Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Proyecto Grado SIEM-MEN
Proyecto Grado SIEM-MEN
pág.
INTRODUCCIÓN............................................................................................................... 12
1. JUSTIFICACIÓN ........................................................................................................ 13
7. RESULTADOS ................................................................................................ 46
7.1 OPERACIÓN FORTISIEM MINISTERIO DE EDUCACIÓN NACIONAL......... 50
7.2 PANEL DE SEGURIDAD ................................................................................ 51
7.3 PANEL DE RECURSOS.................................................................................. 55
3
7.4 ANÁLISIS DE CONTROLES FORTALECIDOS Y RIESGO RESIDUAL ........ 58
7.5 PRESUPUESTO .............................................................................................. 65
7.6 CRONOGRAMA .............................................................................................. 66
8. CONCLUSIONES ...................................................................................................... 67
9. RECOMENDACIONES ............................................................................................. 68
BIBLIOGRAFÍA ................................................................................................................. 69
ANEXOS ............................................................................................................................. 70
4
LISTA DE CUADROS
Pág.
5
LISTA DE FIGURAS
Pág.
6
GLOSARIO
1
Vilches, N. C. Revista Gerencia. [En línea]. http://www.emb.cl/gerencia/articulo.mvc?xid=4448&ni=appliances-de-
seguridad-proteccion-en-todos-los-segmentos 2019
2
conceptodefinicion.de. [En línea]. https://conceptodefinicion.de/buffer/ 2021
3
Revista Unam. [En línea]. http://www.revista.unam.mx/vol.4/num2/art3/cluster.htm 2021
4
Arimetrics. [En línea]. https://www.arimetrics.com/glosario-digital/dashboard 2021
5
kionetworks. [En línea]. https://www.kionetworks.com/blog/data-center/qu%C3%A9-es-un-data-center 2021
6
MarTech Forum, S.L.U,. [En línea].
https://www.martechforum.com/herramienta/fortisiem/#:~:text=FortiSIEM%20(Security%20Information%20and%20Event,s
eguridad%20y%20operaciones%20de%20red. 2019
8
GPO: [Group Policy Object] Las Directivas de Grupo permiten implementar
configuraciones específicas para uno o varios usuarios y/o equipos dentro de un
directorio activo de Windows.7
HA: [High Availabity] sistemas o aplicaciones que requieren un nivel muy alto de
fiabilidad y disponibilidad. Estos sistemas trabajan en 24x7 y por lo general emplean
sistemas redundantes para minimizar el riesgo de inactividad debido a fallos de
hardware y/o telecomunicaciones.8
RFC: [Request for Change, RFC] es una solicitud formal para la implementación de
un Cambio. Se envía una Solicitud de Cambio a la Gestión de Cambios para
cualquier Cambio que no sea estándar definido en una política de gestión de
cambios.13
7
Cetatech. [En línea]. https://cetatech.ceta-ciemat.es/2014/12/directivas-de-grupo-gpo-en-windows-server-2012/ 2021
8
Glosario Terminología Informática. [En línea]. http://www.tugurium.com/gti/termino.php?Tr=high%20availability 2020
9
VMware. [En línea]. https://www.vmware.com/latam/topics/glossary/content/hyperconvergence.html 2021
10
Infotecs. [En línea]. https://infotecs.mx/blog/ips-sistema-de-prevencion-de-intrusos.html 2021
11
Lerena, S. Pandorafms. [En línea]. https://pandorafms.com/blog/es/logs/ 2021
12
DWS. [En línea]. https://dws.gruposerban.com/blog/por-que-un-noc-es-imprescindible 2020
13
IT Process Wiki. [En línea]. https://wiki.es.it-processmaps.com/index.php/Lista_de_control_-_Solicitud_de_Cambio_RFC
2019
9
SGSI: es el diseño, implantación y mantenimiento de un conjunto de procesos para
gestionar eficientemente la accesibilidad de la información, buscando asegurar la
confidencialidad, integridad y disponibilidad de los activos de información
minimizando a la vez los riesgos de seguridad de la información.14
14
Firma-e. [En línea]. https://www.firma-e.com/blog/que-es-un-sgsi-sistema-de-gestion-de-seguridad-de-la-informacion/
2019
15
HelpSystems. [En línea]. https://www.helpsystems.com/es/blog/que-es-un-siem 2021
16
Oracle. [En línea].https://www.oracle.com/es/database/security/que-es-un-soc.html 2021
17
estrada. [En línea].https://estradawebgroup.com/Post/-Que-es-SQL-injection-y-Como-afecta-los-SQL-Query-/4273 2021
18
noBBOT. [En línea]. https://www.nobbot.com/redes/que-es-un-switch-y-como-funciona/ 2021
19
F5. [En línea]. https://www.f5.com/es_es/services/resources/glossary/syn-flood 2021
10
UDP_Flood: el UDP es un protocolo estándar de comunicación a través de redes
IP. Debido a que los paquetes UDP carecen de estado, requieren una menor
validación y comprobación de errores en comparación con el TCP. Un ataque de
inundación UDP intenta sobrecargar un servidor de peticiones saturando las tablas
de conexiones en todos sus puertos accesibles.20
20
F5. [En línea]. https://www.f5.com/es_es/services/resources/glossary/udp-flood 2021
21
muy INTERESANTE. [En línea]. https://www.muyinteresante.es/tecnologia/articulo/que-es-una-vpn-para-que-sirve-y-
cuando-usarla-351605293187 2021
22
tecnologia+informatica. [En línea]. https://www.tecnologia-informatica.com/vulnerabilidades-
informaticas/#Vulnerabilidad._Seguridad_informatica 2021
23
CICESE. [En línea]. https://seguridad.cicese.mx/dutic/42/Clasificaci%C3%B3n-de-Ataques:-Ataques-de-
Cross%E2%88%92Site-Scripting 2021
11
INTRODUCCIÓN
Las políticas dentro del SGSI, van perdiendo eficiencia tan solo con el cambio
constante y la evolución de los sistemas; adicionalmente, el crecimiento y la
innovación de las amenazas que están en una constante evolución obliga a
mantener un monitoreo de los diferentes eventos de seguridad que se presentan
dentro las tecnologías de información en las organizaciones.
En este punto, surge la necesidad de mantener un sistema común, donde todos los
eventos que provienen de los diferentes usuarios (internos, externos, autorizados y
no autorizados) y de los sistemas, se recolecten, organicen y analicen, logrando
obtener la parametrización óptima que permita hacer una detección anticipada de
esos eventos que se pueden materializar en riesgos; así como el análisis constante
de las amenazas, vulnerabilidades y brechas de seguridad.
12
1. JUSTIFICACIÓN
Algunas de las causas que motivan la investigación, tiene que ver con que el
Ministerio no tiene totalmente centralizada la información de eventos de seguridad,
puesto que la plataforma actualmente implementada, no cuenta con la configuración
de dispositivos y tampoco se establecen las suficientes reglas para la generación
de reportes, estadísticas, alertas de identificación de ataques y la detección de
amenazas en el SIEM, todo esto dificulta el análisis y la gestión por parte de los
analistas e incluso, afecta la respuesta oportuna frente a un evento o incidente de
seguridad.
13
2. DEFINICIÓN DEL PROBLEMA
2.2 FORMULACIÓN
14
3. OBJETIVOS
Brindar al Ministerio de Educación Nacional una herramienta por medio del SIEM,
que le permita agilizar el tratamiento de eventos e incidentes de seguridad,
generando reportes, estadísticas, alertas de identificación de ataques y la detección
de amenazas, agregando valor y fortaleciendo el SGSI de la entidad.
15
4. MARCO TEÓRICO
Por esta razón, se requiere una herramienta que solucione completamente estas
problemáticas, ofreciendo un repositorio amplio de almacenamiento, una
normalización de todos los datos, y una interpretación ágil, lo que permite tener un
acceso a la información más confiable y segura.
24
IWINDS, ÚLTIMA MILLA. [En línea]. https://www.iwinds.com.ar/ultima-milla. 2020
16
ayudando a fortalecer el SGSI; para esto se contempla la configuración y
parametrización del [FortiSiem], implementado en el Ministerio de Educación
Nacional (MEN). Por tal motivo y con la finalidad de que pueda ser efectiva la
solución de estas problemáticas, incluso ya en el proyecto orientado en el Ministerio,
se realizará una contextualización de lo que es efectivamente un SIEM.
4.1 SIEM
Dentro de su estructura básica se encuentra una base de datos para almacenar los
dispositivos que se quieren monitorear y la información que estos dispositivos
proveen, también cuenta con módulos especializados y desarrollados para
funciones más específicas, como lo son generación de reportes y administración de
incidentes de seguridad, todo esto a nivel de software.
17
memoria, y almacenamiento, esto con el fin de que se pueda hacer seguimiento a
las máquinas vinculadas y garantizar la disponibilidad de estas.
Ariangelo25 determina que existen tres versiones, SNMPv1, SNMPv2 y SNMPv3, las
tres basadas en NMS [Network managenet systems], los cuales son los nodos o
agentes administrados y un [comunity string], la cual es una cadena de caracteres
que identifica a un grupo de nodos en particular. El administrador SNMP
puede obtener información del agente y cambiar la configuración en el agente, los
agentes SNMP aceptan comandos y solicitudes del sistema SNMP si y solo si este
tiene una [comunity string] configurada; cabe destacar que existen dos tipos de
comunidades: [Read Only]; proporciona acceso de solo lectura del nodo
monitoreado, y [Read write]; proporciona acceso de lectura y escritura del nodo
monitoreado. De igual forma, se señala que SNMP utiliza los puertos UDP 161 y
UDP 162, para él envió de información al servidor.
25
ARIGANELO, E. (2014). Guía de estudio para la certificación CCNA security. En E. ARIGANELO., Administración de
reportes. Guía de estudio para la certificación CCNA security. Madrid: Edición 1 p. 81.
26
PAESSLER. IT Explained: Syslog. [En línea] https://www.paessler.com/it-explained/Syslog
18
tecnológicos, cada dispositivo tiene un registro interno de eventos, este es enviado
a otro lugar con mayores capacidades de almacenamiento para el resguardo y
recopilación, los log normalmente son enviados en texto plano, con el fin de que
estos sean livianos en caso de que requieran ser almacenados.
Así mismo, se establece que la mayoría de los dispositivos de red pueden tener este
protocolo habilitado, como enrutadores, conmutadores, cortafuegos e incluso
algunas impresoras y escáneres. Además, [Syslog] se puede utilizar en sistemas
basados en Unix y Linux y en muchos servidores web, incluido Apache. Los
sistemas Windows no instalan [Syslog] de forma predeterminada porque utilizan su
propio registro de eventos de Windows. Estos eventos se pueden reenviar a través
de utilidades de terceros u otras configuraciones haciendo uso de este mecanismo.
4.3.3 Envío de mensajes WMI. Los mensajes WMI son utilizados por los equipos
windows, para información del estado de los dispositivos y más importante para él
envió del estado de los archivos relevantes dentro del sistema operativo, este
protocolo valida que cambios se han hecho en las carpetas del sistema; por ende,
la Academia Rolosa27 determina que es una infraestructura de gestión y operación
de datos en el sistema operativo basado en Windows, desarrollado por Microsoft
basado en WBEN [Web-Based Enterprise Management]; permitiendo el acceso a
los datos a varios estándares de configuración de Windows, así como al valor actual
del estado del sistema. El acceso puede ser local o remoto a través de una conexión
de red. WMI se basa en COM y DCOM y está integrado en Windows 2000, XP, 2003,
Vista, 2008, Windows 7 y Windows 8
4.4 FORTISIEM
27
ACADEMIA ROSOLA. ¿Qué es el sensor de WMI, requerimientos y cómo funciona? [En línea]. (https://kb.rolosa.com/np-
que-es-el-sensor-de-wmi-requerimientos-y-como-funciona/). 27 de abril de 2017
28
MarTech Forum, S. FortiSIEM. [En línea].
https://www.martechforum.com/herramienta/fortisiem/#:~:text=FortiSIEM%20(Security%20Information%20and%20Event,seg
uridad%20y%20operaciones%20de%20red. 2020
19
La primera generación de SIEM, fue desarrollada en 2002 por la empresa
PROTEGO NETWORKS, eventualmente esta empresa fue adquirida por CISCO en
2004, quienes desarrollan la segunda generación. En 2007 surge la empresa
ACCELOPS, la cual fue conformada por parte del grupo desarrollador de la segunda
generación de cisco, en 2016 Fortinet absorbe accelops, y se comienza el desarrollo
de la plataforma [FortiSiem], en la Figura 1 se evidencia la evolución de la
plataforma SIEM, hasta llegar a [FortiSiem].
Fuente: Fortinet
Workers: Son los que realizan el gran trabajo de procesamiento, este equipo recibe
los log estandarizados del [collector] y los almacena, para a su vez empezar a
realizar la correlación de eventos.
20
Figura 2. Arquitectura
Este tipo de arquitectura resulta muy escalable, puesto que a medida que el nivel y
cantidad de dispositivos cambien, se puede adicionar recursos a nivel de servidores
o disminuir la arquitectura de [FortiSiem].
21
5. MARCO REFERENCIAL
29
MEN. (2019), Misión y Visión. [En línea]. https://www.mineducacion.gov.co/portal/Ministerio/Informacion-
Institucional/89266:Mision-y-Vision. 2019.
22
5.1 INFRAESTRUCTURA ACTUAL DEL MINISTERIO DE EDUCACIÓN
NACIONAL
El MEN cuenta con dos bloques grandes de infraestructura divididos en dos centros
de cómputo, uno de estos se encuentra ubicado en la sede principal del Ministerio
denominado DC Principal, el otro se encuentra ubicado en las instalaciones del
proveedor de servicios, el cual se denomina, DC Externo.
23
• Firewall de aplicaciones WAF: Este [appliance] se encarga de inspeccionar
todo el tráfico que viene de internet y que se dirija a algún servidor que se
encuentre desplegando alguna aplicación. Este dispositivo cuenta con la suficiente
inteligencia para detectar y bloquear ataques de aplicaciones, como [SQL injection]
y XXS, también cuenta con un [cluster] de equipos para asegurar la redundancia y la
alta disponibilidad, en cada centro de cómputo.
• Anti DDos: Este equipo se encuentra igualmente ubicado en los dos [datacenter]
y se encarga de administrar las políticas de denegación de servicio, el equipo
anti DDoS detecta cuando se está realizando un ataque de denegación de servicio
y bloquea las cesiones que estén por fuera de su política, igualmente se encuentra
configurado en clúster con dos equipos en cada [datacenter].
24
Figura 3. Infraestructura MEN
25
Figura 4. Arquitectura MEN 2
El equipo [FortiSiem] 3500f, cuenta con 2 procesadores Intel Xeon E5 de 2.8 Ghz,
64 GB de memoria RAM y 72 TB de capacidad de almacenamiento, este equipo
cumple el rol de supervisor/[worker], y, por ende, requiere un nivel de
almacenamiento mucho más alto.
El equipo [FortiSiem] 500f, cuenta con un procesador Intel Xeon E3 de 3.2 Ghz, una
memoria de 16GB y una capacidad de almacenamiento de 3TB, este funciona a
nivel de colector, por lo cual requiere ser más veloz a nivel de procesamiento, puesto
que este equipo recibe una cantidad de tráfico muy pesada y necesita niveles de
procesamiento altos para poder atender la demanda de tráfico.
26
Con esto se logra tener la infraestructura necesaria para recibir, almacenar y
procesar los eventos de diferentes plataformas, con eficiencia y seguridad,
garantizando que la información sea procesada en su totalidad.
27
Con la finalidad de lograr medir la situación actual del Ministerio frente a los objetivos
de control planeados en su política, se hará un análisis GAP, el cual consiste en
ponderar la situación actual de esta entidad pública vs el estándar ISO/IEC 27001,
particularmente, frente a los controles de seguridad relacionados con el proyecto y
así lograr, establecer la brecha existente buscando minimizar la misma frente a la
implementación.
12.4.3 Registros del Las actividades del Los registros se almacenan en Incompleto
Administrador y administrador y del texto plano lo cual dificulta la
del Operador operador del sistema interpretación
se deben registrar, y
los registros de deben
proteger y revisar con
regularidad.
28
Cuadro 1. (Continuación)
Cláusula Sección Objetivo de Control Observación Estado
Control
12.6.1 Gestión de las Se debe obtener La información de Incompleto
vulnerabilidades oportunamente vulnerabilidades se obtiene
técnicas información acerca mediante informes
de las mensuales, mas no se tiene
vulnerabilidades un análisis constante en el
técnicas de los tiempo debido a que no hay
sistemas de una interpretación contante
información que se de eventos, ya que a que no
usen; evaluar Ia se tiene un SOC que
exposición de Ia reporte eventualmente los
organización a estas análisis de
vulnerabilidades, y vulnerabilidades.
tomar las medidas
apropiadas para
tratar el riesgo
asociado.
16.1.1 Responsabilidades Se deben establecer La respuesta a incidentes Incompleto
16. Gestión de y Procedimientos las responsabilidades de seguridad se realiza de
Incidentes de y procedimientos de forma oportuna, validando
Seguridad de la gestión para las herramientas existentes
Información asegurar una como lo son fortianalizer, y
respuesta rápida, log locales de la los
eficaz y ordenada a dispositivos de seguridad,
los incidentes de sin embargo la clasificación
seguridad de Ia búsqueda y análisis de los
información. log no se encuentra
parametrizado ni
estandarizado, por una
herramienta común donde
sean almacenados.
16.1.2 Reporte de Los eventos de Los eventos detectados son Incompleto
eventos de seguridad de Ia informados oportunamente
Seguridad de la información se deben se debe reforzar con la
Información informar a través de plataforma SIEM, puesto
los canales de que los eventos se podrían
gestión apropiados, detectar con anticipación.
tan pronto como sea
posible.
16.1.3 Reporte de Se debe exigir a Las debilidades de Incompleto
debilidades de todos los empleados seguridad se reportan, en la
Seguridad de la y contratistas que medida que se detectan,
Información usan los servicios y pero no se tiene un sistema
sistemas de de detección automatizado,
información de Ia en el cual se reporten las
organización, que anomalías.
observen y reporten
cualquier debilidad
de seguridad de Ia
información
observada o
sospechada en los
sistemas o servicios.
16.1.4 Valoración y Los eventos de La detección de eventos de Gestionado
decisión de seguridad de la seguridad se podría evaluar
eventos de información se deben de una forma proactiva con
Seguridad de la evaluar y se debe el sistema SIEM, y hacer
Información decidir si se van a correcciones sobre el
clasificar como acceso de tráfico antes de
incidentes de que se genere un incidente
seguridad de la de seguridad
información
29
Cuadro 1. (Continuación)
Cláusula Sección Objetivo de Control Observación Estado
Control
16.1.5 Respuesta a Se debe dar Cuando se presenta un Gestionado
incidentes de respuesta a los incidente de seguridad o un
Seguridad de la incidentes de evento de seguridad se
Información seguridad de la evalúa desde las
información de herramientas existentes,
acuerdo con sin embargo, los eventos se
procedimientos puedes evaluar mejor
documentados desde una plataforma
centralizada
16.1.6 Aprendizaje de El conocimiento Se genera Gestionado
incidentes de adquirido al analizar y retroalimentación, sobre los
Seguridad de la observar incidentes eventos de seguridad, el
Información de seguridad de la análisis con la herramienta
información se debe ayudará a tener una visión
usar para reducir la más amplia de los eventos.
posibilidad o el
impacto de incidentes
futuros
Fuente: ISO 27001
30
Cuadro 2 Definición de estados
Estos controles, si bien cubren la necesidad del objetivo de control, contienen varias
debilidades, en cuanto a que no se tiene la información centralizada en un solo lugar
y tampoco la suficiente rigurosidad para la obtención de log, ya que está sujeto al
criterio y disponibilidad de la persona encargada, con esto también se genera una
potencial pérdida y continuidad en la información a través del tiempo.
31
probabilidad de que se materialicen riesgos asociados, afectando la operación y
debilitando el SGSI.
32
Cuadro 3 Análisis de Riesgos Inherente
33
En el Cuadro 4 se obtiene el mapa de calor, que ubica los riesgos inherentes
analizados en la matriz en un umbral de inaceptabilidad.
Una vez evaluados los objetivos de control y los riesgos que contrae la debilidad de
estos, se logra evidenciar que una herramienta de correlación de eventos es muy
importante en cualquier área de TI, más cuando se trata de una infraestructura
tecnológica de gran tamaño, en la cual habría dificultad en mantener los controles
de forma sistemática. Es por esto por lo que el Ministerio tiene la visión a corto plazo
de implementar un SOC propio, donde se centralicen no solo los eventos de
seguridad, si no toda la administración y procesos en seguridad de la información y
así mantener una mejora continua de controles acorde a los avances en ciber
seguridad.
34
6. DISEÑO METODOLÓGICO
35
Cuadro 5 Seguridad Perimetral
Nombre Infraestructura Observaciones
Firewall Perimetral al CAN
Firewall Perimetral TITAN
Es necesario agregar estos equipos perimetrales,
Firewall WAF CAN ya que son los equipos que administran el tráfico
Fortinet total, tanto interno como externo del Ministerio, y
Firewall WAF TITAN son los equipos de donde se optimen la mayor
cantidad de logs de seguridad.
Anti- Ddos CAN
Anti- Ddos TITAN
Fuente: Elaboración Propia
Por último, se correlacionan aquellos activos que sean registrados por plataforma
de infraestructura como servidores y aplicaciones web, los cuales, dentro de la
matriz de activos de información del ministerio, se encuentran como, sistemas
misionales, de apoyo y estratégicos, en estos también se tiene contemplado hacer
seguimiento de recursos, para este punto se tiene en cuenta los diferentes
ambientes como lo son pruebas, certificación y producción.
36
6.2 PLAN DE MEJORA HERRAMIENTA FORTISIEM.
Para las acciones de mejora, se tiene en cuenta las actividades que se han venido
realizando a través del tiempo y se identifica aquellas que se pueden realizar sin
necesidad de un control de cambios estricto, puesto que muchas de las
configuraciones que se requieren no son invasivas para los sistemas, por lo que no
van a generar procesos que puedan afectar la buena operación del activo
relacionado.
37
Cuadro 8 Nivel de Dificultad
Observación Dificultad
No requiere RFC ni validación con especialista BAJA
Se requiere RFC y/o validación con especialista MEDIA
Requiere validación con especialista, RFC y causa
ALTA
indisponibilidad
Fuente: Elaboración Propia
38
Cuadro 9. (Continuación)
No Acciones Dificultad Plazo
RFC_6824 Validación de protocolo RSyslog en servidores
11 Linux para ingreso de servidores en MEDIA Apr 29 2021
plataforma FortiSiem. Sobre servidores de producción.
RFC_6825 Validación de protocolo RSyslog en servidores
12 Linux para ingreso de servidores en MEDIA Apr 30 2021
plataforma FortiSiem. Sobre servidores de producción.
RFC_6838 Validación de protocolo RSyslog en servidores
13 Linux para ingreso de servidores en MEDIA May 4 2021
plataforma FortiSiem. Sobre servidores de producción.
RFC_6839 Validación de protocolo RSyslog en servidores
14 Linux para ingreso de servidores en MEDIA May 6 2021
plataforma FortiSiem. Sobre servidores de producción.
RFC_7002 Validación de política de GPO para verificación
15 de protocolo WMI en grupo de servidores. Sobre MEDIA May 14 2021
servidores de producción.
Ingreso y descubrimiento de servidores Windows para
16 BAJA May 15 2021
correlación mediante WMI.
Fuente: Elaboración Propia
39
Cuadro 10 Plan de Actividades
No Acciones de mejora Tareas Responsable Tiempo
Verificación SNMP y Syslog firewall Seguridad 1 hora
Correlación de equipos de seguridad, con el fin Verificación SNMP y Syslog WAF Seguridad 1 hora
1 de empezar a ver el comportamiento de la
plataforma y realizar pruebas. Verificación Syslog DDoS Seguridad 1 hora
Verificación log en SIEM Seguridad 1 hora
Verificación SNMP Líder Seguridad 30 min
Ingreso de servidor de prueba mediante los Verificación WMI Líder Seguridad 30 min
2 diferentes protocolos para validar la dificultad
de la configuración en los servidores. Verificación agente FortiSiem Líder Seguridad 30 min
Verificación SNMP Líder Seguridad 30 min
Ingreso de primer grupo de servidores Crear grupo de servidores Especialista Windows 1 hora
3 Windows por SNMP para
correlacionar gestión técnica y pruebas. Verificar log SIEM Seguridad 1 hora
Habilitar permiso a Internet Seguridad 30 min
Instalación de cliente RSYSLOG S.O. Linux 90 min
RFC_6647 Configuración de rSyslog sobre Configuración sobre archivo S.O. Linux 90 min
4 servidor Linux para envío de logs a Reiniciar el servicio de RSYSLOG S.O. Linux 30 min
SIEM, sobre servidores de certificación.
Retirar permiso a Internet Seguridad 30 min
Verificación de recepción de equipos
Seguridad 60 min
sobre el SIEM
Validación tiempos de respuesta Monitoreo 60 min
Mantenimiento los servidores Monitoreo 60 min
Descarga de agente S.O. Windows 60 min
RFC_6646 para ingreso de AD mediante. Instalación del agente sobre cada
5 S.O. Windows 60 min
agente de FortiSiem, 4 servidores servidor
Reinicio de cada servidor S.O. Windows 60 min
Quitar mantenimiento Monitoreo 60 min
Validación tiempos de respuesta Monitoreo 60 min
40
Cuadro 10. (Continuación)
42
Cuadro 10. (Continuación)
43
Establecidas las actividades para el proceso de mejora en el SIEM, se valida el
procedimiento de configuración para él envió de log, se tiene en cuenta el tipo de
equipo que se requiere adicionar, puesto que según la arquitectura de la máquina
se tiene un método específico para su adicción.
6.2.1 Equipos de seguridad perimetral - Firewall - WAF - Anti DDoS. Para los
equipos de seguridad perimetral se realiza la configuración por SNMP y [Syslog],
esta configuración se realiza de forma particular, para cada uno de ellos, como son,
firewalls, dispositivos WAF y equipos de prevención de denegación de servicio
(Véase Anexo A).
Con la configuración SNMP en los firewalls y los WAF, se obtiene información sobre
el estatus del equipo, lo cual ayudará a validar el estado en que se encuentra a nivel
de procesamiento, con el fin de detectar de forma temprana procesos inusuales que
pueda afectar su rendimiento, esta información se envía al [FortiSiem].
30
Inc., F. T. (2021). FortiSIEM-External Systems Configuration Guide. Version6.1.2.
44
6.2.2 Configuración Equipos Windows. Para vinculación de servidores Windows,
se realiza mediante parametrización de una GPO de directorio activo, con el fin de
ingresar la configuración de SNMP, y de mensajes WMI de forma unánime, esta
configuración es realizada por parte del administrador de servidores Windows, se
gestiona mediante una orden de cambio (RFC), para mantener y documentar los
cambios sobre la infraestructura tecnológica.
Los servidores de directorio activo vinculados, los cuales proveen información sobre
el control de acceso y los usuarios, son agregados al [FortiSiem] con
configuraciones de SNMP, WMI y adicionalmente se instala un agente propio del
sistema, para él envió de eventos, con el fin de obtener la mayor cantidad de
información posible proveniente de estos activos.
45
7. RESULTADOS
46
Cuadro 11 Plan de Actividades Ejecutado
No Acciones de mejora Tareas Responsable Tiempo Completado
Verificación SNMP y Syslog firewall Seguridad 1 hora 100%
Correlación de equipos de seguridad, con Verificación SNMP y Syslog WAF Seguridad 1 hora 100%
1 el fin de empezar a ver el comportamiento
Verificación Syslog DDoS Seguridad 1 hora 100%
de la plataforma y realizar pruebas.
Verificación log en SIEM Seguridad 1 hora 100%
Ingreso de servidor de prueba mediante Verificación SNMP Lider Seguridad 30 min
los diferentes protocolos para validar la Verificación WMI Lider Seguridad 30 min
2 100%
dificultad de la configuración en los Verificación agente FortiSiem Lider Seguridad 30 min
servidores. Verificación SNMP Lider Seguridad 30 min
Ingreso de primer grupo de servidores Crear grupo de servidores Especialista Windows 1 hora
3 Windows por SNMP para 100%
correlacionar gestión técnica y pruebas. Verificar log SIEM Seguridad 1 hora
Habilitar permiso a Internet Seguridad 30 min
Instalación de cliente RSYSLOG S.O. Linux 90 min
RFC_6647 Configuración de rSyslog sobre Configuración sobre archivo S.O. Linux 90 min
4 servidor Linux para envío de logs a Reiniciar el servicio de RSYSLOG S.O. Linux 30 min 100%
SIEM, sobre servidores de certificación. Retirar permiso a Internet Seguridad 30 min
Verificación de recepción de
Seguridad 60 min
equipos sobre el SIEM
Validación tiempos de respuesta Monitoreo 60 min
Mantenimiento los servidores Monitoreo 60 min
Descarga de agente S.O. Windows 60 min
RFC_6646 para ingreso de AD mediante. Instalación del agente sobre cada
5 S.O. Windows 60 min 100%
agente de FortiSiem, 4 servidores servidor
Reinicio de cada servidor S.O. Windows 60 min
Quitar mantenimiento Monitoreo 60 min
Validación tiempos de respuesta Monitoreo 60 min
Redescubrimiento en
Redescubrimiento y aceptación de
6 equipo FortiSiem para validación de Seguridad 60 min 100%
equipo en SIEM
ingreso de servidores Windows
47
Cuadro 11. (Continuación)
No Acciones de mejora Tareas Responsable Tiempo Completado
Desplegar permisos de
administrador Local para el usuario S.O. Windows 240 min
RFC_6719 Validación de política de GPO "SIEM".
para verificación de protocolo WMI en
7 Agrega a la política WMI la IP del 80%
grupo de servidores, sobre servidores de S.O. Windows 240 min
servidor correspondiente.
certificación.
Verificación recepción de
Seguridad 120 min
Información
Ingreso y descubrimiento de servidores Validación de recepción de eventos
8 Seguridad 120 min 80%
Windows para correlación mediante WMI. por WMI
Habilitar permiso a Internet Seguridad 30 min
RFC_6823 Validación de protocolo Instalación de cliente RSYSLOG S.O. Linux 90 min
RSyslog en servidores Linux para ingreso Configuración sobre archivo S.O. Linux 90 min
9 de servidores en Reiniciar el servicio de RSYSLOG S.O. Linux 30 min 100%
plataforma FortiSiem. Sobre servidores de Retirar permiso a Internet Seguridad 30 min
certificación. Verificación de recepción de
Seguridad 60 min
equipos sobre el SIEM
Validación y configuración de
Especialista SIEM 60 min
verificación y configuración de dashboard, dashboard.
10 validación de alertas, reportes y Validación de alertas, y envió de 80%
Especialista SIEM 60 min
estadísticas correos electrónicos
Identificación gráficas y estadísticas Seguridad 60 min
Habilitar permiso a Internet Seguridad 30 min
Instalación de cliente RSYSLOG S.O. Linux 90 min
RFC_6824 Validación de protocolo Configuración sobre archivo S.O. Linux 90 min
RSyslog en servidores Linux para ingreso
Reiniciar el servicio de RSYSLOG S.O. Linux 30 min
11 de servidores en 100%
plataforma FortiSiem, Sobre servidores de Retirar permiso a Internet Seguridad 30 min
producción. Verificación de recepción de
Seguridad 60 min
equipos sobre el SIEM
48
Cuadro 11. (Continuación)
No Acciones de mejora Tareas Responsable Tiempo Completado
Habilitar permiso a Internet Seguridad 30 min
RFC_6825 Validación de protocolo Instalación de cliente RSYSLOG S.O. Linux 90 min
RSyslog en servidores Linux para ingreso Configuración sobre archivo S.O. Linux 90 min
12 de servidores en Reiniciar el servicio de RSYSLOG S.O. Linux 30 min 100%
plataforma FortiSiem, Sobre servidores de Retirar permiso a Internet Seguridad 30 min
producción. Verificación de recepción de
Seguridad 60 min
equipos sobre el SIEM
Habilitar permiso a Internet Seguridad 30 min
RFC_6838 Validación de protocolo Instalación de cliente RSYSLOG S.O. Linux 90 min
RSyslog en servidores Linux para ingreso Configuración sobre archivo S.O. Linux 90 min
13 de servidores en Reiniciar el servicio de RSYSLOG S.O. Linux 30 min 100%
plataforma FortiSiem, Sobre servidores de Retirar permiso a Internet Seguridad 30 min
producción. Verificación de recepción de
Seguridad 60 min
equipos sobre el SIEM
Habilitar permiso a Internet Seguridad 30 min
RFC_6839 Validación de protocolo Instalación de cliente RSYSLOG S.O. Linux 90 min
RSyslog en servidores Linux para ingreso Configuración sobre archivo S.O. Linux 90 min
14 de servidores en Reiniciar el servicio de RSYSLOG S.O. Linux 30 min 100%
plataforma FortiSiem, Sobre servidores de Retirar permiso a Internet Seguridad 30 min
producción. Verificación de recepción de
Seguridad 60 min
equipos sobre el SIEM
Desplegar permisos de
administrador Local para el usuario S.O. Windows 240 min
RFC_7002 Validación de política de GPO
"SIEM".
para verificación de protocolo WMI en
15 Agrega a la política WMI la IP del 70%
grupo de servidores, Sobre servidores de S.O. Windows 240 min
servidor correspondiente.
producción.
Verificación recepción de
Seguridad 120 min
Información
Ingreso y descubrimiento de servidores Validación de recepción de eventos
16 Seguridad 120 min 70%
Windows para correlación mediante WMI. por WMI
49
El plan de actividades ejecutado, tiene un porcentaje de avance entre 70% y 100%,
donde las actividades con un avance del 70% son aquellas relacionadas con la
inclusión de equipos [Windows] por WMI, se evidencia un inconveniente con
algunos servidores que no pudieron ser agregados, teniendo así que identificar
puntualmente sobre cada uno las razones por las cuales estos presentaron
dificultades, es así como se identifica una política en el firewall perimetral donde se
estaba bloqueando el tráfico de algunos servidores y también el firewall del sistema
operativo estaba generando bloqueos en el tráfico.
50
Figura 7. Registro de Eventos
51
Figura 8. Panel de Seguridad
Dentro de este mismo panel en la Figura 10, también se clasifican los diferentes
eventos por el IPS, según el origen, donde la severidad del ataque puede generar
una alarma, e incluso generar un correo electrónico avisando al operador que se
está detectando un evento de ataque sobre algún servidor o servicio, ayudando al
analista a identificar ataques de forma más ágil y proactiva, en la Figura 11 se tiene
un ejemplo del correo que se envía desde el [FortiSiem].
52
Figura 10. Eventos Alertas de Ataques
53
Para el registro de usuarios, se observa en el [FortiSiem] que la mayoría de log y
registros de usuarios provienen de las VPN31, puesto que estos se encuentran
trabajando desde sus casas, en este punto se puede hacer auditoría sobre algún
usuario en particular. En la Figura 12 se muestran los eventos e incidentes
generados por algún usuario en específico.
Una vez vistas las diferentes estadísticas y ataques, se puede dar una visión de
incidentes de seguridad creados por el correlacionador, en el cual se puede hacer
un análisis más profundo del comportamiento de la infraestructura y se puede ver
cuáles son los ataques más comunes, según como se aprecia en la Figura 13.
Con este panel de seguridad, se puede observar que la herramienta está ayudando
a la entidad a mejorar su tratamiento, en cuanto a eventos de seguridad,
permitiendo hacer el refuerzo necesario en los controles de las regulaciones
estatales, facilitando las tareas al operador en cuanto análisis y gestión.
31
VPN: es una tecnología de red de ordenadores que permite una extensión segura de la red de área local (LAN) sobre una
red pública o no controlada como Internet.
54
7.3 PANEL DE RECURSOS
Por último, se puede ver la estadística de uso de disco duro tanto en servidores
Linux, como en servidores Windows¸ a través de la Figura 16.
55
Figura 16. Panel Linux-Win
Con el panel de recursos parametrizado, se puede obtener una visión más integral
de toda la infraestructura monitoreada y correlacionada, dándole confiabilidad a la
herramienta y haciéndola más robusta.
Mediante la Figura 17 se muestra cómo se generan estos reportes, los cuales son
enviados por correo electrónico a los analistas correspondientes.
56
Figura 17. Reporte Ataques
57
Tabla 2 Reporte de Ataques
58
Cuadro 12 Instrumento de Evaluación de Seguridad de la Información
Objetivo de
Cláusula Sección Control Observación Control Fortalecido Estado
Control
Se debe establecer,
La política y los roles de
documentar y revisar
control de acceso se El registro de eventos ya
una política de
encuentran definidos se encuentra
Política de control de acceso Establecido
9 control mediante plataforma ISE, centralizado, lo cual
9.1.1 control de con base en los y
de Acceso el registro de eventos ayudara a mejorar el
acceso requisitos del Predecible
está disperso en los proceso de auditoría de
negocio y de
diferentes componentes usuarios.
seguridad
de las plataformas
de Ia información.
La política de código
Se deben
malicioso en su mayoría
implementar La recolección de
se encuentra gestionada
controles de eventos en el
por el sistema antivirus,
detección, de SIEM está ayudando a
el cual realiza el análisis
prevención y de la detección de
Controles completo de código Establecido
recuperación, amenazas y
12.2.1 contra códigos malicioso. Los eventos y
combinados con la comportamientos anorm
maliciosos que se generan con Predecible
toma de conciencia ales en la
respecto a virus en el
apropiada de los infraestructura, permitien
firewall perimetral no se
usuarios, para do un análisis más profu
están almacenado con
proteger contra ndo de los eventos
suficiente retención de
códigos maliciosos
tiempo.
Se deben elaborar, Los eventos de
conservar y revisar seguridad se encuentran
Los eventos registrados
regularmente los centralizados y
se encuentran en los
registros acerca de normalizados,
diferentes sistemas,
Registro de actividades del para poder ser
12. 12.4.1 alojados localmente, lo Gestionado
eventos usuario, interpretados más fácil,
Seguridad cual puede generar
excepciones, fallas y los eventos de seguridad
en las perdida y dificultad de
eventos de se
Operacion interpretación de log
seguridad de la detectan más proactivam
es información. ente.
La base de datos de
Las instalaciones y la El almacenamiento y registros se encuentra
información de retención de eventos no centralizada con
Protección de
registro se deben se realiza de una forma el SIEM, y esta es
12.4.2 la información Gestionado
proteger contra centralizada, y no se gestionada por la misma
de registro
alteración y acceso parametrizan los log en herramienta, lo cual
no autorizado el mismo formato protege los registros
contra alteración.
59
Cuadro 12. (Continuación)
Objetivo
Cláusula Sección Control Observación Control Fortalecido Estado
de Control
Con
16. Gestión la parametrización de Fo
de Los eventos de Los eventos detectados rtiSiem, cuando se
Incidentes seguridad son informados generan ciertos ataques,
Reporte de
de de Ia información se oportunamente se debe son informados por
eventos de
Seguridad deben informar a reforzar con la correo electrónico desde
16.1.2 Seguridad de Gestionado
de la través de los canales plataforma SIEM, puesto la herramienta, lo cual
la
Información de gestión apropiados, que los eventos se hace que
Información
tan pronto como sea podrían detectar con la detección sea más sen
posible. anticipación. cilla, y se pueda evaluar
la alerta de una forma
optimizada.
60
Cuadro 12. (Continuación)
Objetivo
Cláusula Sección Control Observación Control Fortalecido Estado
de Control
La parametrización de F
El conocimiento
Se genera ortiSiem ayuda a tener
adquirido al analizar y
Aprendizaje retroalimentación, sobre una visión más amplia de
observar incidentes de
de incidentes los eventos de los eventos que se Establecido
seguridad de la
16.1.6 de Seguridad seguridad, el análisis con puedan y
información se debe
de la la herramienta ayudará a presentar, además, que Predecible
usar para reducir la
Información tener una visión más según los resultados del
posibilidad o el impacto
amplia de los eventos monitoreo se puede dar
de incidentes futuros
un buen análisis.
61
Figura 18. Estado Controles Fortalecidos.
TOTAL 100%
Fuente: Elaboración Propia
62
De los controles analizados se logra evidenciar que, con respecto a las
problemáticas planteadas, estas son subsanadas en su mayoría, debido a que los
registros se están almacenando en un lugar común se están normalizando, siendo
analizados de manera constante, garantizando así la confidencialidad, integridad y
disponibilidad de la información de eventos de seguridad, evitando pérdidas y
realizando estos procesos de forma automatizada.
Así mismo, en el Cuadro 15, se evidencia el cambio de nivel de riesgo dentro del
mapa de calor, después del tratamiento dado a los controles.
63
Cuadro 14 Análisis de Riesgos Residual
64
Cuadro 15 Mapa de Calor Residual
7.5 PRESUPUESTO
Cuadro 16 Presupuesto
65
7.6 CRONOGRAMA
66
8. CONCLUSIONES
67
9. RECOMENDACIONES
68
BIBLIOGRAFÍA
69
ANEXOS
FORTIGATE
El procedimiento es el siguiente:
70
Por último, se ajustan todos los parámetros de configuración de protocolo SNMP,
como la comunidad, si esta será de lectura y escritura, junto con sus traps y puertos
relacionados, después procedemos a configurar la dirección ip del servidor
FortiSiem, para que este envié la información al dispositivo, por último, damos OK.
71
Se desplegará la siguiente ventana donde ajustaremos la dirección ip donde
queremos enviar la información de Syslog, por último, daremos click en aplicar.
FORTIWEB
72
• Ingresamos por la pestaña System > Config > SNMP
• Dentro de ella se creará una nueva política de SNMPv2 > Create New, con
lo cual se desplegará la siguiente ventana.
73
• En este punto se agregará la comunidad SNMP, se agregará el host a donde
se quiere enviar el tráfico y por último daremos click en OK.
74
• En este punto procederemos a configurar una política de Syslog, en la cual
se agregarán las direcciones ip a donde se requieren enviar los logs.
75
FORTIDDOS
• Nos dirigimos a las pestañas de Log & Report > Event Log Remote
76
• Una vez se instala el rSyslog, se ingresa al monitor del FortiSiem y en el
menú CMDB en el lado izquierdo hacer clic en la opción server, allí mismo
se despliega una lista de opciones donde se debe seleccionar el botón Linux,
como se muestra en la ilustración 19.
77
• Para relacionar el servidor Linux, se debe hacer clic sobro el botón New, acá
mostrará la siguiente pantalla donde se debe ingresar la información que
solicita el formulario.
78
<Org>
<ID>1</ID>
<Name>Super</Name>
</Org>
<Super>
<Name>SUPER_IP</Name>
<Port>443</Port>
</Super>
<Registration>
<Username>Super/AGENT_USER</Username>
<Password>AGENT_PASSWORD</Password>
</Registration>
<Proxy>
<Server></Server>
<Port></Port>
</Proxy>
<SSLCertificate>ignore</SSLCertificate>
</InstallConfig>
79
• En las pestañas CMDB > Users > Ungruped > New
80
• Para la instalación de agente en el servidor Windows, una vez se tiene
ajustado en archi xml, se guarda en la misma ruta del instalador con el
nombre de InstallSettings.xml, para que el agente tome automáticamente la
plantilla y se configure.
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
Anexo C. Matriz de Activos
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162