda la actividad
realizada dentro del directorio, donde podremos ver registros de creación y eliminación de
carpetas o documentos donde se mostrará información del usuario, fecha, ruta, etc. También,
nos mostrará información parecida a la de un servidor FTP donde mostrará información de IPs
de origen, los usuarios que acceden, la fecha, etc.
En este enlace podremos ver información sobre los datos que nos muestra Windows con
respecto a la auditoría de accesos en las carpetas que será la información que se recogerá:
https://technet.microsoft.com/es-es/library/dd772690(v=ws.10).aspx
3.7. Logs del Proxy

Los registros son una valiosa fuente de información sobre las cargas de trabajo y el rendimiento
de Squid. Los registros registran no sólo la información de acceso, sino también los errores de
configuración del sistema y el consumo de recursos (por ejemplo, memoria, espacio en disco).
Hay varios archivos de registro mantenidos por Squid. Algunos tienen que ser activados
explícitamente durante el tiempo de compilación, otros pueden desactivarse de forma segura
durante el tiempo de ejecución.
Hay algunos puntos básicos comunes a todos los archivos de registro. Los sellos temporales
registrados en los archivos de registro normalmente son UTC a menos que se indique lo
contrario. La marca de tiempo inicial normalmente contiene una extensión de milisegundo.
En este enlace podemos ver la información que registran los logs del proxy Squid:
http://wiki.squid-cache.org/SquidFaq/SquidLogs
21
4. Sistemas de recolección de logs

En la actualidad existen varias formas de recolectar logs por un sistema SIEM, en este
apartado se van a tratar a nivel teórico dos de ellas que son Syslog [14] y WMI [15]. En este
proyecto se van a utilizar Syslog, Rsyslog [16] y NXLog [17] las cuales se van a comentar
brevemente.
4.1. WMI
El Control del Instrumental de administración de Windows (WMI) es una herramienta que
permite establecer la configuración de WMI en un equipo remoto o local. WMI es la fuente
principal para administrar los datos y la funcionalidad en equipos locales y remotos que ejecutan
los sistemas operativos Windows. Puede obtener los datos de administración de WMI
directamente a través de scripts y aplicaciones o a través de herramientas de administración
corporativas como Microsoft Systems Management Server (SMS) y Microsoft Operations
Manager (MOM).
A modo de resumen, WMI nos ofrece la posibilidad de recolectar los logs del sistema operativo
y de todas las aplicaciones que se encuentren instaladas en él, pero de forma remota, es decir,
debemos de consultar desde nuestro recolector al sistema del que queremos obtener los logs.
Puede utilizar scripts escritos en cualquier lenguaje de scripting que pueda funcionar con
Windows Script Host.
El uso de Control WMI le permite realizar las siguientes tareas:
• Copia de seguridad del repositorio.

• Cambiar el espacio de nombres predeterminado para el scripting.
• Autorizar usuarios o grupos y establecer niveles de permisos.
22
4.2. Syslog
Syslog es un sistema de logs que se encarga principalmente de la administración de logs, los
cuales son generados por eventos del sistema, sus programas o por el Kernel. Inicialmente fue
usado en sistemas basados en UNIX para registrar eventos de aplicaciones, sistema operativo o
red, pero a día de hoy es posible encontrar sistemas Windows que tengan implementados esta
herramienta.
El programa syslog provee una plataforma estandarizada, bajo la cual programas (tanto sistemas
operativos como aplicaciones) pueden publicar mensajes para que sean tratados por ninguna,
cualquiera, o todas las acciones siguientes, basado en la configuración de syslog.
En este caso la recolección de logs ocurre de forma contraria a WMI ya que es el propio sistema
que tiene instalado Syslog el que envía los logs al recolector del sistema SIEM.
Figura 30. Recolección de logs con Syslog
4.3. Otros
Otros sistemas utilizados son:
• Rsyslog. Es una evolución de Syslog que mejora en funcionalidades con respecto al

anterior.
• NXLog. Esta herramienta es de gestión multiplataforma de log de alto rendimiento
orientada a la solución de estas tareas y hacerlo todo en un solo lugar.
23
5. Implementación del sistema SIEM
En este apartado se va a mostrar la configuración de AlienVault donde se encuentra

instalado el sistema operativo junto con la herramienta de AlienVault desplegada. Seguido, se
van a presentar cada una las integraciones de los dispositivos de la red interna para la
recolección de los logs por medio de los sistemas de recolección tratados en el apartado 4.
Sistemas de recolección de logs. Después, se procede a mostrar cómo se monitorizan los
dispositivos y finalmente se muestran a grandes rasgos las herramientas con las que cuenta
AlienVault con el estado después de recibir todos los logs de los dispositivos.
A continuación, podemos ver las características del sistema de AlienVault.
Figura 31. Características del Sistema de AlienVault
24
5.1. Inicios AlienVault

En primer lugar, realizamos la instalación de AlienVault que se explica en el punto del apéndice
A11. Instalación AlienVault y procederemos a realizar la configuración necesaria para recolectar
los logs del sistema de la red.
Una vez instalado el sistema vemos lo que nos muestra en la siguiente imagen. Lo que aparece
es un menú de configuración para adaptar el sistema con lo necesario para recolectar los logs,
tener acceso a la base de dato que almacenan la configuración web, eventos, usuarios, etc. Y
también, podemos configurar aquello de lo que queramos disponer en el sistema SIEM.
Figura 32. Versión AlienVault
Figura 33.AlienVault Setup
25
Este panel nos muestra las opciones de las que disponemos de las cuales vamos a tratar una de
ellas a groso modo que es la opción 1 Configure Sensor → 2 Configure Monitor Plugins donde
podremos instalar todos los plugins necesarios para la recolección e identificación de los logs
que serán mandados por cada uno de los elementos de la red interna. En el panel que se muestra
en la imagen se eligen los plugins que queremos tener para la identificación de logs.
Figura 34. AlienVault – Configure Monitor Plugins
26
Por otro lado, podemos acceder ya a la herramienta a través de un explorador web donde ya
dispondremos de todas las funcionalidades de este SIEM, en la imagen siguiente se muestra
del acceso a la herramienta.
Figura 35. Panel de Login a la heramienta AlienVault
En esta imagen se muestra el primer panel que aparece nada más entrar a la herramienta.
Figura 36.Panel principal AlienVault
27
A continuación, podemos ver en la siguiente imagen cada uno de los paneles con los que cuenta
la herramienta que se irán tratando a lo largo de este documento.
Figura 37. Panel de herramientas de AlienVault
5.2. Integración de fuentes

Para la integración de las fuentes debemos de configurar cada una de las máquinas para que le
mande los logs al SIEM configurando por medio de los sistemas de recolección, tratados en el
apartado 4. Sistemas de recolección de Logs, al recolector del AlienVault, que en nuestro caso
es la 192.168.1.252. En los apartados siguientes se va a mostrar el sistema de envío y la
configuración necesaria y en el apartado se van a comentar un poco más en detalle las
herramientas utilizadas para el envío y recolección de logs.
Dispositivo Sistema de recolección

Firewall + IDS Syslog
Servidor FTP SyslogAgent
Servidor Web SyslogAgent
Directorio Activo NXLog
Recurso Compartido SyslogAgent
Proxy Rsyslog
Tabla 1. Sistemas de Recolección utilizados
28
5.2.1. Integración del Firewall + IDS

Este firewall y el IDS van a mandar los logs por medio de Syslog y para ello solo tenemos que
acceder dentro de la interfaz web de pfSense al panel de Status → System Logs tal y como
podemos ver en la imagen.
Figura 38. Panel de información del sistema de pfSense
A continuación, debemos de activar la pestaña que aparece en Enable Remote Loggin y añadir
la IP del recolector de AlienVault tal y como se muestra en la imagen.
Figura 39. Panel de opciones del Logging de pfSense
29
5.2.2. Integrar FTP

Para integrar el servidor FTP ha instalado un software denominado SyslogAgent que nos ha
permitido seleccionar los eventos que enviar configurando las diferentes opciones que nos
ofrece.
Figura 40. Configuración SyslogAgent en FTP
5.2.3. Integrar el servidor web

Para el servidor web se ha instalado un software denominado SyslogAgent que nos ha permitido
seleccionar los eventos que enviar que en este caso son los archivos logs del servidor apache.
Figura 41. Configuración SyslogAgent en Servidor Web
30
5.2.4. Integrar el Directorio Activo

Para integrar el directorio activo se ha realizado por medio de NXLog siguiendo las indicaciones
de la documentación de AlienVault que podemos encontrar en la siguiente url:
https://www.alienvault.com/documentation/usm-appliance/plugin-management/supported-
plugins/configuring-nxlog.htm.
Consiste en instalar NXLog y a continuación modificar unos archivos donde se le indica la IP del
recolector de Alien Vault.
Figura 42. Configuración NXLog en Windows Server 2012
31
5.2.5. Integrar Windows con recurso compartido

Para integrar el recurso compartido se ha instalado un software denominado SyslogAgent que
nos ha permitido seleccionar los eventos que enviar configurando las diferentes opciones que
nos ofrece.
Figura 43. Configuración SyslogAgent en Windows 7
En la siguiente imagen vemos los Logs de Seguridad.
Figura 44. Security Settings
32
5.2.6. Integrar Proxy

Para integrar el Proxy Squid debemos de configurar el archivo /etc/rsyslog.d/50-default.conf y
añadir la IP del recolector de AlienVault tal y como se muestra en la imagen en la línea que se
encuentra recuadrada en rojo.
Figura 45. Configuración Rsyslog en Squid
33
5.3. Monitorización de dispositivos

Para la monitorización de los dispositivos de nuestra red tenemos que realizar previamente la
identificación de los dispositivos y después la agregación dentro de la herramienta para que sea
monitorizada. Para ello, podemos seguir dos líneas de configuración donde la primera sería
utilizar la funcionalidad que viene incorporada de detectar todos los sistemas de nuestra red o
añadir nosotros mismos la IP y el nombre del sistema que queramos monitorizar.
Para llevar a cabo la identificación de forma automática debemos de ir al panel Environment

→Assets & Groups.
Figura 46 Panel de Environment de AlienVault
Una vez dentro de este panel hacemos clic sobre el botón ADD ASSETS y seleccionamos Scan For
New Assets tal y como vemos en la imagen.
Figura 47. Panel de Assets de AlienVault
34
A continuación, nos aparecerá el siguiente panel donde debemos elegir el tipo de assets que
queremos escanear y después ejecutar el escáner tal y como se muestra en las imágenes que
aparecen a continuación.
Figura 48. Escaneo de Assets en AlienVault
En nuestro caso se ha seleccionado lo siguiente.
Figura 49. Selección del tipo de assests para el escaneo en AlienVault
35
Aquí vemos como la herramienta está buscando los distintos dispositivos de la red.
Figura 50. Iniciando el escaneo de Host en AlienVault
En la siguiente imagen vemos los resultados obtenidos con el análisis donde podemos ver todos
los dispositivos encontrados de los cuales se han encontrado todos los de nuestra red interna.
Además, ha identificado más dispositivos de los cuales no aparecen en el mapa de red y eso se
debe a que no solo hay conectados esos dispositivos en la red local si no que hay varios
ordenadores portátiles y otros dispositivos que vamos a obviar porque no se encuentran dentro
del ámbito de este trabajo.
Figura 51. Assets encontrados por el escaner
36
Por otro lado, podemos añadir el dispositivo que queramos de la siguiente manera que se
describe a continuación. Para ello pulsamos sobre el botón ADD ASSETS y seleccionamos Add
Host.
Figura 52. Botón para añadir un host de forma manual
Se nos abrirá el siguiente panel donde podemos añadir la información del Host que queramos
monitorizar y toda la información complementaria que queramos añadir.
Figura 53. Panalla para crear un host
37
También, tenemos las siguientes opciones para poder ver todos los assets, los grupos creados
para juntar e identificar un conjunto de assets tal y como se desee tener la identificación, las
diferentes redes de nuestra red interna, grupo de redes y configurar un escaneo programado.
Todo esto se puede realizar entrando en cada una de las opciones que se ofrecen en el panel de
Assets & Grups que podemos ver en la siguiente imagen.
Figura 54.Networks en AlienVault
Una vez se tienen identificados los sistemas que queremos monitorizar de la red interna es hora
de crear las reglas de correlación para la detección de eventos de seguridad. Esto se ve explicado
en el apartado de 6. Reglas de correlación donde se crean diferentes reglas donde algunas de
ellas generararán alertas según se configure.
38
5.4. Herramientas de AlienVault

A continuación, se muestran varias de las herramientas con las que cuenta AlienVault. La que
aparece en la imagen es una herramienta que nos sirve para gestionar las alarmas que se
generen.
Figura 55. Panel Alarms
En la imagen siguiente podemos ver una pantalla donde se pueden utilizar las categorías de
filtrado en la parte superior del panel del SIEM (SIEM). Se puede buscar tipos de eventos
específicos, utilizando una variedad de filtros, incluidos los eventos con las siguientes
características:
• Eventos que tienen el mismo host que el tráfico que activó una alarma.
• Eventos que vienen a través del mismo sensor.
• Eventos basados en pulsos OTX o en OTX IP Reputation.
Figura 56. Security Events (SIEM)
39
En el siguiente panel podemos ver los eventos en tiempo real.
Figura 57. Security Events (Real-Time)
En la siguiente imagen vemos que AlienVault cuenta con un escáner de vulnerabilidades para
todos nuestros hosts.
Figura 58. Panel para el escaneo de Vulnerabilidades
40
En el siguiente panel podemos ver el tráfico y la cantidad de paquetes para cada uno de los
protocolos de red.
Figura 59. Panel de Netflow
41
El siguiente panel, que se muestra en las dos imágenes de a continuación, nos ofrece la
posibilidad de realizar un esnifado del tráfico como la herramienta WireShark.
Figura 60. Traffic capture
42
También, contamos con un panel que nos muestra la disponibilidad de cada uno de nuestros
host y servicios.
Figura 61. Monitoring
Además, esta herramienta cuenta con un HIDS.
Figura 62. HIDS de AlienVault
43
Finalmente, la esta última imagen se muestra que dentro del panel de configuración contamos
con la administración del sistema donde podemos crear usuarios, eliminar, etc., realizar backups
y otras funcionalidades.
Figura 63. Panel de administración de AlienVault
44
6. Reglas de correlación
Primeramente, se va a mostrar la configuración de una correlación y en cada apartado que
aparece a continuación vamos a mostrar la configuración final de cada una de las correlaciones.
En este link podemos ver documentación de AlienVault relacionada con la creación de
correlaciones: https://www.alienvault.com/documentation/usm-appliance/correlation/about-
correlation-rules.htm
Para acceder al panel donde se crean las correlaciones debemos de dirigirnos a la pestaña
Configuration → Threat Intelligence y una vez dentro elegir la pestaña Directives. Aquí podemos
ver como AlienVault nos facilita una cantidad de directivas por defecto las cuales pueden
modificarse según necesitemos. Para crear una personalizada debemos dirigirnos al botón New
Directive.
Figura 64. Correlation Directives
45
En este apartado completamos la información de la correlación.
Figura 65. Nueva directiva
A continuación, debemos de elegir el tipo de fuente del que se nutre.
Figura 66. Elegir tipo de evento o taxonomía
Seguido, seleccionamos todas las fuentes que queramos que en este caso serían todas.
Figura 67. Selección de fuentes
46
En esta pantalla se eligen los assest de los que queremos que se tenga en cuenta esta relación,
en nuestro caso hemos marcado todos.
Figura 68. Elegir assest
Finalmente, tenemos la correlación creada y lista para funcionar.
Figura 69. Correlación creada
En esta tabla podemos ver las directivas a crear con su definición y a continuación en los
siguientes apartados se muestra cómo se configuran.
Correlación Fuente Categoría

Host port scan Firewall User Contributed
Sweep port scan Firewall User Contributed
Cambios en grupos críticos Directorio Activo User Contributed
Ataques de fuerza bruta Directorio Activo / Servidor FTP AlienVault BruteForce
Accesos a documentos Servidor Web / Recurso User Contributed

compartidos compartido / Proxy
Tabla 2. Correlaciones creadas
47
6.1. Host Port Scan

Esta correlación se ha creado para controlar si se realizan escaneo de puertos y es detectada por
el Firewall pfSense.
Figura 70. Correlación Host Port Scan
A continuación, se muestran algunas de las alarmas detectadas por la correlación que hemos
creado.
Figura 71. Alarmas detectadas por la correlación Host Port Scan
48
6.2. Sweep Port Scan

Esta correlación se ha creado para detectar el escaneo del puerto 445.
Figura 72. Correlación Sweep Scan 445
A continuación, se muestran algunas de las alarmas detectadas por la correlación que hemos
creado.
Figura 73. Alarmas detectadas por la correlación Sweep Scan 445
49
6.3. Cambios en Grupos Críticos

Esta correlación se crea para tener control sobre los usuarios que se crean en grupos críticos.
Figura 74. Correlación Cambios en Grupos Críticos
6.4. Ataques de fuerza bruta

Estas correlaciones se crean para tener control de posibles ataques contra el directorio activo y
el FTP.
Figura 75. Correlacion Bruteforce attack FTP
50
Figura 76. Correlación Bruteforce attack Windows authentication
51
6.5. Accesos a documentos compartidos
Figura 77. Correlación Accesos a documentos compartidos
52
7. Cuadro de mando.
Los cuadros de mando nos permiten tener la representación de la información que es
monitorizada de los dispositivos de la organización siendo una herramienta de gran utilidad en
la gestión de un SIEM. También, nos ofrece conocer si hay problemas cuando queremos
recolectar alguna fuente de información, ya que no aparecen datos en los indicadores de los
gráficos de estos cuadros de mando.
Para visualizar y editar los paneles de cuadro de mando debemos de dirigirnos a la pestaña de
Dashboard donde se tienen predefinidos varios tipos de cuadro de mando y un apartado de un
cuadro personalizado del cual podremos añadir los gráficos y datos a representar que queramos.
Figura 78. Accediendo al panel de Dashboards
En esta imagen podemos ver que contamos con New Tab que nos permite crear nuestro propio
panel y los panales de Executive, Tickets, Security, Taxonomy y Vulnerabilities. Cada uno de estos
paneles son editables a nuestro gusto.
Figura 79. Tipos de Dashboars disponibles den AlienVault
53
El panel Executive nos muestra la información más relevante mostrándonos gráficos e

información como el Top 5 de Alarmas, el Top 10 de categorías, Host con más vulnerabilidades,
etc.
Figura 80. Informe Executive
El panel Tickects nos muestra la información relacionada con los tickets que se generan donde
aparecen el total de tickets resueltos, los diferentes estados, los tickets abiertos, etc.
Figura 81. Informe Tickets
54
En el panel Security se muestra toda la información relacionada con la seguridad como el top 5
de alarmas, top 5 de eventos de seguridad, los hosts con más alertas, etc.
Figura 82. Informe Security
El panel Taxonomia nos muestra información relacionada con los eventos relacionadas con la
red.
Figura 83. Informe Taxonomia
55
El panel Network muestra información relacionada con el tráfico de la red donde se puede ver
la cantidad de paquetes TCP, UDP, ICMP y otros.
Figura 84. Informe Network
Un panel personalizado podría ser el siguiente donde vemos información útil para los
operadores y analistas.
Figura 85. Informe Personalizado
56
8. Sistema de alarmas y ticketing.

Con un Sistema de Alarmas tendremos alertas que nos permiten avisar de forma rápida y
clara de posibles ataques que se estén realizando contra los dispositivos de la red. Además, nos
permite detectar comportamientos anómalos, que pueden indicar que se está vulnerando la
seguridad de dichos dispositivos, y ofrecer información suficiente para ayudar en la investigación
de la anomalía. También, nos permite identificar cuando no se cumplen las políticas internas de
seguridad dentro de la red de la organización. Además, también nos permite conocer en tiempo
real las pérdidas de disponibilidad de los dispositivos.
Un Sistema de Ticketing [18] nos permite realizar una gestión correcta de ticketing donde nos
ayuda a administrar y mantener los tickets generados. Estos tickets son un registro contenido
en el sistema de ticketing que alberga información acerca de las alertas generadas por el SIEM.
Generalmente, un ticket almacena todos los datos necesarios para poder gestionarlo.
A continuación, se muestra cómo se configuran las alarmas y los tickets donde primeramente se
va a mostrar la herramienta de tickets con la que cuenta nuestra herramienta SIEM que ya
cuenta con un sistema de gestión de tickets implementado.
Para acceder al sistema de ticketing de esta herramienta debemos de ir al panel Analysis →

Tickets como se muestra en la imagen de a continuación.
Figura 86. Herramienta de ticketing
57
Podemos configurar los diferentes tipos de tickets como Alarmas, Eventos, Vulneravilidades,
relacionadas con la MAC, con el Sistema Operativo y con Servicios.
Figura 87. Elegir tipo de ticket
Una vez elegido el tipo de ticket debemos de seleccionar el botón CREATE para completar la
información del ticket que será distinta dependiendo del tipo de ticket.
Figura 88. Crear un ticket
La información que es común para todos los tickets es Tittle, Assing To que indica la persona
que debe de resolverla y Priority para indicar el nivel de prioridad de resolución del ticket. En
esta URL podemos ver más información con respecto a los tickets
https://www.alienvault.com/documentation/usm-appliance/tickets/creating-remediation-
ticket.htm?Highlight=ticket%20detail
58
A continuación, vemos la información a completar si el tipo es Alarm o Event.
Figura 89. Formulario para ticket tipo Alarm o Event
A continuación, vemos la información a completar si el tipo es Vulnerability.
Figura 90. Formulario para ticket tipo Vulnerability
59
A continuación, vemos la información a completar si el tipo es MAC.
Figura 91. Formulario para ticket tipo MAC
A continuación, vemos la información a completar si el tipo es OS.
Figura 92. Formulario para ticket tipo OS
A continuación, vemos la información a completar si el tipo es Services
Figura 93. Formulario para ticket tipo Services
60
A continuación, se muestra cómo se crea un ticket de prueba del tipo Alarm.
Figura 94. Creando un ticket tipo Alarm
Una vez creado el ticket esta es la información que se guarda necesaria para resolverlo.
Figura 95. Ticket de prueba
61
En este apartado podemos ver todos los tickets generados junto con la fecha de creación,
quien lo debe de resolver y su estado.
Figura 96. Panel de tickets abiertos
Para modificar el estado del ticket debemos de entrar en él y cambiar el campo de Status y
argumentar una descripción y/o acción sobre lo que se ha realizado con respecto a ese ticket.
Figura 97. Formulario para modificar el ticket
Si lo que queremos es cerrar el ticket procedemos a hacer clic en el botón ACTIONS y elegir
CLOSE para finalizarla.
Figura 98. Cerrar un ticket
62
A continuación, podemos dirigirnos al panel de tickets cerrados para poder ver todos los
tickets que se han cerrado.
Figura 99. Tickets cerrados
Ahora, se muestra como es el Sistema de Alertas que nos ofrece esta herramienta SIEM y para
ello debemos de dirigirnos al panel Analysis → Alarms. En este panel podemos ver todas las
alarmas que el sistema SIEM ha generado según las correlaciones que hayamos creado, las
configuraciones de la propia herramienta y de las que hayamos indicando que debe de ser
categorizado como una alerta.
Figura 100. Panel de Alarmas
Los tipos de alertas que se generan pueden ser relacionadas con las categorías que nos facilita
la herramienta que son System Compromise, Exploration & Installation, Delivery & Attack,
Reconnaissance & Probing y Environental Awareness.
Aquí tenemos más información con respecto a las alarmas:

https://www.alienvault.com/documentation/usm-appliance/alarms/alarm-details-columns-
fields.htm
63
Podemos buscar las alertas según los campos de búsqueda que se muestran a continuación en
la imagen.
Figura 101. Búsqueda de alarmas
Aquí podemos ver las alertas que ha generado la herramienta desde que se están monitorizando
los diferentes dispositivos de la red. En la siguiente imagen vemos algunas generadas por el
Firewall de riesgo bajo.
Figura 102. Listado de alarmas generadas
64
9. Reporting
Con informes o reports son la manera de evidenciar el estado en el que se encuentra la red
de una organización. A diferencia de los cuadros de mando, no hace falta entrar la consola del
SIEM para poder comprobar el estado. Los informes se pueden programar para que sean
ejecutados y enviados al destinatario para su visualización.
Se pueden generar informes a mano, es decir, creando propiamente un documento Word o algo
similar donde volcar la información que necesitemos, tanto de los gráficos generados en el
Dashboard como la información de las alarmas, tickets y de los eventos de correlación. A día de
hoy todos los SIEM suelen contar con informes predefinidos los informes y en este caso Alien
Vault nos facilita una cantidad de informes que podemos generar de forma automática. Además,
esta herramienta nos permitiría conectarnos al motor de base de datos del SIEM y realizar
informes personalizados.
Para generar los informes debemos dirigirnos al panel Reports → Overview y ahí tenemos los
siguientes informes que podemos generar en formato PDF o enviar por email.
Figura 103. Acceso al Panel de Reports
65
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
el reporte de alarmas. Se adjunta un documento de la información de la herramienta SIEM
implementada.
Alarms Report.pdf
Figura 104. Alarms Reports e Informe generado
los detalles de un dispositivo de la red, esta información también puede ser accedida desde el
panel Enviroment → Assets & Groups. Se muestran imágenes de la información de uno de los
elementos de la red.
Figura 105. Asset Details
Aquí podemos ver la información del directorio activo.
Figura 106. Información LD-WindowsServer2012
66
En esta imagen vemos la información generada del directorio activo.
Figura 107. Detalle actividad de LD-WindowsServer2012
la disponibilidad de los dispositivos y de los servicios de la red.
Figura 108. Availability Report
la información de cumplimiento del negocio relacionada con la ISO PCI. Se adjunta un
documento de nuestra red que en este caso aparece sin información ya que no se ha configurado
nada relacionado con ello.
Business &
Compliance ISO PCI Report.pdf
Figura 109. Business & Compliance ISO PCI Report e Informe
la información generada distribuida geográficamente para poder analizar donde se produce. Se
adjunta un documento de la información de la herramienta SIEM implementada.
Geographic
Report.pdf
Figura 110. Geographic Report e Informe
67
los eventos generados por el SIEM. Se adjunta un documento de la información de la
herramienta SIEM implementada.
SIEM Events.pdf
Figura 111. SIEM Events e Informe
la información disponible sobre vulnerabilidades y amenazas.
Figura 112. Threats & Vulnerabilites Database
Aquí podemos ver la información de la que disponemos a día de hoy.
Figura 113. Threat Database
68
el reporte del estado de los tickets.
Figura 114. Tickets Status
En estas imágenes vemos el reporte de este informe:
Figura 115. Informe tickets status
Figura 116 Informe tickets status
69
Figura 117. Informe tickets status
70
el reporte del estado de los tickets generados en la herramienta de ticketing. Se adjunta un
documento de la información de la herramienta SIEM implementada.
Tickets Report.pdf
Figura 118. Tickets Report e Informe
el reporte de actividad de los usuarios, todo lo relacionado con el estado de las sesiones y el
perfil con el que estamos logueados.
Figura 119. User Activity Report
Esta es la información que nos ha generado.
Figura 120. User Activity
el reporte de vulnerabilidades.
Figura 121. Vulnerabilities Report
71
BIBLIOGRAFÍA
[1] Wikipedia, Firewall, Disponible en:

https://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)
[2] Wikipedia, Sistema de Detección de Intrusiones (IDS), Disponible en:

https://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos
[3] Incibe, DMZ, Disponible en: https://www.incibe.es/protege-tu-

empresa/blog/segmentacion-dmz
[4] Wikipedia, Servidor FTP, Disponible en:

https://es.wikipedia.org/wiki/File_Transfer_Protocol
[5] Wikipedia, Directorio Activo, Disponible en: https://es.wikipedia.org/wiki/Active_Directory
[6] Wikipedia, Recurso Compartido, Disponible en:

https://es.wikipedia.org/wiki/Almacenamiento_conectado_en_red
[7] Wikipedia, Servidor Proxy, Disponible en: https://es.wikipedia.org/wiki/Servidor_proxy
[8] Wikipedia, SIEM, Disponible en:

https://en.wikipedia.org/wiki/Security_information_and_event_management
[9] AlienVault, AlienVault, Disponible en:

https://www.alienvault.com/?utm_source=google&utm_medium=cpc&utm_term=kwd-
54306795668&utm_campaign=BRAND-EMEA-GGL-
SE&gclid=EAIaIQobChMIs92Up6eW1QIV4pXtCh3hbAftEAAYASAAEgLwGvD_BwE
[10] pfSense, Disponible en: https://aula128.wordpress.com/2014/09/19/instalacion-y-

configuracion-de-pfsense/
[11] Suricata, Disponible en: https://seguridadyredes.wordpress.com/2011/02/22/ids-ips-

suricata-entendiendo-y-configurando-suricata-parte-i/
[12] Apache Software Foundation, Disponible en: https://blog.udemy.com/tutorial-de-xampp-

como-usar-xampp-para-ejecutar-su-propio-servidor-web/
[13] Squid, Disponible en:

http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m6/proxy_squid.html
[14] Syslog, Disponible en: https://ocubom.wordpress.com/2010/10/13/syslog-la-piedra-

angular-de-los-registros-del-sistema/
72
[15] MSDN Microsoft, WMI, Disponible en: https://msdn.microsoft.com/en-

us/library/aa392285(v=vs.85).aspx
[16] Wikipedia, Rsyslog, Disponible en: https://en.wikipedia.org/wiki/Rsyslog
[17] NXLog, Disponible en:

http://bibing.us.es/proyectos/abreproy/91017/fichero/TFG_Antonio_Cuesta_Garc%C3%A
Da.pdf
[18] Wikipedia, Sistema de Ticketing, Disponible en:

https://es.wikipedia.org/wiki/Sistema_de_seguimiento_de_incidentes
73
APÉNDICE
A1. Instalación VMWare
En este apartado se documenta a groso modo los pasos a seguir para la instalación de VMWare
que nos ayudará para poder desplegar todos los sistemas en máquinas virtuales.
En primer lugar, ejecutamos el archivo .exe y hacemos clic en siguiente.
En segundo lugar, elegimos la opción que deseemos de estas dos.

Después, añadimos la clave de licencia para activar el producto.
Finalmente tendremos instalado VMWare para desplegar las máquinas que necesitemos.

A2. Desplegar una máquina en VMWare
En este apartado se documenta como se debe de realizar una instalación de una máquina virtual.
En primer lugar, se elige la imagen ISO.
Después, se elige el tipo de sistema operativo a instalar.

A continuación, se elige el nombre y la ubicación.
Después, el tamaño que debe de tener junto con sus requisitos que se muestran en estas dos
imágenes.

A3. Instalación de Windows Server 2012 (Directorio Activo)
En este apartado se documenta la instalación del directorio activo.
Primeramente, seleccionamos el idioma.
Hacemos Clic e instalar ahora.
Escribimos la clave de Producto le hacemos Clic a Siguiente.
Seleccionamos la versión y hacemos clic en siguiente.

Seleccionamos donde vamos a instalar, y hacemos clic en siguiente.
Ahora se inicia el proceso de instalación.
Finalmente, ya tenemos el sistema instalado.

En el siguiente enlace se muestra como configurar el Directorio Activo:
https://social.technet.microsoft.com/wiki/contents/articles/19495.guia-paso-a-paso-para-
configurar-el-controlador-de-dominio-de-windows-server-2012-es-es.aspx

A4. Instalación del Firewall pfSense
A continuación, se va a mostrar la instalación de forma rápida de pfSense.
En primer lugar, ejecutamos la máquina y dejamos que se inicie el sistema de instalación.
A continuación, presionamos 1 para iniciar la instalación.
Seguido aceptamos los cambios.
Iniciamos la instalación rápida.

Aceptamos y se inicia la instalación.
Se inicia la instalación.
Elegimos el kernel estándar y esperamos a que termine la instalación.

Finalmente, ya tenemos instalado el sistema el cual debemos de configurar para tener
preparado y funcionando el Firewall para nuestra red.

A5. Instalación Proxy Squid
En este apartado se va a explicar la instalación de Squid
En primer lugar,
sudo apt-get install squid
Luego modificar el archivo de configuración, que está en /etc/squid/squid.conf que se describe

a continuación:
1- Después de la línea acl CONNECT method CONNECT añadí la siguiente línea con mi
dirección IP externa (en el ejemplo cambiado por X todos los números): acl mired src
XX.XX.XX.XX
2- Antes de la linea http_access allow manager localhost añadir la siguiente línea, para que
Squid tenga en cuenta la IP escrita anteriormente y le permita el acceso: http_access
allow mired
3- Quitar del modo comentario y modificar las líneas que aparecen a continuación, y las fui
modificando para que quedasen del siguiente modo:
http_port 3128
cache_mem 64 MB
cache_dir ufs /var/spool/squid 256 16 256
error_directory /usr/share/squid/errors/Spanish
forwarded_for off
Por último, sólo queda reiniciar Squid con el siguiente comando:
sudo /etc/init.d/squid restart
Y finalmente ya tenemos el Proxy configurado y funcionando.

A6. Instalación Windows 7
En este apartado se muestra la instalación de Windows 7 de forma rápida.
En primer lugar debemos de elegir el idioma a instalar.
Después elegimos instalar ahora.
Aceptamos los términos.
Le damos a instalación personalizada.

Elegimos la unidad donde se va a instalar.
Esperamos a que finalice la instalación.
Finalmente, tenemos instalado el sistema.

A7. Creación de recurso compartido
Aquí se muestra la creación de un recurso compartid.
En primer lugar, hacemos clic derecho sobre la carpeta y le damos a propiedades.
Elegimos compartir y en la siguiente pantalla activamos el check de compartir esta carpeta.

A8. Instalación Xampp
En este apartado se va a tratar a grandes rasgos la instalación de Xampp que nos servirá para
desplegar aplicaciones web.
En primer lugar, abrimos el ejecutable y damos a siguiente.
Ahora seleccionamos todas las opciones.
A continuación, elegimos la ruta de instalación.
Seguido comenzará la instalación.

Hay que darle privilegios de acceso al servidor Apache.

Finalmente tenemos instalado Xampp y debemos abrir el panel de control para activar los
servicios que necesitemos.

A9. Instalación FTP
En primer lugar, pulsaremos en el botón "Iniciar" y abriremos el "Panel de control".
Seguido le daremos a programas y características y pulsaremos en el apartado Activar o

desactivar las características de Windows.
Después, desplegaremos todas las carpetas hasta llegar a Servicio FTP para activarlo.
Una vez activado le daremos al botón aceptar y el sistema iniciara una pequeña instalación.

Después, iremos a Herramientas administrativas.
Seleccionaremos Administrador de Internet Information Services (IIS).
Se nos abrirá este apartado para poder crear nuestro sitio FTP.

En este apartado completamos los datos
A continuación, elegimos los datos que aparecen a continuación, pero marcando como permisos
Leer y Escribir.

Finalmente, tendremos nuestro FTP creado.

A10. Instalación FileZilla
Para poder comprobar que hemos creado correctamente el FTP vamos a instalar FileZilla para
que desde otro equipo lo configuremos para acceder a él.
En primer lugar, instalamos FileZilla.
Después, ejecutamos el programa.
Acto seguido configuramos el FTP para acceder a él-

Finalmente comprobamos que tenemos acceso al servidor FTP

A11. Instalación AlienVault
En este apartado vamos a comentar la instalación AlienVault que será la herramienta SIEM para
nuestra red.
En primer lugar, elegiremos instalar AlienVault.
Después, elegiremos el idioma.

A continuación, comenzarán a instalarse los componentes necesarios.
Acto seguido elegimos la IP que queremos que tenga el sistema.

También seleccionaremos la máscara de red.
Y en este apartado añadimos la pasarela.

Después, elegiremos la contraseña para acceder al sistema.
Finalmente tendremos nuestro sistema AlienVault instalado.

A12. KeePass
Para almacenar las credenciales de todas las máquinas se ha utilizado KeePass.
A13. Rendimiento del Equipo de Sobremesa

En este apartado se quiere mostrar el rendimiento del equipo con todas las máquinas virtuales
en funcionamiento.

A14. Activar Auditoría de Objetos en Windows 7
A continuación, vamos a activar la auditoría de objetos y para ello debemos de dirigirnos a la
siguiente ruta: Panel de control\Sistema y seguridad\Herramientas administrativas\ Directiva
de seguridad local y seleccionar dentro del panel que se abre la opción de Auditar el acceso a
objetos.
Una vez se abre debemos activar los campos que vemos en la siguiente imagen.

Seguido nos dirigimos a la carpeta del recurso compartido y hacemos clic en el botón derecho y
pulsamos la opción Propiedades y después en el siguiente panel abrimos la pestaña Seguridad.
De la ventana anterior debemos de pulsar el botón de Opciones avanzadas y se abrirá la

siguiente ventana de la cual debemos de ir a la pestaña Auditoría y pulsar el botón Continuar.

Ahora, debemos de darle al botón Agregar… y se nos abrirá un panel donde debemos de elegir
la opción de TODOS.
Finalmente, seleccionamos todas las opciones y ya tendríamos habilitada la opción de auditoría

de objetos en dicha carpeta.

VITA (Biografía del autor)
Soy Ingeniero Informático especializado en la Dirección de Proyectos Informáticos.

Actualmente realizo la labor de Responsable de Calidad y PMO de Ciberseguridad de Prosegur,
donde me encargo del diseño e implementación de los procesos de negocio y los estándares
para la gestión de proyectos; y la gestión y control de proyectos que dan soporte a los servicios
del departamento. Además, soy Representante CERT (Computer Emergency Response Team)
en la comunidad FIRST y Responsable del SGSI (Sistema de Gestión de Seguridad de la
Información). Asimismo, desde mi incorporación a Prosegur, hace 2 años, doy apoyo a las
labores de desarrollos de herramientas de seguridad.
Mi pasión es la Ciberseguridad, campo que en estos momentos es la base de mi

desempeño profesional y el foco de mi interés formativo. Me resulta especialmente interesante
la parte estratégica y la táctica, así como la gestión de equipos, facetas que he trabajado en estos
últimos años durante la apertura de la nueva línea de negocio de Ciberseguridad den Prosegur,
en la que he participado activamente.
Mis datos personales son:
• Fecha de Nacimiento: 17/07/1989

• Correo: jorgeapro@gmail.com
• LinkedIn: http://es.linkedin.com/in/jorgeapro
• Web: http://miweb.jorgealcainpro.com/
CURRICULUM_JOR
GE.pdf

Diseño de Un SIEM

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Diseño de Un SIEM

Cargado por

Copyright:

Formatos disponibles

MÁSTER EN CIBERSEGURIDAD

PROYECTO FIN DE MÁSTER

Se lo dedico a mi padre Jorge, a mi madre Mª Pilar, a mi abuela Beatriz y a mis

“If you work hard, you can do anything”

“Esfuérzate, sin rendirte, para alcanzar tus objetivos y conseguirás crearte

DESARROLLO DEL CONTENIDO ................................................................................................................1

Tabla 1. Sistemas de Recolección utilizados ............................................................................ 28

Figura 1. Diagrama de Red ............................................................................................... 1

1. Mapa de Red de la Empresa

Figura 1. Diagrama de Red

1.1. Equipo de Sobremesa

Figura 2. Características Equipo de Sobremesa

En esta imagen podemos ver la IP asignada dentro de la red interna.

Figura 3. IP asignada al Equipo de Sobremesa

1.2. Equipo Portátil

Figura 4. Características Equipo de Sobremesa

En esta imagen podemos ver la IP asignada dentro de la red interna.

Figura 5.IP asignada al Portátil

1.3. Firewall + IDS

Figura 6. Características del Firewall + IDS

En esta imagen podemos ver la IP asignada dentro de la red interna.

Figura 7. IP asignada al Firewall+IDS

Figura 8. Panel de acceso a pfSense

Figura 9. Información del Sistema donde se encuentra desplegado pfSense

1.4. Servidor FTP

Figura 10. Características del Servidor FTP

En esta imagen podemos ver la IP asignada dentro de la red interna.

Figura 11. IP asignada al Servidor FTP

1.5. Servidor Web

Figura 12. Características del Servidor Web

En esta imagen podemos ver la IP asignada dentro de la red interna.

Figura 13. IP asignada al Servidor Web

Figura 14.Página web personal

1.6. Directorio Activo

Figura 15. Características del Directorio Activo

En esta imagen podemos ver la IP asignada dentro de la red interna.

Figura 16. IP asignada al Directorio Activo

1.7. Recurso compartido

Figura 17. Características del Recurso Compartido

En esta imagen podemos ver la IP asignada dentro de la red interna.

Figura 18. IP asignada al Recurso Compartido

Figura 19. Acceso al recurso compartido

Figura 20. Comprobación de acceso al Recurso Compartido desde otra máquina

1.8. Servidor Proxy

Figura 21. Características del Servidor Proxy Squid

En esta imagen podemos ver la IP asignada dentro de la red interna.

Figura 22. IP asignada al Servidor Proxy

2. Identificación y descripción de los dispositivos a monitorizar

2.1. Firewall + IDS

Figura 23. pfSense

Figura 24. Suricata

Un IDS es un programa de detección de accesos no autorizados a un computador o a una red. El

2.2. Servidor FTP

Un Servidor FTP es un programa especial que se ejecuta en un equipo servidor normalmente

Figura 25. FTP

2.3. Servidor Web

El Servidor Apache es desarrollado y mantenido por una comunidad de usuarios bajo la

Figura 26. Apache Software Foundation

Figura 27. Web Personal

2.4. Directorio Activo

Figura 28. Windows Server Active

2.5. Recurso Compartido

2.6. Proxy Squid