Documentos de Académico
Documentos de Profesional
Documentos de Cultura
BERSEGURIDAD
Como siempre, a aquella persona que sigue viendo desde donde está como progresa mi
vida. Espero estar haciéndolo bien.
Agradecimientos
A mi tutor José Amelio, que ya es más mi amigo que mi tutor. Agradecerle toda la confianza que ha
depositado en mí para realizar el proyecto del Grado en Ingeniería Informática y el proyecto del
Máster en Dirección de Proyectos Informáticos. Por sus consejos siempre que lo necesito. Aún queda
bastante, pero después de estudiar alguna formación más el siguiente paso será el doctorado.
A todos mis amigos del grupo junto con todos aquellos que no están en ese grupo, pero siempre
tengo para lo que necesito, todos ellos son una familia más.
Al resto de amigos que me rodean y que no por no nombrarlos son menos importantes.
A mi padre por ser mi persona a seguir. Sus valores: “En esta vida nadie te regala nada” “Esfuerzo,
ímpetu y constancia”
A mi madre por cambiar mi forma de ver las cosas, entenderme y apoyarme.
Agradecerles a aquellos que me han aportado su ayuda para realizar este máster como son Rafael
Porro, Lórien Doménech, Jaime Mingo, Jaime Odena, Javier Gil y Elena Arroyo.
Al resto de personas que me han ayudado a crecer como profesional y que lo siguen haciendo
continuamente como son Fernando Romero, mi maestro Jedi , y Agustín Russo, maestro y
consejero .
Antiguos y nuevos compañeros de universidad.
A todos aquellos que me rodean y siguen aportando grandes momentos en mi vida.
A aquellos que ya no están.
“Seguir cuando crees que no puedes más es lo que te hace diferente a los
demás”
Se va a configurar una pequeña red que simula la red de una empresa la cual estará formada
internamente de tres subredes divididas a través de un Firewall y un IDS. La primera subred es una
DMZ Externa que cuenta con un servidor FTP y un servidor web apache con un SQL y PHP. Como
segunda subred se denomina Red Interna de Servidores que está formada de un Directorio Activo de
un Windows Server, un Servidor con un recurso compartido y un proxy Squirt que genera una subred
denominada Red de Usuarios que es a través de la que se conectan todos los equipos de la empresa.
En la Red Interna de Servidores, para la detección de eventos de seguridad se va a implementar,
configurar y gestionar un SIEM, donde la elección es AlientVault.
La motivación que me ha llevado a realizar este trabajo es que considero que tener una herramienta
SIEM es muy importante para la detección de eventos de seguridad ya que con este sistema podemos
conocer el estado de seguridad de nuestra red donde tenemos eventos en tiempo real y toda la
actividad que surge en la red. No solo nos ayuda en la detención si no que es de gran ayuda en caso de
producirse un incidente de seguridad de la información ya que aporta mucho valor en un análisis
forense. Nos aporta información muy útil para un aprendizaje continuo y que si se complementa con
el uso de threat intelligence se puede tener un aprendizaje de mayor conocimiento dado que con ello
se tiene la capacidad de compartir datos que permiten llegar a medidas preventivas de antelación.
Desde mi punto de vista, es de vital importancia el uso de herramientas SIEM que, tras tener la
implementación de la seguridad por niveles, nos aportan una detención de eventos de seguridad y
conocimiento del estado de la seguridad de nuestra red muy valiosa. Los pasos posteriores serían
realizar auditorías de hacking ético de forma periódica para la comprobación de vulnerabilidades y el
estado de la seguridad de los sistemas e infraestructura para tener una mejora continua de la seguridad
de nuestra red.
Índice
La red de una empresa está formada internamente de tres subredes divididas a través de un
Firewall [1] pfSense con un IDS [2] Suricata. La primera subred es una DMZ [3] Externa que
cuenta con un Servidor FTP [4] y un Servidor Web Apache con un SQL y PHP. Como segunda
subred se denomina Red Interna de Servidores que está formada de un Directorio Activo [5] de
un Windows Server, un Servidor con un Recurso Compartido [6] y un Proxy [7] Squid que
genera una subred denominada Red de Usuarios que es a través de la que se conectan todos los
equipos de la empresa. En la Red Interna de Servidores, para la detección de eventos de
seguridad se va a implementar, configurar y gestionar un SIEM [8], donde la elección es
AlienVault [9].
1
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
2
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
3
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
4
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En esta imagen podemos ver el panel de configuración de pfSense que más adelante se explica
en el apartado 1.4. Firewall.
5
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
6
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
7
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En esta imagen podemos ver como accedemos a la página que se encuentra alojada en el
Servidor Web.
8
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
9
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
10
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En esta imagen vemos como accedemos desde uno de los equipos al recurso compartido.
En esta imagen vemos que la información que se ha dejado en el recurso compartido es la misma
que al abrirlo en una de las máquinas.
11
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
12
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Todos los dispositivos a monitorizar son los que se han identificado y descrito a partir del
mapa de red en el apartado anterior. En los siguientes puntos se van a describir cada uno de los
dispositivos a monitorizar describiendo con que sistema operativo y aplicaciones cuentan.
PFSense se trata de una solución muy completa, que esta licenciada bajo BSD lo que significa
que es de libre distribución. OpenBsd considerado uno de los sistemas operativos más seguro a
día de hoy que tiene presente packet filter (PF) (filtro de paquetes sistema de OpenBsd para
filtrar el tráfico tcp/ip, proporciona además control de ancho de banda y priorización de
paquetes) como estándar desde noviembre de 2004 que tiene también su propio hardware
como VK-T40E, FW-755, C2758.
Este Firewall se encarga de la red de ordenadores de las intrusiones que provienen de una
tercera red (expresamente de Internet). Este dispositivo nos permite filtrar los paquetes de
datos que andan por la red. Se va a encargar de filtrar el tráfico entre la red interna y externa.
13
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Con este IDS vamos a poder tener análisis pormenorizado del tráfico de red, con el que se podrá
comprobar comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes
malformados, etc.
14
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Windows 7 es una versión que está diseñada para uso en PC, incluyendo equipos de escritorio
en hogares y oficinas, equipos portátiles, tabletas, netbooks y equipos multimedia.2 El
desarrollo de Windows 7 se completó el 22 de julio de 2009, siendo entonces confirmada su
fecha de venta oficial para el 22 de octubre de 2009 junto a su equivalente para servidores
Windows Server 2008 R2.3.
Por lo general, los programas servidores FTP no suelen encontrarse en los ordenadores
personales, por lo que un usuario normalmente utilizará el FTP para conectarse remotamente a
uno y así intercambiar información con él.
Las aplicaciones más comunes de los servidores FTP suelen ser el alojamiento web, en el que sus
clientes utilizan el servicio para subir sus páginas web y sus archivos correspondientes; o como
servidor de backup (copia de seguridad) de los archivos importantes que pueda tener una
empresa. Para ello, existen protocolos de comunicación FTP para que los datos se transmitan
cifrados, como el SFTP (Secure File Transfer Protocol).
Con este servidor FTP ejecutado en un equipo servidor conectado a Internet nos va a permitir el
intercambio de datos entre diferentes servidores/computadores en el cual vamos a poder alojar
información accesible dentro y fuera de nuestra red.
15
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Apache es un servidor web HTTP de código abierto, para plataformas Unix (BSD, GNU/Linux,
etc.), Microsoft Windows, Macintosh y otras, que implementa el protocolo HTTP/1.12 y la
noción de sitio virtual.
Apache es usado principalmente para enviar páginas web estáticas y dinámicas en la World Wide
Web. Muchas aplicaciones web están diseñadas asumiendo como ambiente de implantación a
Apache, o que utilizarán características propias de este servidor web.
Este servidor web se va a desplegar mi página web personal que nos va a permitir tener acceso
a ella para consultar la información que se encuentra en dicha página.
16
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Este son los términos que utiliza Microsoft para referirse a su implementación de servicio de
directorio en una red distribuida de computadores. Utiliza distintos protocolos, principalmente
LDAP, DNS, DHCP y Kerberos.
De forma sencilla se puede decir que es un servicio establecido en uno o varios servidores en
donde se crean objetos tales como usuarios, equipos o grupos, con el objetivo de administrar
los inicios de sesión en los equipos conectados a la red, así como también la administración de
políticas en toda la red.
Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes
de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de
acceso.1
Active Directory permite a los administradores establecer políticas a nivel de empresa, desplegar
programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera.
Un Active Directory almacena información de una organización en una base de datos central,
organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una
red pequeña hasta directorios con millones de objetos.
Con este directorio vamos a disponer de una base de datos que almacena de forma centralizada
toda la información a un dominio de autenticación, pudiendo disponer de una sincronización
presente en todos los servidores de autenticación de todo el dominio. Con esto podremos crear
los usuarios que tendrán acceso a los diferentes sistemas de nuestra red interna.
17
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Con este recurso compartido tendremos la opción de compartir información accesible desde
nuestros equipos y fácilmente editable.
18
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Squid es un servidor proxy para web con caché. Es una de las aplicaciones más populares y de
referencia para esta función, software libre publicado bajo licencia GPL. Entre sus utilidades está
la de mejorar el rendimiento de las conexiones de empresas y particulares a Internet guardando
en caché peticiones recurrentes a servidores web y DNS, acelerar el acceso a un servidor web
determinado o añadir seguridad realizando filtrados de tráfico.
Con este servidor proxy podremos tener control sobre el tráfico de nuestra red para filtrar la
información de las peticiones a Internet de tal manera que podamos limitar y restringir los
derechos de los usuarios, y dar permisos únicamente al servidor proxy. También, podremos
negar a responder algunas peticiones si detecta que están prohibidas y otra serie de ventajas
que tenemos cuando disponemos de un Servidor Proxy.
19
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En este enlace podemos ver la información que registran los logs del Firewall pfSense:
https://doc.pfsense.org/index.php/Firewall_Logs
En este enlace podemos ver la información que registran los logs del IDS Suricata:
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
En este enlace podemos ver la información que registran los logs del Firewall pfSense:
https://technet.microsoft.com/en-us/library/hh831624(v=ws.11).aspx
El servidor almacena en el registro de acceso información sobre todas las peticiones que
procesa. La ubicación del fichero de registro y el contenido que se registra se pueden modificar
con la directiva CustomLog. Puede usar la directiva LogFormat para simplificar la selección de
los contenidos que quiere que se incluyan en los registros. Esta sección explica como configurar
el servidor para que registre la información que usted considere oportuno en el registro de
acceso.
20
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En este enlace podemos ver la información que registran los logs de Apache:
https://httpd.apache.org/docs/2.4/es/logs.html
En estos enlaces podremos consultar la información que nos muestra el Directorio Activo de
Windows:
https://technet.microsoft.com/en-us/library/cc961809.aspx
https://msdn.microsoft.com/en-us/library/bb726966.aspx
En este enlace podremos ver información sobre los datos que nos muestra Windows con
respecto a la auditoría de accesos en las carpetas que será la información que se recogerá:
https://technet.microsoft.com/es-es/library/dd772690(v=ws.10).aspx
Hay algunos puntos básicos comunes a todos los archivos de registro. Los sellos temporales
registrados en los archivos de registro normalmente son UTC a menos que se indique lo
contrario. La marca de tiempo inicial normalmente contiene una extensión de milisegundo.
En este enlace podemos ver la información que registran los logs del proxy Squid:
http://wiki.squid-cache.org/SquidFaq/SquidLogs
21
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
4.1. WMI
El Control del Instrumental de administración de Windows (WMI) es una herramienta que
permite establecer la configuración de WMI en un equipo remoto o local. WMI es la fuente
principal para administrar los datos y la funcionalidad en equipos locales y remotos que ejecutan
los sistemas operativos Windows. Puede obtener los datos de administración de WMI
directamente a través de scripts y aplicaciones o a través de herramientas de administración
corporativas como Microsoft Systems Management Server (SMS) y Microsoft Operations
Manager (MOM).
A modo de resumen, WMI nos ofrece la posibilidad de recolectar los logs del sistema operativo
y de todas las aplicaciones que se encuentren instaladas en él, pero de forma remota, es decir,
debemos de consultar desde nuestro recolector al sistema del que queremos obtener los logs.
Puede utilizar scripts escritos en cualquier lenguaje de scripting que pueda funcionar con
Windows Script Host.
22
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
4.2. Syslog
Syslog es un sistema de logs que se encarga principalmente de la administración de logs, los
cuales son generados por eventos del sistema, sus programas o por el Kernel. Inicialmente fue
usado en sistemas basados en UNIX para registrar eventos de aplicaciones, sistema operativo o
red, pero a día de hoy es posible encontrar sistemas Windows que tengan implementados esta
herramienta.
El programa syslog provee una plataforma estandarizada, bajo la cual programas (tanto sistemas
operativos como aplicaciones) pueden publicar mensajes para que sean tratados por ninguna,
cualquiera, o todas las acciones siguientes, basado en la configuración de syslog.
En este caso la recolección de logs ocurre de forma contraria a WMI ya que es el propio sistema
que tiene instalado Syslog el que envía los logs al recolector del sistema SIEM.
4.3. Otros
Otros sistemas utilizados son:
23
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
24
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Una vez instalado el sistema vemos lo que nos muestra en la siguiente imagen. Lo que aparece
es un menú de configuración para adaptar el sistema con lo necesario para recolectar los logs,
tener acceso a la base de dato que almacenan la configuración web, eventos, usuarios, etc. Y
también, podemos configurar aquello de lo que queramos disponer en el sistema SIEM.
25
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Este panel nos muestra las opciones de las que disponemos de las cuales vamos a tratar una de
ellas a groso modo que es la opción 1 Configure Sensor → 2 Configure Monitor Plugins donde
podremos instalar todos los plugins necesarios para la recolección e identificación de los logs
que serán mandados por cada uno de los elementos de la red interna. En el panel que se muestra
en la imagen se eligen los plugins que queremos tener para la identificación de logs.
26
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Por otro lado, podemos acceder ya a la herramienta a través de un explorador web donde ya
dispondremos de todas las funcionalidades de este SIEM, en la imagen siguiente se muestra
del acceso a la herramienta.
En esta imagen se muestra el primer panel que aparece nada más entrar a la herramienta.
27
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
A continuación, podemos ver en la siguiente imagen cada uno de los paneles con los que cuenta
la herramienta que se irán tratando a lo largo de este documento.
28
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
A continuación, debemos de activar la pestaña que aparece en Enable Remote Loggin y añadir
la IP del recolector de AlienVault tal y como se muestra en la imagen.
29
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
30
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Consiste en instalar NXLog y a continuación modificar unos archivos donde se le indica la IP del
recolector de Alien Vault.
31
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
32
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
33
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Una vez dentro de este panel hacemos clic sobre el botón ADD ASSETS y seleccionamos Scan For
New Assets tal y como vemos en la imagen.
34
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
A continuación, nos aparecerá el siguiente panel donde debemos elegir el tipo de assets que
queremos escanear y después ejecutar el escáner tal y como se muestra en las imágenes que
aparecen a continuación.
35
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Aquí vemos como la herramienta está buscando los distintos dispositivos de la red.
En la siguiente imagen vemos los resultados obtenidos con el análisis donde podemos ver todos
los dispositivos encontrados de los cuales se han encontrado todos los de nuestra red interna.
Además, ha identificado más dispositivos de los cuales no aparecen en el mapa de red y eso se
debe a que no solo hay conectados esos dispositivos en la red local si no que hay varios
ordenadores portátiles y otros dispositivos que vamos a obviar porque no se encuentran dentro
del ámbito de este trabajo.
36
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Por otro lado, podemos añadir el dispositivo que queramos de la siguiente manera que se
describe a continuación. Para ello pulsamos sobre el botón ADD ASSETS y seleccionamos Add
Host.
Se nos abrirá el siguiente panel donde podemos añadir la información del Host que queramos
monitorizar y toda la información complementaria que queramos añadir.
37
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
También, tenemos las siguientes opciones para poder ver todos los assets, los grupos creados
para juntar e identificar un conjunto de assets tal y como se desee tener la identificación, las
diferentes redes de nuestra red interna, grupo de redes y configurar un escaneo programado.
Todo esto se puede realizar entrando en cada una de las opciones que se ofrecen en el panel de
Assets & Grups que podemos ver en la siguiente imagen.
Una vez se tienen identificados los sistemas que queremos monitorizar de la red interna es hora
de crear las reglas de correlación para la detección de eventos de seguridad. Esto se ve explicado
en el apartado de 6. Reglas de correlación donde se crean diferentes reglas donde algunas de
ellas generararán alertas según se configure.
38
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En la imagen siguiente podemos ver una pantalla donde se pueden utilizar las categorías de
filtrado en la parte superior del panel del SIEM (SIEM). Se puede buscar tipos de eventos
específicos, utilizando una variedad de filtros, incluidos los eventos con las siguientes
características:
• Eventos que tienen el mismo host que el tráfico que activó una alarma.
• Eventos que vienen a través del mismo sensor.
• Eventos basados en pulsos OTX o en OTX IP Reputation.
39
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En la siguiente imagen vemos que AlienVault cuenta con un escáner de vulnerabilidades para
todos nuestros hosts.
40
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En el siguiente panel podemos ver el tráfico y la cantidad de paquetes para cada uno de los
protocolos de red.
41
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
El siguiente panel, que se muestra en las dos imágenes de a continuación, nos ofrece la
posibilidad de realizar un esnifado del tráfico como la herramienta WireShark.
42
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
También, contamos con un panel que nos muestra la disponibilidad de cada uno de nuestros
host y servicios.
43
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Finalmente, la esta última imagen se muestra que dentro del panel de configuración contamos
con la administración del sistema donde podemos crear usuarios, eliminar, etc., realizar backups
y otras funcionalidades.
44
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
6. Reglas de correlación
Primeramente, se va a mostrar la configuración de una correlación y en cada apartado que
aparece a continuación vamos a mostrar la configuración final de cada una de las correlaciones.
En este link podemos ver documentación de AlienVault relacionada con la creación de
correlaciones: https://www.alienvault.com/documentation/usm-appliance/correlation/about-
correlation-rules.htm
Para acceder al panel donde se crean las correlaciones debemos de dirigirnos a la pestaña
Configuration → Threat Intelligence y una vez dentro elegir la pestaña Directives. Aquí podemos
ver como AlienVault nos facilita una cantidad de directivas por defecto las cuales pueden
modificarse según necesitemos. Para crear una personalizada debemos dirigirnos al botón New
Directive.
45
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Seguido, seleccionamos todas las fuentes que queramos que en este caso serían todas.
46
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En esta pantalla se eligen los assest de los que queremos que se tenga en cuenta esta relación,
en nuestro caso hemos marcado todos.
En esta tabla podemos ver las directivas a crear con su definición y a continuación en los
siguientes apartados se muestra cómo se configuran.
47
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
A continuación, se muestran algunas de las alarmas detectadas por la correlación que hemos
creado.
48
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
A continuación, se muestran algunas de las alarmas detectadas por la correlación que hemos
creado.
49
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
50
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
51
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
52
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
7. Cuadro de mando.
Los cuadros de mando nos permiten tener la representación de la información que es
monitorizada de los dispositivos de la organización siendo una herramienta de gran utilidad en
la gestión de un SIEM. También, nos ofrece conocer si hay problemas cuando queremos
recolectar alguna fuente de información, ya que no aparecen datos en los indicadores de los
gráficos de estos cuadros de mando.
Para visualizar y editar los paneles de cuadro de mando debemos de dirigirnos a la pestaña de
Dashboard donde se tienen predefinidos varios tipos de cuadro de mando y un apartado de un
cuadro personalizado del cual podremos añadir los gráficos y datos a representar que queramos.
En esta imagen podemos ver que contamos con New Tab que nos permite crear nuestro propio
panel y los panales de Executive, Tickets, Security, Taxonomy y Vulnerabilities. Cada uno de estos
paneles son editables a nuestro gusto.
53
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
El panel Tickects nos muestra la información relacionada con los tickets que se generan donde
aparecen el total de tickets resueltos, los diferentes estados, los tickets abiertos, etc.
54
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En el panel Security se muestra toda la información relacionada con la seguridad como el top 5
de alarmas, top 5 de eventos de seguridad, los hosts con más alertas, etc.
El panel Taxonomia nos muestra información relacionada con los eventos relacionadas con la
red.
55
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
El panel Network muestra información relacionada con el tráfico de la red donde se puede ver
la cantidad de paquetes TCP, UDP, ICMP y otros.
Un panel personalizado podría ser el siguiente donde vemos información útil para los
operadores y analistas.
56
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Un Sistema de Ticketing [18] nos permite realizar una gestión correcta de ticketing donde nos
ayuda a administrar y mantener los tickets generados. Estos tickets son un registro contenido
en el sistema de ticketing que alberga información acerca de las alertas generadas por el SIEM.
Generalmente, un ticket almacena todos los datos necesarios para poder gestionarlo.
A continuación, se muestra cómo se configuran las alarmas y los tickets donde primeramente se
va a mostrar la herramienta de tickets con la que cuenta nuestra herramienta SIEM que ya
cuenta con un sistema de gestión de tickets implementado.
57
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Podemos configurar los diferentes tipos de tickets como Alarmas, Eventos, Vulneravilidades,
relacionadas con la MAC, con el Sistema Operativo y con Servicios.
Una vez elegido el tipo de ticket debemos de seleccionar el botón CREATE para completar la
información del ticket que será distinta dependiendo del tipo de ticket.
La información que es común para todos los tickets es Tittle, Assing To que indica la persona
que debe de resolverla y Priority para indicar el nivel de prioridad de resolución del ticket. En
esta URL podemos ver más información con respecto a los tickets
https://www.alienvault.com/documentation/usm-appliance/tickets/creating-remediation-
ticket.htm?Highlight=ticket%20detail
58
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
59
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
60
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Una vez creado el ticket esta es la información que se guarda necesaria para resolverlo.
61
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En este apartado podemos ver todos los tickets generados junto con la fecha de creación,
quien lo debe de resolver y su estado.
Para modificar el estado del ticket debemos de entrar en él y cambiar el campo de Status y
argumentar una descripción y/o acción sobre lo que se ha realizado con respecto a ese ticket.
Si lo que queremos es cerrar el ticket procedemos a hacer clic en el botón ACTIONS y elegir
CLOSE para finalizarla.
62
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
A continuación, podemos dirigirnos al panel de tickets cerrados para poder ver todos los
tickets que se han cerrado.
Ahora, se muestra como es el Sistema de Alertas que nos ofrece esta herramienta SIEM y para
ello debemos de dirigirnos al panel Analysis → Alarms. En este panel podemos ver todas las
alarmas que el sistema SIEM ha generado según las correlaciones que hayamos creado, las
configuraciones de la propia herramienta y de las que hayamos indicando que debe de ser
categorizado como una alerta.
Los tipos de alertas que se generan pueden ser relacionadas con las categorías que nos facilita
la herramienta que son System Compromise, Exploration & Installation, Delivery & Attack,
Reconnaissance & Probing y Environental Awareness.
63
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
Podemos buscar las alertas según los campos de búsqueda que se muestran a continuación en
la imagen.
Aquí podemos ver las alertas que ha generado la herramienta desde que se están monitorizando
los diferentes dispositivos de la red. En la siguiente imagen vemos algunas generadas por el
Firewall de riesgo bajo.
64
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
9. Reporting
Con informes o reports son la manera de evidenciar el estado en el que se encuentra la red
de una organización. A diferencia de los cuadros de mando, no hace falta entrar la consola del
SIEM para poder comprobar el estado. Los informes se pueden programar para que sean
ejecutados y enviados al destinatario para su visualización.
Se pueden generar informes a mano, es decir, creando propiamente un documento Word o algo
similar donde volcar la información que necesitemos, tanto de los gráficos generados en el
Dashboard como la información de las alarmas, tickets y de los eventos de correlación. A día de
hoy todos los SIEM suelen contar con informes predefinidos los informes y en este caso Alien
Vault nos facilita una cantidad de informes que podemos generar de forma automática. Además,
esta herramienta nos permitiría conectarnos al motor de base de datos del SIEM y realizar
informes personalizados.
Para generar los informes debemos dirigirnos al panel Reports → Overview y ahí tenemos los
siguientes informes que podemos generar en formato PDF o enviar por email.
65
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
el reporte de alarmas. Se adjunta un documento de la información de la herramienta SIEM
implementada.
Alarms Report.pdf
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
los detalles de un dispositivo de la red, esta información también puede ser accedida desde el
panel Enviroment → Assets & Groups. Se muestran imágenes de la información de uno de los
elementos de la red.
66
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
la disponibilidad de los dispositivos y de los servicios de la red.
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
la información de cumplimiento del negocio relacionada con la ISO PCI. Se adjunta un
documento de nuestra red que en este caso aparece sin información ya que no se ha configurado
nada relacionado con ello.
Business &
Compliance ISO PCI Report.pdf
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
la información generada distribuida geográficamente para poder analizar donde se produce. Se
adjunta un documento de la información de la herramienta SIEM implementada.
Geographic
Report.pdf
67
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
los eventos generados por el SIEM. Se adjunta un documento de la información de la
herramienta SIEM implementada.
SIEM Events.pdf
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
la información disponible sobre vulnerabilidades y amenazas.
68
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
el reporte del estado de los tickets.
69
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
70
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
el reporte del estado de los tickets generados en la herramienta de ticketing. Se adjunta un
documento de la información de la herramienta SIEM implementada.
Tickets Report.pdf
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
el reporte de actividad de los usuarios, todo lo relacionado con el estado de las sesiones y el
perfil con el que estamos logueados.
En esta imagen se muestra la información que podemos obtener de un informe relacionado con
el reporte de vulnerabilidades.
71
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
BIBLIOGRAFÍA
72
PROYECTO FIN DE MÁSTER
MÁSTER EN CIBERSEGURIDAD
73
PROYECTO FIN DE MÁSTER
APÉNDICE
A1. Instalación VMWare
En este apartado se documenta a groso modo los pasos a seguir para la instalación de VMWare
que nos ayudará para poder desplegar todos los sistemas en máquinas virtuales.
Finalmente tendremos instalado VMWare para desplegar las máquinas que necesitemos.
Después, el tamaño que debe de tener junto con sus requisitos que se muestran en estas dos
imágenes.
Se inicia la instalación.
En primer lugar,
1- Después de la línea acl CONNECT method CONNECT añadí la siguiente línea con mi
dirección IP externa (en el ejemplo cambiado por X todos los números): acl mired src
XX.XX.XX.XX
2- Antes de la linea http_access allow manager localhost añadir la siguiente línea, para que
Squid tenga en cuenta la IP escrita anteriormente y le permita el acceso: http_access
allow mired
3- Quitar del modo comentario y modificar las líneas que aparecen a continuación, y las fui
modificando para que quedasen del siguiente modo:
http_port 3128
cache_mem 64 MB
error_directory /usr/share/squid/errors/Spanish
forwarded_for off
Después, desplegaremos todas las carpetas hasta llegar a Servicio FTP para activarlo.
Una vez activado le daremos al botón aceptar y el sistema iniciara una pequeña instalación.
Se nos abrirá este apartado para poder crear nuestro sitio FTP.
A continuación, elegimos los datos que aparecen a continuación, pero marcando como permisos
Leer y Escribir.
Una vez se abre debemos activar los campos que vemos en la siguiente imagen.
CURRICULUM_JOR
GE.pdf