Proyecto Grado SIEM-MEN

PLAN DE MEJORAMIENTO SIEM O CORRELACIONADOR DE EVENTOS DE
SEGURIDAD PARA EL MINISTERIO DE EDUCACIÓN NACIONAL
JAVIER GARCÍA ARIAS

LINA KATHERINE RODRÍGUEZ DUARTE
UNIVERSIDAD PILOTO DE COLOMBIA

FACULTAD INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ D.C.
2021
PLAN DE MEJORAMIENTO SIEM O CORRELACIONADOR DE EVENTOS DE
SEGURIDAD PARA EL MINISTERIO DE EDUCACIÓN NACIONAL
JAVIER GARCÍA ARIAS

LINA KATHERINE RODRÍGUEZ DUARTE
Proyecto de grado para la obtención del título de especialización en seguridad

informática.
Director Especialización en Seguridad Informática

Ingeniero Álvaro Escobar Escobar
UNIVERSIDAD PILOTO DE COLOMBIA

FACULTAD INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ D.C.
2021
CONTENIDO
pág.
INTRODUCCIÓN............................................................................................................... 12
1. JUSTIFICACIÓN ........................................................................................................ 13
2. DEFINICIÓN DEL PROBLEMA .............................................................................. 14

2.1 ANTECEDENTES DEL PROBLEMA .............................................................. 14
2.2 FORMULACIÓN .............................................................................................. 14

3. OBJETIVOS................................................................................................................ 15
3.1 OBJETIVO GENERAL .................................................................................... 15
3.2 OBJETIVOS ESPECÍFICOS ........................................................................... 15
4. MARCO TEÓRICO .................................................................................................... 16

4.1 SIEM ................................................................................................................ 17
4.2 COMO FUNCIONA UN SIEM. ......................................................................... 17
4.3 ASPECTOS TÉCNICOS Y PROTOCOLOS DE COMUNICACIÓN. ............... 18
4.3.1 Protocolo SNMP.. ......................................................................................... 18
4.3.2 Protocolo Syslog.. ......................................................................................... 18
4.3.3 Envío de mensajes WMI. .............................................................................. 19
4.4 FORTISIEM ..................................................................................................... 19
4.4.1 Arquitectura de FortiSiem. ............................................................................ 20
5. MARCO REFERENCIAL .......................................................................................... 22

5.1 INFRAESTRUCTURA ACTUAL DEL MINISTERIO DE EDUCACIÓN
NACIONAL ............................................................................................................ 23
5.2 ARQUITECTURA ACTUAL IMPLEMENTADA FORTISIEM .......................... 25
5.2.1 Características FortiSiem MEN. .................................................................... 26
5.3 ESTADO ACTUAL CONTROLES DE SEGURIDAD MEN ............................. 27
5.4 ANÁLISIS DE RIESGOS DE SEGURIDAD MEN ........................................... 32
6. DISEÑO METODOLÓGICO ...................................................................................... 35

6.1 CLASIFICACIÓN DE LOS EQUIPOS TECNOLÓGICOS DEL MEN .............. 35
6.2 PLAN DE MEJORA HERRAMIENTA FORTISIEM. ........................................ 37
6.2.1 Equipos de seguridad perimetral - Firewall - WAF - Anti DDoS .................... 44
6.2.2 Configuración Equipos Windows .................................................................. 45
6.2.3 Configuración de Equipos Linux ................................................................... 45
7. RESULTADOS ................................................................................................ 46
7.1 OPERACIÓN FORTISIEM MINISTERIO DE EDUCACIÓN NACIONAL......... 50
7.2 PANEL DE SEGURIDAD ................................................................................ 51
7.3 PANEL DE RECURSOS.................................................................................. 55
3
7.4 ANÁLISIS DE CONTROLES FORTALECIDOS Y RIESGO RESIDUAL ........ 58
7.5 PRESUPUESTO .............................................................................................. 65
7.6 CRONOGRAMA .............................................................................................. 66
8. CONCLUSIONES ...................................................................................................... 67
9. RECOMENDACIONES ............................................................................................. 68
BIBLIOGRAFÍA ................................................................................................................. 69
ANEXOS ............................................................................................................................. 70
4
LISTA DE CUADROS
Pág.
Cuadro 1 Instrumento de Evaluación de Seguridad de la Información cuadro ...... 28

Cuadro 2 Definición de estados cuadro ................................................................. 31
Cuadro 3 Análisis de Riesgos Inherente cuadro .................................................... 33
Cuadro 4 Mapa de Calor cuadro ............................................................................ 34
Cuadro 5 Seguridad Perimetral cuadro.................................................................. 36
Cuadro 6 Control de Acceso cuadro ...................................................................... 36
Cuadro 7 Identificación del área de mejora cuadro................................................ 37
Cuadro 8 Nivel de Dificultad cuadro....................................................................... 38
Cuadro 9 Acciones de mejora cuadro .................................................................... 38
Cuadro 10 Plan de Actividades .............................................................................. 40
Cuadro 11 Plan de Actividades Ejecutado cuadro ................................................. 47
Cuadro 12 Instrumento de Evaluación de Seguridad de la Información ................ 59
Cuadro 13 Definición de los parámetros de los controles de seguridad ................ 62
Cuadro 14 Análisis de Riesgos Residual ............................................................... 64
Cuadro 15 Mapa de Calor Residual ....................................................................... 65
Cuadro 16 Presupuesto ........................................................................................ 65
Cuadro 17 Cronograma ......................................................................................... 66
5
LISTA DE FIGURAS
Pág.
Figura 1. Historia de FortiSiem. ............................................................................. 20

Figura 2. Arquitectura ............................................................................................ 21
Figura 3. Infraestructura MEN ................................................................................ 25
Figura 4. Arquitectura MEN 2................................................................................. 26
Figura 5. Estado Controles Fuente ........................................................................ 30
Figura 6. Registro de Log ...................................................................................... 50
Figura 7. Registro de Eventos................................................................................ 51
Figura 8. Panel de Seguridad ................................................................................ 52
Figura 9. Índice de tráfico en diversos países ........................................................ 52
Figura 10. Eventos Alertas de Ataques .................................................................. 53
Figura 11. Evidencia de Correo Alertas de Ataques .............................................. 53
Figura 12. Eventos Usuarios .................................................................................. 54
Figura 13. Ataques Comunes ................................................................................ 54
Figura 14. Panel Recursos RAM............................................................................ 55
Figura 15. Panel Recursos CPU. ........................................................................... 55
Figura 16. Panel Linux-Win .................................................................................... 56
Figura 17. Reporte Ataques ................................................................................... 57
Figura 18. Estado Controles Fortalecidos. ............................................................. 62
6
GLOSARIO
APPLIANCE: son dispositivos de hardware dedicados, encargados de efectuar un

número determinado de funciones, habitualmente diseñados para instalarse en un
rack, y que operan con software específicamente diseñado para ello1.
BUFFER: un [Buffer] es en informática lo equivalente a la memoria de corto plazo

de una persona. Es aquel almacenamiento que guarda pequeños datos o
movimientos que se realizan dentro de una computadora, básicamente para
optimizar el tiempo de respuesta del procesador.2
CLUSTER: Un cúmulo, granja o [cluster]de computadoras, lo podemos definir como

un sistema de procesamiento paralelo o distribuido. Consta de un conjunto de
computadoras independientes, interconectadas entre sí, de tal manera que
funcionan como un solo recurso computacional. A cada uno de los elementos del
[cluster] se le conoce como nodo.3
DASHBOARD: es una interfaz de usuario, que puede presentar algo de semejanza

con el panel de control de un coche, donde se organiza y se presenta la información
de una manera que es fácil de leer.4
DATA CENTER: centro de procesamiento de datos, es una instalación, construcción

o inmueble de gran tamaño donde se albergan y mantienen numerosos equipos
electrónicos como servidores, ventiladores, conexiones y otros recursos necesarios
que se utilizan para mantener una red o un sistema de computadoras, información,
conexiones y datos de una o varias empresas.5
FORTISIEM: es una solución, dedicada a la seguridad de la información. Además,

permite relacionar los datos de seguridad y de red bajo un mismo marco. Por lo
tanto, la herramienta trata de proporcionar un único panel de control para el centro
de seguridad y operaciones de red.6
1
Vilches, N. C. Revista Gerencia. [En línea]. http://www.emb.cl/gerencia/articulo.mvc?xid=4448&ni=appliances-de-
seguridad-proteccion-en-todos-los-segmentos 2019
2
conceptodefinicion.de. [En línea]. https://conceptodefinicion.de/buffer/ 2021
3
Revista Unam. [En línea]. http://www.revista.unam.mx/vol.4/num2/art3/cluster.htm 2021
4
Arimetrics. [En línea]. https://www.arimetrics.com/glosario-digital/dashboard 2021
5
kionetworks. [En línea]. https://www.kionetworks.com/blog/data-center/qu%C3%A9-es-un-data-center 2021
6
MarTech Forum, S.L.U,. [En línea].
https://www.martechforum.com/herramienta/fortisiem/#:~:text=FortiSIEM%20(Security%20Information%20and%20Event,s
eguridad%20y%20operaciones%20de%20red. 2019
8
GPO: [Group Policy Object] Las Directivas de Grupo permiten implementar
configuraciones específicas para uno o varios usuarios y/o equipos dentro de un
directorio activo de Windows.7
HA: [High Availabity] sistemas o aplicaciones que requieren un nivel muy alto de
fiabilidad y disponibilidad. Estos sistemas trabajan en 24x7 y por lo general emplean
sistemas redundantes para minimizar el riesgo de inactividad debido a fallos de
hardware y/o telecomunicaciones.8
HIPERCONVERGENCIA: es un sistema unificado y definido por software que reúne

todos los elementos de un centro de datos tradicional: almacenamiento, recursos
informáticos, red y gestión.9
IPS: un Sistema de Prevención de Intrusos es un dispositivo de seguridad,

fundamentalmente para redes, que se encarga de monitorear actividades a nivel de
la capa 3 (red) y/o a nivel de la capa 7 (aplicación) del Modelo OSI, con el fin de
identificar comportamientos maliciosos, sospechosos e indebidos, a fin de
reaccionar ante ellos en tiempo real mediante una acción de contingencia.10
LOG: en informática a nivel general hablar de “log” o “registro” es referirse a una

información de más o menos bajo nivel reportada por el sistema operativo o una
aplicación concreta que sirve para identificar qué está haciendo, incluyendo errores,
problemas o avisos menores, y cuando ha sucedido eso, indicando la fecha, hora y
segundo. En algunos casos se puede identificar el origen, el usuario, la dirección IP
y otros campos interesantes desde el punto de vista de lo que ha sucedido.11
NOC: [Network Operations Center] es un centro de comando para monitorear la red

de una compañía, especialmente si está basada en IP.12
RFC: [Request for Change, RFC] es una solicitud formal para la implementación de
un Cambio. Se envía una Solicitud de Cambio a la Gestión de Cambios para
cualquier Cambio que no sea estándar definido en una política de gestión de
cambios.13
7
Cetatech. [En línea]. https://cetatech.ceta-ciemat.es/2014/12/directivas-de-grupo-gpo-en-windows-server-2012/ 2021
8
Glosario Terminología Informática. [En línea]. http://www.tugurium.com/gti/termino.php?Tr=high%20availability 2020
9
VMware. [En línea]. https://www.vmware.com/latam/topics/glossary/content/hyperconvergence.html 2021
10
Infotecs. [En línea]. https://infotecs.mx/blog/ips-sistema-de-prevencion-de-intrusos.html 2021
11
Lerena, S. Pandorafms. [En línea]. https://pandorafms.com/blog/es/logs/ 2021
12
DWS. [En línea]. https://dws.gruposerban.com/blog/por-que-un-noc-es-imprescindible 2020
13
IT Process Wiki. [En línea]. https://wiki.es.it-processmaps.com/index.php/Lista_de_control_-_Solicitud_de_Cambio_RFC
2019
9
SGSI: es el diseño, implantación y mantenimiento de un conjunto de procesos para
gestionar eficientemente la accesibilidad de la información, buscando asegurar la
confidencialidad, integridad y disponibilidad de los activos de información
minimizando a la vez los riesgos de seguridad de la información.14
SIEM: [Security Information and Event Management] es una categoría de software

que tiene como objetivo otorgar a las organizaciones información útil sobre
potenciales amenazas de seguridad de sus redes críticas de negocio, a través de la
estandarización de datos y priorización de amenazas. Esto es posible mediante un
análisis centralizado de datos de seguridad, obtenidos desde múltiples sistemas,
que incluyen aplicaciones antivirus, firewalls y soluciones de prevención de
intrusiones.15
SOC: el centro de operaciones de seguridad se refiere al equipo responsable de

garantizar la seguridad de la información. Es una plataforma que permite la
supervisión y administración de la seguridad del sistema de información a través de
herramientas de recogida, correlación de eventos e intervención remota.16
SQL INJECTION: se refiere a un ataque de inyección en el que un atacante puede

ejecutar sentencias SQL maliciosas que controlan el servidor de bases de datos de
una aplicación web.17
SWITCH: Un [switch] o conmutador es un dispositivo que sirve para conectar varios

elementos dentro de una red.18
TCP_Flood: a veces conocida como un ataque medio abierto, es un ataque a nivel

de red que bombardea un servidor con solicitudes de conexión sin responder a los
correspondientes acuses de recibo. El gran número de conexiones TCP abiertas
resultante consume los recursos del servidor para básicamente desplazar el tráfico
legítimo, lo que hace imposible abrir nuevas conexiones legítimas y dificulta o
imposibilita el funcionamiento correcto del servidor para los usuarios autorizados
que ya están conectados.19
14
Firma-e. [En línea]. https://www.firma-e.com/blog/que-es-un-sgsi-sistema-de-gestion-de-seguridad-de-la-informacion/
2019
15
HelpSystems. [En línea]. https://www.helpsystems.com/es/blog/que-es-un-siem 2021
16
Oracle. [En línea].https://www.oracle.com/es/database/security/que-es-un-soc.html 2021
17
estrada. [En línea].https://estradawebgroup.com/Post/-Que-es-SQL-injection-y-Como-afecta-los-SQL-Query-/4273 2021
18
noBBOT. [En línea]. https://www.nobbot.com/redes/que-es-un-switch-y-como-funciona/ 2021
19
F5. [En línea]. https://www.f5.com/es_es/services/resources/glossary/syn-flood 2021
10
UDP_Flood: el UDP es un protocolo estándar de comunicación a través de redes
IP. Debido a que los paquetes UDP carecen de estado, requieren una menor
validación y comprobación de errores en comparación con el TCP. Un ataque de
inundación UDP intenta sobrecargar un servidor de peticiones saturando las tablas
de conexiones en todos sus puertos accesibles.20
VPN: [Virtual Private Network] consiste en un método utilizado para conectarnos a

internet de forma privada. Para conseguirlo, el sistema oculta nuestra dirección IP
real y enruta tanto nuestro tráfico de Internet como nuestros datos a través de un
túnel privado y cifrado de forma segura a través de redes que sí son públicas.21
VULNERABILIDADES: una vulnerabilidad es una debilidad presente en un sistema

operativo, software o sistema que le permite a un atacante violar la confidencialidad,
integridad, disponibilidad, control de acceso y consistencia del sistema o de sus
datos y aplicaciones.22
XXS: es un tipo de vulnerabilidad de seguridad informática típicamente encontrada

en aplicaciones web que permiten la inyección de código por usuarios maliciosos
en páginas web vistas por otros usuarios.23
20
F5. [En línea]. https://www.f5.com/es_es/services/resources/glossary/udp-flood 2021
21
muy INTERESANTE. [En línea]. https://www.muyinteresante.es/tecnologia/articulo/que-es-una-vpn-para-que-sirve-y-
cuando-usarla-351605293187 2021
22
tecnologia+informatica. [En línea]. https://www.tecnologia-informatica.com/vulnerabilidades-
informaticas/#Vulnerabilidad._Seguridad_informatica 2021
23
CICESE. [En línea]. https://seguridad.cicese.mx/dutic/42/Clasificaci%C3%B3n-de-Ataques:-Ataques-de-
Cross%E2%88%92Site-Scripting 2021
11
INTRODUCCIÓN
Dentro del mundo digital, donde a través de cualquier dispositivo conectado, se

pueden controlar todos los aspectos de las organizaciones, surge la necesidad de
fortalecer todas las políticas necesarias para el control del uso de los sistemas
informáticos y un sistema de gestión de eventos de seguridad de la información
eficiente.
Las políticas dentro del SGSI, van perdiendo eficiencia tan solo con el cambio
constante y la evolución de los sistemas; adicionalmente, el crecimiento y la
innovación de las amenazas que están en una constante evolución obliga a
mantener un monitoreo de los diferentes eventos de seguridad que se presentan
dentro las tecnologías de información en las organizaciones.
En este punto, surge la necesidad de mantener un sistema común, donde todos los
eventos que provienen de los diferentes usuarios (internos, externos, autorizados y
no autorizados) y de los sistemas, se recolecten, organicen y analicen, logrando
obtener la parametrización óptima que permita hacer una detección anticipada de
esos eventos que se pueden materializar en riesgos; así como el análisis constante
de las amenazas, vulnerabilidades y brechas de seguridad.
Con esto, no solo se busca mantener el monitoreo constante de eventos de

seguridad en las diferentes plataformas, si no hacer un análisis que permita tomar
acciones en pro de mejorar diferentes sistemas de información, situación que puede
ser optimizada a través de las herramientas conocidas como un [System information
and event manager] SIEM.
12
1. JUSTIFICACIÓN
En la Actualidad, el Ministerio de Educación Nacional (MEN) cuenta con una

plataforma SIEM a través del contratista que presta los servicios de gestión y
administración de toda la infraestructura tecnológica, esta herramienta requiere ser
parametrizada y configurada según las condiciones tecnologías del Ministerio, con
el fin de dar valor y teniendo la visión de realizar la implementación completa de un
SOC, para la administración de la seguridad de la información en la entidad.
El Ministerio de Educación Nacional, cuenta con su propia política de seguridad y

privacidad de la información basada en la norma ISO27001; Allí se encuentran
políticas directamente relacionadas con la recolección, almacenamiento y auditoría
de eventos, donde se puede gestionar un mejoramiento con el uso de herramientas
más automatizadas para el tratamiento de estos eventos.
La presente investigación se enfoca en estudiar y desarrollar una manera más

eficiente, es decir, que se pueda hacer una correlación de eventos más ágil, a través
de la plataforma de correlación de eventos SIEM implementada en el ministerio, y
obtener un mejoramiento en la parametrización de la plataforma, para convertirla en
una herramienta que ayude a la entidad a mejorar sus procesos en seguridad
informática.
Se debe gestionar la herramienta de correlacionador de eventos de seguridad, con

el fin de reforzar controles y mantener una mejora continua en el SGSI
implementado, para esto es necesario definir un análisis del manejo de eventos de
seguridad dentro del Ministerio y un plan de mejoramiento donde se parametrice la
herramienta del SIEM.
Algunas de las causas que motivan la investigación, tiene que ver con que el
Ministerio no tiene totalmente centralizada la información de eventos de seguridad,
puesto que la plataforma actualmente implementada, no cuenta con la configuración
de dispositivos y tampoco se establecen las suficientes reglas para la generación
de reportes, estadísticas, alertas de identificación de ataques y la detección de
amenazas en el SIEM, todo esto dificulta el análisis y la gestión por parte de los
analistas e incluso, afecta la respuesta oportuna frente a un evento o incidente de
seguridad.
13
2. DEFINICIÓN DEL PROBLEMA
2.1 ANTECEDENTES DEL PROBLEMA
La problemática que tiene el Ministerio de Educación Nacional se enfoca en el

manejo y administración del SIEM, [Security Información and Event Management] o
correlacionador de eventos de seguridad.
Los principales inconvenientes presentes en esta plataforma se observan al

establecer que existe una definición muy limitada de los parámetros para la
correlación de eventos de seguridad, donde se evidencia la ausencia de
auditabilidad, retención y parametrización de log; así mismo, se requiere establecer
reglas acordes para la generación de reportes, estadísticas, alertas de identificación
de ataques y la detección de amenazas, para optimizar la gestión de repuestas a
los eventos e incidentes de seguridad.
2.2 FORMULACIÓN
¿La herramienta de correlación de eventos en el Ministerio de Educación Nacional

se encuentra bien parametrizada para identificar, registrar y notificar
adecuadamente los eventos de seguridad?
14
3. OBJETIVOS
3.1 OBJETIVO GENERAL
Brindar al Ministerio de Educación Nacional una herramienta por medio del SIEM,
que le permita agilizar el tratamiento de eventos e incidentes de seguridad,
generando reportes, estadísticas, alertas de identificación de ataques y la detección
de amenazas, agregando valor y fortaleciendo el SGSI de la entidad.
3.2 OBJETIVOS ESPECÍFICOS
• Obtener la información necesaria sobre toda la infraestructura tecnológica del

Ministerio y los procesos relacionados con los eventos de seguridad.
• Evaluar la administración actual de los eventos de seguridad del Ministerio,
evidenciando la problemática de gestión de las políticas asociadas al SIEM.
• Clasificar los activos de información, y establecer la prioridad con la que deben
ser incluidos en la herramienta SIEM a parametrizar, para el monitoreo de recursos
y eventos de seguridad.
• Optimizar el correlacionador de eventos en el Ministerio de Educación Nacional,
definiendo e implementando un plan de trabajo.
• Realizar la parametrización y configuración del SIEM implementado en el
Ministerio de Educación Nacional, para interpretar de una manera más eficiente
los eventos de seguridad de los activos de información.
15
4. MARCO TEÓRICO
Analizando las políticas de seguridad de la información del Ministerio de Educación

Nacional, es visible la problemática en la administración de algunos controles de
seguridad concernientes a la trazabilidad, auditoría y detección de eventos de la
infraestructura tecnológica, además de la automatización de procesos para la
gestión, retención y recolección de estos; lo que dificulta el cumplimiento en los
procedimientos indicados en las políticas del ministerio y que se ve reflejada en la
posible pérdida de información de los eventos reportados desde toda la
infraestructura.
También, es evidente que tanto los dispositivos de telecomunicaciones, como de

última milla, definida por el portal IWIND “(...) como el tramo final de una línea de
comunicación, ya sea telefónica o un cable óptico, que llega al usuario final.” 24,
servidores y equipos de seguridad, generan individualmente sus registros de log,
los cuales son almacenados localmente en cada equipo, utilizando su propia
capacidad; esta tarea requiere de un almacenamiento interno que en ocasiones es
muy pequeño, lo que puede ocasionar pérdida de información.
Un ejemplo de esta problemática, es un [buffer] de log de algunos [Switch],

entendido como la capacidad para retener información de eventos; este es ajustable
alrededor de los 18 KB de almacenamiento, sin embargo, es reducido y una vez se
supere esta capacidad, a través del tiempo, empieza a perder información más
antigua, por ingresar a su memoria información nueva.
Se suma a la problemática, el hecho de que cada fabricante de dispositivos tiene

formatos diferentes de log, haciendo que la tarea de interpretación sea mucho más
complicada, dificultando así la labor de los analistas y la reacción oportuna ante un
evento de seguridad. Una solución para no perder información, es enviar todos
estos datos a un repositorio centralizado, donde puedan ser almacenados con
mayor capacidad; esto arreglaría tan solo una de las problemáticas concernientes
al almacenamiento, pero no soluciona el inconveniente de log que están en
diferentes formatos y dificulta la interpretación.
Por esta razón, se requiere una herramienta que solucione completamente estas
problemáticas, ofreciendo un repositorio amplio de almacenamiento, una
normalización de todos los datos, y una interpretación ágil, lo que permite tener un
acceso a la información más confiable y segura.
Al tener un sitio centralizado donde se recolecte toda la información, con estas

características, se facilita los procesos de auditoría, reforzando así los controles y
24
IWINDS, ÚLTIMA MILLA. [En línea]. https://www.iwinds.com.ar/ultima-milla. 2020
16
ayudando a fortalecer el SGSI; para esto se contempla la configuración y
parametrización del [FortiSiem], implementado en el Ministerio de Educación
Nacional (MEN). Por tal motivo y con la finalidad de que pueda ser efectiva la
solución de estas problemáticas, incluso ya en el proyecto orientado en el Ministerio,
se realizará una contextualización de lo que es efectivamente un SIEM.
4.1 SIEM
Es la sigla en inglés de [System Information And Event Manager] y como su nombre

lo indica es una herramienta de gestión de eventos y seguridad, esta plataforma
tiene la capacidad de detectar cualquier evento dentro de la infraestructura
monitoreada, adicionalmente es capaz de detectar amenazas, y detectar patrones
de comportamiento anormales, además de otras bondades como lo son el
monitoreo de recursos de un dispositivo, con lo cual se pueden auditar los equipos
críticos, con el fin de tener una herramienta que genere proactividad en la
administración de todos los activos de información de TI.
Lo que hace esta plataforma, es recopilar dentro de un solo sistema de

almacenamiento, todos los log de eventos, de los dispositivos de seguridad, de los
servidores, dispositivos de red y de cualquier dispositivo industrial que genere un log
de eventos, con el fin de interpretarlos, analizarlos y procesarlos, para ofrecer al
usuario una visión global de estos datos prácticamente en tiempo real.
4.2 COMO FUNCIONA UN SIEM.
El SIEM, es una aplicación centralizada, que toma herramientas como él envió de

mensajes [Syslog], el protocolo SNMP, y el protocolo WMI, para recolectar la
información de cada uno de los dispositivos, no solo para almacenarla si no para
organizarla e incluso interpretarla.
Dentro de su estructura básica se encuentra una base de datos para almacenar los
dispositivos que se quieren monitorear y la información que estos dispositivos
proveen, también cuenta con módulos especializados y desarrollados para
funciones más específicas, como lo son generación de reportes y administración de
incidentes de seguridad, todo esto a nivel de software.
Dentro de las funciones de un SIEM, también se encuentra normalizar la información

cronológicamente en una línea temporal, con el fin de identificar patrones a través
del tiempo, también realizar una búsqueda fácil de eventos y usuarios para
identificar en donde surgen los incidentes y por último tiene la capacidad de
interpretar de forma inteligente los eventos con el fin de detectar vulnerabilidades y
amenazas dentro de las tecnologías de información y las comunicaciones.
Cabe resaltar que el SIEM también cuenta con funcionalidades de auditor de

recursos, donde permite visualizar el estado de los equipos a nivel de CPU,
17
memoria, y almacenamiento, esto con el fin de que se pueda hacer seguimiento a
las máquinas vinculadas y garantizar la disponibilidad de estas.
4.3 ASPECTOS TÉCNICOS Y PROTOCOLOS DE COMUNICACIÓN.
Como se menciona anteriormente, un SIEM, funciona en base de diferentes

protocolos de comunicación, estos mismos protocolos brindan a la plataforma cierta
información sobre el dispositivo y en muchas ocasiones se usan diferentes métodos
de monitoreo para un solo activo, con el fin de obtener la mayor cantidad de log, a
continuación, se definirán algunos de estos protocolos.
4.3.1 Protocolo SNMP. El protocolo SNMP, es el más usado para monitoreo y

gestión de redes, este genera tráfico hacia el servidor con todos los datos de
monitoreo de los activos de información relacionados dentro de su base de datos,
los dispositivos hacen uso del protocolo UDP, para enviar información de sí mismos
al servidor, este a su vez los toma e interpreta para generar una serie de estadísticas
y de alarmas programadas, y por ultimo generar informes de comportamiento de la
red y de los equipos monitoreados, para una administración proactiva de los
recursos por parte de los administradores.
SNMP viene de la sigla en inglés [Simple NetWork Management Protocol] fue

desarrollado para administrar nodos, servidores, estaciones de trabajo, routers,
switches y dispositivos de seguridad, en una red IP. SNMP es un protocolo de capa
de aplicación que facilita el intercambio de información de administración
entre dispositivos de red. SNMP es parte de la suite del protocolo TCP/TP.
Ariangelo25 determina que existen tres versiones, SNMPv1, SNMPv2 y SNMPv3, las
tres basadas en NMS [Network managenet systems], los cuales son los nodos o
agentes administrados y un [comunity string], la cual es una cadena de caracteres
que identifica a un grupo de nodos en particular. El administrador SNMP
puede obtener información del agente y cambiar la configuración en el agente, los
agentes SNMP aceptan comandos y solicitudes del sistema SNMP si y solo si este
tiene una [comunity string] configurada; cabe destacar que existen dos tipos de
comunidades: [Read Only]; proporciona acceso de solo lectura del nodo
monitoreado, y [Read write]; proporciona acceso de lectura y escritura del nodo
monitoreado. De igual forma, se señala que SNMP utiliza los puertos UDP 161 y
UDP 162, para él envió de información al servidor.
4.3.2 Protocolo Syslog. La plataforma [PAESSLER].26 establece que el protocolo

[Syslog], es usado para enviar y recopilar eventos de todo tipo sobre los equipos
25
ARIGANELO, E. (2014). Guía de estudio para la certificación CCNA security. En E. ARIGANELO., Administración de
reportes. Guía de estudio para la certificación CCNA security. Madrid: Edición 1 p. 81.
26
PAESSLER. IT Explained: Syslog. [En línea] https://www.paessler.com/it-explained/Syslog
18
tecnológicos, cada dispositivo tiene un registro interno de eventos, este es enviado
a otro lugar con mayores capacidades de almacenamiento para el resguardo y
recopilación, los log normalmente son enviados en texto plano, con el fin de que
estos sean livianos en caso de que requieran ser almacenados.
La plataforma señala que este protocolo deviene de las siglas

[System Logging Protocol], siendo así un protocolo estándar implementado para el
envío de mensajes del sistema a servidores estandarizados, conocido como
servidor [Syslog]; por ende, se implementa para compilar registros de dispositivos
de varias máquinas en ubicaciones específicas, para monitorear adecuadamente.
Así mismo, se establece que la mayoría de los dispositivos de red pueden tener este
protocolo habilitado, como enrutadores, conmutadores, cortafuegos e incluso
algunas impresoras y escáneres. Además, [Syslog] se puede utilizar en sistemas
basados en Unix y Linux y en muchos servidores web, incluido Apache. Los
sistemas Windows no instalan [Syslog] de forma predeterminada porque utilizan su
propio registro de eventos de Windows. Estos eventos se pueden reenviar a través
de utilidades de terceros u otras configuraciones haciendo uso de este mecanismo.
4.3.3 Envío de mensajes WMI. Los mensajes WMI son utilizados por los equipos
windows, para información del estado de los dispositivos y más importante para él
envió del estado de los archivos relevantes dentro del sistema operativo, este
protocolo valida que cambios se han hecho en las carpetas del sistema; por ende,
la Academia Rolosa27 determina que es una infraestructura de gestión y operación
de datos en el sistema operativo basado en Windows, desarrollado por Microsoft
basado en WBEN [Web-Based Enterprise Management]; permitiendo el acceso a
los datos a varios estándares de configuración de Windows, así como al valor actual
del estado del sistema. El acceso puede ser local o remoto a través de una conexión
de red. WMI se basa en COM y DCOM y está integrado en Windows 2000, XP, 2003,
Vista, 2008, Windows 7 y Windows 8
4.4 FORTISIEM
[MarTech Forum]28 considera a FORTISIEM una solución enfocada en la seguridad

de la información, permitiendo vincular los datos de seguridad y de red en una
misma línea; es decir, la herramienta busca ofrecer un panel único de control para
el centro de seguridad y operaciones de red [NOC & SOC].
27
ACADEMIA ROSOLA. ¿Qué es el sensor de WMI, requerimientos y cómo funciona? [En línea]. (https://kb.rolosa.com/np-
que-es-el-sensor-de-wmi-requerimientos-y-como-funciona/). 27 de abril de 2017
28
MarTech Forum, S. FortiSIEM. [En línea].
https://www.martechforum.com/herramienta/fortisiem/#:~:text=FortiSIEM%20(Security%20Information%20and%20Event,seg
uridad%20y%20operaciones%20de%20red. 2020
19
La primera generación de SIEM, fue desarrollada en 2002 por la empresa
PROTEGO NETWORKS, eventualmente esta empresa fue adquirida por CISCO en
2004, quienes desarrollan la segunda generación. En 2007 surge la empresa
ACCELOPS, la cual fue conformada por parte del grupo desarrollador de la segunda
generación de cisco, en 2016 Fortinet absorbe accelops, y se comienza el desarrollo
de la plataforma [FortiSiem], en la Figura 1 se evidencia la evolución de la
plataforma SIEM, hasta llegar a [FortiSiem].
Figura 1. Historia de FortiSiem.
Fuente: Fortinet
4.4.1 Arquitectura de FortiSiem. La arquitectura del [FortiSiem], como se muestra

esquemáticamente en la Figura 2, funciona en base a servidores relacionados, los
cuales dividen todo el procesamiento para no sobre cargar una sola máquina, se
tienen 3 funciones principales.
Collector: Es un servidor el cual recibe toda la información de logs y la organiza, su

función es estandarizar la información recibida de los diferentes dispositivos, para
poderla entregar en un solo formato en común, este dispositivo no almacena
información ni log.
Workers: Son los que realizan el gran trabajo de procesamiento, este equipo recibe
los log estandarizados del [collector] y los almacena, para a su vez empezar a
realizar la correlación de eventos.
Supervisor: Es donde se parametriza toda la configuración del [FortiSiem], su

trabajo es administrar e interpretar información, este servidor muestra una interfaz
amigable para el usuario, así como sus privilegios, y es el que se encarga de
administrar la base de datos principal del equipo.
20
Figura 2. Arquitectura
Fuente: Elaboración propia
De igual modo, Las funciones de [worker] y supervisor, están separadas según el

ambiente y la infraestructura adquirida por el cliente, pero en muchas ocasiones se
centralizan estas dos funciones en un solo [appliance], con niveles de
almacenamiento y procesamiento más altos, para soportar las dos funciones.
Este tipo de arquitectura resulta muy escalable, puesto que a medida que el nivel y
cantidad de dispositivos cambien, se puede adicionar recursos a nivel de servidores
o disminuir la arquitectura de [FortiSiem].
21
5. MARCO REFERENCIAL
El Ministerio de Educación Nacional (MEN)29 expone que su misión radica en

vincular y enfocar la formulación, implementación y evaluación de las políticas
públicas de educación, llenando vacíos en la protección del derecho a la educación
de servicios educativos de alta calidad dentro de una prestación adecuada que
reconozca e integre los recursos educativos, señalando que las diferencias,
territorios y orígenes permiten una vía educativa completa para promover el
desarrollo integral de la sociedad y los individuos, siendo así un pilar importante
para el desarrollo del país.
Por consiguiente, es fundamental que todos los procesos de la organización estén

protegidos frente a las diferentes amenazas que existen en el ciberespacio y que
los datos de los usuarios realmente puedan ser custodiados, bajo las características
de integridad, confidencialidad, y disponibilidad de la información, por eso es
importante que a través de un correlacionador de eventos se pueda de manera
anticipada evitar la materialización de riesgos que pongan en peligro estos datos.
En vista de que para la entidad es muy importante el manejo que se da a la

información, no solo de los usuarios sino de toda la infraestructura, es fundamental
definir las condiciones y los responsables de su manipulación.
Es así como se establece también el acuerdo de confidencialidad con el MEN,

entidad objeto del desarrollo de este trabajo de grado orientado a una
investigación aplicada, donde se define y aclara los parámetros de confidencialidad
de la información y se precisa que no se van a tratar o exponer datos sensibles de
la infraestructura tecnológica de la entidad, asimismo se consideran los procesos y
lineamientos establecidos por ellos y la ley 1581 de 2012 de Habeas Data. Además,
se debe tener en cuenta que el equipo [FortiSiem] es un equipo al servicio
del Ministerio y cuyo propietario es una empresa privada outsourcing del MEN, de
la cual también se tiene autorización para el uso y tratamiento de información
referente al equipo.
A continuación, y de acuerdo con el primer objetivo planteado en el proyecto se

hace la descripción del estado actual de la infraestructura tecnológica del ministerio
y de la implementación del [FortiSiem].
29
MEN. (2019), Misión y Visión. [En línea]. https://www.mineducacion.gov.co/portal/Ministerio/Informacion-
Institucional/89266:Mision-y-Vision. 2019.
22
5.1 INFRAESTRUCTURA ACTUAL DEL MINISTERIO DE EDUCACIÓN
NACIONAL
El MEN cuenta con dos bloques grandes de infraestructura divididos en dos centros
de cómputo, uno de estos se encuentra ubicado en la sede principal del Ministerio
denominado DC Principal, el otro se encuentra ubicado en las instalaciones del
proveedor de servicios, el cual se denomina, DC Externo.
Ambos [datacenter], cuentan con toda la infraestructura de servidores, internet,

seguridad y equipos de telecomunicaciones, para soportar todas las aplicaciones
informáticas que provee el Ministerio, así como los canales de
comunicación necesarios para el intercambio de información entre ambos sitios.
A nivel de servidores la sede principal y el DC Externo, cuentan con toda la

infraestructura virtualizada, basada en hiperconvergencia, la cual adopta todas las
bondades de la virtualización, para mantener la disponibilidad de servicios, esta
infraestructura está dividida en tres ambientes.
• Pruebas: Es donde se realiza todo el desarrollo de las aplicaciones por demanda

de MEN, este ambiente solo se encuentra implementado en
el [datacenter] principal, y a este solo se tiene acceso mediante la red interna del
Ministerio.
• Certificación: Este se encuentra únicamente en el [datacenter] principal, y es

donde se instalan las aplicaciones ya terminadas y que requieren una fase de
pruebas funcionales y de corrección de errores, a este ambiente se tiene
acceso mediante la red interna, para administración de servicios, y
mediante algunas publicaciones en internet
.
• Producción: El ambiente de producción, se encuentra tanto en la sede principal,
como en el DC Externo, es donde se despliegan las aplicaciones ya terminadas al
público, es el más importante de los ambientes, a este se tiene acceso mediante la
red interna para la administración gestión y mediante publicaciones en internet.
Para la infraestructura de seguridad, el MEN cuenta con una serie de

equipos [appliance] , específicos de seguridad, con los cuales se administran tanto
los accesos de tráfico, políticas de servicios y publicaciones hacia internet, los
cuales se encuentran en ambos [datacenter], ahí están los siguientes dispositivos:
• Firewall perimetral: Este [appliance] es un [cluster] de dos equipos que

mantienen la redundancia y alta disponibilidad, este equipo administra los accesos
a todos los ambientes, así como los permisos de tráfico hacia toda la
infraestructura, adicionalmente es con el cual se administran los accesos externos y
de VPN de Ministerio, cada [datacenter]cuenta con un [cluster] de equipos.
23
• Firewall de aplicaciones WAF: Este [appliance] se encarga de inspeccionar
todo el tráfico que viene de internet y que se dirija a algún servidor que se
encuentre desplegando alguna aplicación. Este dispositivo cuenta con la suficiente
inteligencia para detectar y bloquear ataques de aplicaciones, como [SQL injection]
y XXS, también cuenta con un [cluster] de equipos para asegurar la redundancia y la
alta disponibilidad, en cada centro de cómputo.
• Anti DDos: Este equipo se encuentra igualmente ubicado en los dos [datacenter]
y se encarga de administrar las políticas de denegación de servicio, el equipo
anti DDoS detecta cuando se está realizando un ataque de denegación de servicio
y bloquea las cesiones que estén por fuera de su política, igualmente se encuentra
configurado en clúster con dos equipos en cada [datacenter].
Para los enlaces de telecomunicaciones, el MEN cuenta con infraestructura

redundante a nivel de proveedor de internet y de canales, esta infraestructura es
administrada por el proveedor externo, quien provee y garantiza, la disponibilidad
tanto entre los dos [datacenter] como con los enlaces de internet. A nivel
lógico, los clústeres de equipos se pueden representar como un solo equipo, puesto
que sus características de HA [High Availabity], permiten administrar cada par de
equipos como si fueran uno solo.
En la Figura 3, se muestra un diagrama, donde se ilustra toda la infraestructura del

ministerio, donde se evidencia los diferentes ambientes y [apliance] que intervienen
en las comunicaciones de la entidad.
24
Figura 3. Infraestructura MEN
Fuente: Ministerio de Educación Nacional, 2019
5.2 ARQUITECTURA ACTUAL IMPLEMENTADA FORTISIEM
La implementación de [FortiSiem], con la que el Ministerio de Educación Nacional

cuenta, consta de un [appliance FortiSiem] 3500f quien cumple las funciones de
[worker], supervisor y un [FortiSiem] 500f quien cumple la función de [collector],
estos se encuentran instalados en la sede principal y poseen un licenciamiento de
diez mil (10.000) eventos por segundo, en la Figura 4 se muestra como es el la
arquitectura de [FortiSiem] y el flujo de datos a través de la implementación.
25
Figura 4. Arquitectura MEN 2
Fuente: Elaboración Propia
5.2.1 Características FortiSiem MEN El equipo [FortiSiem] consta de dos

servidores de amplias capacidades, los cuales se encuentran instalados en la data
center principal, normalmente las instalaciones de la mayoría de las plataformas
SIEM se basan en servidores virtuales, para los cuales se deben solicitar una
mínima cantidad de recursos, tanto en almacenamiento como en memoria y
procesador.
La solución de [FortiSiem] puede ser combinada entre [appliance] virtuales y

[appliance] físicos, para efectos de esta aplicación se tienen dos servidores físicos,
con características ya definidas de fábrica, las cuales pueden ser mejoradas a nivel
de memoria y almacenamiento, pero no a nivel de procesador.
El equipo [FortiSiem] 3500f, cuenta con 2 procesadores Intel Xeon E5 de 2.8 Ghz,
64 GB de memoria RAM y 72 TB de capacidad de almacenamiento, este equipo
cumple el rol de supervisor/[worker], y, por ende, requiere un nivel de
almacenamiento mucho más alto.
El equipo [FortiSiem] 500f, cuenta con un procesador Intel Xeon E3 de 3.2 Ghz, una
memoria de 16GB y una capacidad de almacenamiento de 3TB, este funciona a
nivel de colector, por lo cual requiere ser más veloz a nivel de procesamiento, puesto
que este equipo recibe una cantidad de tráfico muy pesada y necesita niveles de
procesamiento altos para poder atender la demanda de tráfico.
26
Con esto se logra tener la infraestructura necesaria para recibir, almacenar y
procesar los eventos de diferentes plataformas, con eficiencia y seguridad,
garantizando que la información sea procesada en su totalidad.
La Tabla 1, específica las características técnicas dadas por el fabricante de la

herramienta.
Tabla 1. Características de FortiSiem
Fuente: FortiSiem (2020)
Teniendo en cuenta la importancia que tiene el Ministerio y el cumplimiento de los

objetos estratégicos del plan de gobierno nacional, el componente de la seguridad
reviste una importancia significativa, por ende, es esencial que se tenga frente al
contexto del proyecto y acorde al planteamiento del segundo objetivo de este, un
análisis de la situación actual del ministerio basado en los controles relacionados
con la auditabilidad.
5.3 ESTADO ACTUAL CONTROLES DE SEGURIDAD MEN
Una vez revisado el documento Política de seguridad y privacidad de la

información del MEN (Véase Anexo B), se concluye que con este proyecto es
posible mejorar los controles de seguridad planeados en esta política: 1.3.16
protección contra código malicioso y 1.3.18 eventos de auditoría, asimismo,
los controles de seguridad asociados, donde se establece que los eventos deben
ser registrados, almacenados y estar disponibles para funciones de control y
auditaje.
27
Con la finalidad de lograr medir la situación actual del Ministerio frente a los objetivos
de control planeados en su política, se hará un análisis GAP, el cual consiste en
ponderar la situación actual de esta entidad pública vs el estándar ISO/IEC 27001,
particularmente, frente a los controles de seguridad relacionados con el proyecto y
así lograr, establecer la brecha existente buscando minimizar la misma frente a la
implementación.
En el Cuadro 1, Se evalúan doce objetivos de control en su estado

actual, arrojando la medida en que se encuentran aplicados y así poder identificar
riesgos potenciales y vulnerabilidades que surgen de la debilidad del proceso.
Cuadro 1. Instrumento de Evaluación de Seguridad de la Información.
Cláusula Sección Objetivo de Control Observación Estado
Control
9.1.1 Política de control Se debe establecer, La política y los roles de control Gestionado
9 control de de acceso documentar y revisar de acceso se encuentran
Acceso una política de control definidos mediante plataforma
de acceso con base en ISE, el registro de eventos está
los requisitos del disperso en los diferentes
negocio y de seguridad componentes de las
de Ia información. plataformas
12.2.1 Controles contra Se deben implementar La política de código malicioso Gestionado
12. códigos maliciosos controles de detección, en su mayoría se encuentra
Seguridad de prevención y de gestionada por el sistema
en las recuperación, antivirus, el cual realiza el
Operaciones combinados con la análisis completo de código
toma de conciencia malicioso. Los eventos que se
apropiada de los generan con respecto a virus en
usuarios, para el firewall perimetral no se están
proteger contra almacenado con suficiente
códigos maliciosos retención de tiempo.
12.4.1 Registro de Se deben elaborar, Los eventos registrados se Incompleto
eventos conservar y revisar encuentran en los diferentes
regularmente los sistemas, alojados localmente,
registros acerca de lo cual puede generar perdida y
actividades del dificultad de interpretación de
usuario, excepciones, log.
fallas y eventos de
seguridad de la
información.
12.4.2 Protección de la Las instalaciones y la El almacenamiento y retención Incompleto
información de información de registro de eventos no se realiza de una
registro se deben proteger forma centralizada, y no se
contra alteración y parametrizan los log en el
acceso no autorizado mismo formato
12.4.3 Registros del Las actividades del Los registros se almacenan en Incompleto
Administrador y administrador y del texto plano lo cual dificulta la
del Operador operador del sistema interpretación
se deben registrar, y
los registros de deben
proteger y revisar con
regularidad.
28
Cuadro 1. (Continuación)
Control
12.6.1 Gestión de las Se debe obtener La información de Incompleto
vulnerabilidades oportunamente vulnerabilidades se obtiene
técnicas información acerca mediante informes
de las mensuales, mas no se tiene
vulnerabilidades un análisis constante en el
técnicas de los tiempo debido a que no hay
sistemas de una interpretación contante
información que se de eventos, ya que a que no
usen; evaluar Ia se tiene un SOC que
exposición de Ia reporte eventualmente los
organización a estas análisis de
vulnerabilidades, y vulnerabilidades.
tomar las medidas
apropiadas para
tratar el riesgo
asociado.
16.1.1 Responsabilidades Se deben establecer La respuesta a incidentes Incompleto
16. Gestión de y Procedimientos las responsabilidades de seguridad se realiza de
Incidentes de y procedimientos de forma oportuna, validando
Seguridad de la gestión para las herramientas existentes
Información asegurar una como lo son fortianalizer, y
respuesta rápida, log locales de la los
eficaz y ordenada a dispositivos de seguridad,
los incidentes de sin embargo la clasificación
seguridad de Ia búsqueda y análisis de los
información. log no se encuentra
parametrizado ni
estandarizado, por una
herramienta común donde
sean almacenados.
16.1.2 Reporte de Los eventos de Los eventos detectados son Incompleto
eventos de seguridad de Ia informados oportunamente
Seguridad de la información se deben se debe reforzar con la
Información informar a través de plataforma SIEM, puesto
los canales de que los eventos se podrían
gestión apropiados, detectar con anticipación.
tan pronto como sea
posible.
16.1.3 Reporte de Se debe exigir a Las debilidades de Incompleto
debilidades de todos los empleados seguridad se reportan, en la
Seguridad de la y contratistas que medida que se detectan,
Información usan los servicios y pero no se tiene un sistema
sistemas de de detección automatizado,
información de Ia en el cual se reporten las
organización, que anomalías.
observen y reporten
cualquier debilidad
de seguridad de Ia
información
observada o
sospechada en los
sistemas o servicios.
16.1.4 Valoración y Los eventos de La detección de eventos de Gestionado
decisión de seguridad de la seguridad se podría evaluar
eventos de información se deben de una forma proactiva con
Seguridad de la evaluar y se debe el sistema SIEM, y hacer
Información decidir si se van a correcciones sobre el
clasificar como acceso de tráfico antes de
incidentes de que se genere un incidente
seguridad de la de seguridad
información
29
Control
16.1.5 Respuesta a Se debe dar Cuando se presenta un Gestionado
incidentes de respuesta a los incidente de seguridad o un
Seguridad de la incidentes de evento de seguridad se
Información seguridad de la evalúa desde las
información de herramientas existentes,
acuerdo con sin embargo, los eventos se
procedimientos puedes evaluar mejor
documentados desde una plataforma
centralizada
16.1.6 Aprendizaje de El conocimiento Se genera Gestionado
incidentes de adquirido al analizar y retroalimentación, sobre los
Seguridad de la observar incidentes eventos de seguridad, el
Información de seguridad de la análisis con la herramienta
información se debe ayudará a tener una visión
usar para reducir la más amplia de los eventos.
posibilidad o el
impacto de incidentes
futuros
Fuente: ISO 27001
En la Figura 5, se evidencia un consolidado del estado actual de los controles de

seguridad evaluados, donde el 58% se encuentran en el umbral de incompleto, es
decir una ausencia total o muy poca de la política y el 42% se encuentra en el umbral
de gestionado, en este, el proceso alcanza su propósito pero todavía no se
completa, en el Cuadro 2, se muestra la definición del estado con el porcentaje de
aplicación en el Ministerio de Educación Nacional.
Figura 5. Estado Controles Fuente
30
Cuadro 2 Definición de estados
Actualmente los controles implementados por el Ministerio, con respecto al registro

y almacenamiento de eventos de seguridad, se basan en procesos de manera
sistemática, donde se asignan tareas a desarrollar por el analista, el cual tiene que
realizar un proceso de descarga y almacenamiento de log de cada dispositivo y
enviarlos en un repositorio designado.
Estos controles, si bien cubren la necesidad del objetivo de control, contienen varias
debilidades, en cuanto a que no se tiene la información centralizada en un solo lugar
y tampoco la suficiente rigurosidad para la obtención de log, ya que está sujeto al
criterio y disponibilidad de la persona encargada, con esto también se genera una
potencial pérdida y continuidad en la información a través del tiempo.
Al tener una información deficiente de log, se dificulta el análisis de vulnerabilidades

y eventos de seguridad, haciendo más compleja la reacción oportuna y la detección
de incidentes de seguridad.
Del análisis del estado y basados en la ausencia y debilidad de los controles, se

identifican vulnerabilidades potenciales, lo cual genera el aumento en la
31
probabilidad de que se materialicen riesgos asociados, afectando la operación y
debilitando el SGSI.
5.4 ANÁLISIS DE RIESGOS DE SEGURIDAD MEN
Derivado del análisis de controles, se logran identificar tres vulnerabilidades

potenciales:
• Ausencia de registro centralizado sobre autenticación de usuarios y trazabilidad

de un usuario dentro de los sistemas de información, falta de protección de registros.
• No se tiene un sistema de detección de eventos de seguridad automatizado, el
cual ayude a mantener un monitoreo constante de los ataques diarios en tiempo
real.
• La retención de registros no se hace de una manera automatizada y constante,
generando insuficiencia a través del tiempo y disponibilidad de los datos.
Estas tres vulnerabilidades al sumarse con algunas amenazas constantes en el

entorno como lo son el cibercrimen y el uso no autorizado de equipos logran
desencadenar riesgos inherentes en las políticas del SGSI, como lo son:
• Alteración de información de registros de control

• Respuesta ineficaz y desordenada a incidentes de seguridad.
• Perdida de información sensible para el MEN.
En consecuencia, haciendo el análisis de estos riesgos y plasmándolos en una

matriz de riesgos inherentes como se muestra en el Cuadro 3, se logra dar una
visión de la potencial probabilidad con la que se pueden materializar, dejando ver la
necesidad que tiene el Ministerio de reforzar los controles, con la ayuda de la
correcta parametrización del SIEM.
32
Cuadro 3 Análisis de Riesgos Inherente
33
En el Cuadro 4 se obtiene el mapa de calor, que ubica los riesgos inherentes
analizados en la matriz en un umbral de inaceptabilidad.
Cuadro 4 Mapa de Calor
Una vez evaluados los objetivos de control y los riesgos que contrae la debilidad de
estos, se logra evidenciar que una herramienta de correlación de eventos es muy
importante en cualquier área de TI, más cuando se trata de una infraestructura
tecnológica de gran tamaño, en la cual habría dificultad en mantener los controles
de forma sistemática. Es por esto por lo que el Ministerio tiene la visión a corto plazo
de implementar un SOC propio, donde se centralicen no solo los eventos de
seguridad, si no toda la administración y procesos en seguridad de la información y
así mantener una mejora continua de controles acorde a los avances en ciber
seguridad.
34
6. DISEÑO METODOLÓGICO
Teniendo en cuenta lo evaluado y contextualizado del estado actual de la seguridad

informática y el SIEM implementado en el Ministerio de Educación, es necesario
realizar una clasificación de los activos de información desde el concepto de la
infraestructura tecnológica, e implementar un plan de mejoramiento para el proceso
de retención y recolección de eventos de seguridad, que a su vez se verá reflejado
en el fortalecimiento de los controles asociados a las políticas de Protección contra
código malicioso y Eventos de auditoría las cuales se encuentran consignadas
en el documento de Política de seguridad y privacidad de la información. (Véase
Anexo B).
Para esto se realiza la clasificación de activos de información pasando por una

identificación de los mismos, culminando con los que tengan mayor importancia
para el proyecto. Adicionalmente, se habilita la funcionalidad de monitoreo de
recursos, para obtener toda la información del rendimiento y estado de los equipos
de manera integral, en toda la infraestructura.
6.1 CLASIFICACIÓN DE LOS EQUIPOS TECNOLÓGICOS DEL MEN
Para la correlación de log de los activos de información del Ministerio, es importante

definir el orden en que se van a ir agregando al [FortiSiem], ya que dependiendo de
la información que estos proveen, se debe dar prioridad en el seguimiento de
algunos equipos, tratando de garantizar la Integridad, confidencialidad y
disponibilidad de la información de eventos por más tiempo.
Los activos relacionados en la matriz de activos de información del Ministerio de

Educción Nacional (Véase Anexo C). Se encuentran discriminados por la criticidad
de la información que administran dentro del sistema [core] de la entidad y dentro
de sus sistemas misionales, con respecto al SIEM se deben identificar cuales
activos dentro de la matriz son los más relevantes para correlacionar en función de
los eventos de seguridad.
Se hace énfasis en la recolección de log provenientes de los equipos de seguridad

perimetral y en consecuencia con el tercer objetivo planteado en el proyecto, se
identifican que de estos se obtiene la mayor cantidad de información de eventos,
flujos de tráfico, identificación de ataques y detección de amenazas dentro de la
infraestructura tecnológica del MEN, es así como en el primer grupo relacionado en
el Cuadro 5, se clasifican los firewall perimetrales, aplicaciones WAF y anti
denegación de servicio DDoS, los cuales se encuentran relacionados en la matriz
de activos de información como “dispositivos de seguridad” con el ID (353).
35
Cuadro 5 Seguridad Perimetral
Nombre Infraestructura Observaciones
Firewall Perimetral al CAN
Firewall Perimetral TITAN
Es necesario agregar estos equipos perimetrales,
Firewall WAF CAN ya que son los equipos que administran el tráfico
Fortinet total, tanto interno como externo del Ministerio, y
Firewall WAF TITAN son los equipos de donde se optimen la mayor
cantidad de logs de seguridad.
Anti- Ddos CAN
Anti- Ddos TITAN
Continuando con la revisión de los activos de información, se buscan aquellos que

proporcionan eventos relacionados con el control de acceso, particularmente de
usuarios, logrando extraer herramientas como directorios activos y la plataforma de
gestión de identidades identificadas en el Cuadro 6, los cuales se encuentran
relacionados en la matriz de activos como “servidores virtuales” ID (365).
Cuadro 6 Control de Acceso

Nombre Infraestructura Observaciones
M1MENDC01
M1MENDC02 Se deben agregar estos
Windows equipos porque son los que
M1MENDC03 van a brindar la mayor
M1MENDC04 cantidad de logs, sobre los
accesos e identificación de
D1APISE01 un usuario.
Cisco Identity Services Engine
E1APISE02
Por último, se correlacionan aquellos activos que sean registrados por plataforma
de infraestructura como servidores y aplicaciones web, los cuales, dentro de la
matriz de activos de información del ministerio, se encuentran como, sistemas
misionales, de apoyo y estratégicos, en estos también se tiene contemplado hacer
seguimiento de recursos, para este punto se tiene en cuenta los diferentes
ambientes como lo son pruebas, certificación y producción.
36
6.2 PLAN DE MEJORA HERRAMIENTA FORTISIEM.
Con toda la infraestructura identificada y el estado actual de la plataforma

[FortiSiem], se requiere un plan de mejora, que ayude a efectuar las actividades de
parametrización de la herramienta, donde se logre evidenciar el cumplimiento de los
objetivos. Para esto se realiza la identificación del área de trabajo, debilidades,
fortalezas, causas del problema que se evidencian directamente y un objetivo el
cual es realizar la configuración completa del [FortiSiem], en el Cuadro 7 se
identifican estos puntos para tener una visión clara del área de mejora.
Cuadro 7 Identificación del área de mejora

Área de Formulación de
Fortalezas Debilidades Causas del problema
mejora objetivo
1. Manuales completos de 1. Manuales en idioma
instalación y configuración ingles
Debido a que el equipo
2. Soporte gestionado por llegar a realizar la
2. Soporte con fabricante es nuevo y no tiene
una sola persona configuración
mucho tiempo de
FortiSiem, completa del
implementación, la
herramienta de 3. Apoyo de todas las áreas siem, lograr que
causa principal es que
correlacionador involucradas se vea como una
no tiene
de eventos 3. disponibilidad de herramienta para
4. Acompañamiento por parte parametrización activos
tiempo, por parte de las la solución de
de especialista de información
personas involucradas incidentes.
relacionados
5. Reuniones periódicas de
seguimiento
Para las acciones de mejora, se tiene en cuenta las actividades que se han venido
realizando a través del tiempo y se identifica aquellas que se pueden realizar sin
necesidad de un control de cambios estricto, puesto que muchas de las
configuraciones que se requieren no son invasivas para los sistemas, por lo que no
van a generar procesos que puedan afectar la buena operación del activo
relacionado.
Adicional a las actividades que necesitan de la intervención de algún especialista o

que puedan llegar a generar algún tipo de afectación, se realizan mediante RFC
(Orden de cambio) documentados, esto por política de seguridad, para mantener el
control de cambios sobre los activos de información.
En el Cuadro 8, se establece el nivel de dificultad y las actividades a realizar para la
correlación de activos de información en el SIEM del Ministerio.
37
Cuadro 8 Nivel de Dificultad
Observación Dificultad
No requiere RFC ni validación con especialista BAJA
Se requiere RFC y/o validación con especialista MEDIA
Requiere validación con especialista, RFC y causa
ALTA
indisponibilidad
En el Cuadro 9, se define las acciones de mejora, que se realizan, directamente

sobre los activos de información, para ser correlacionados y agregados a la
plataforma [FortiSiem], con estas acciones de mejora y en concordancia con el
cuarto objetivo planteado en el proyecto, se definen también las actividades a
realizar, en cada una de estas acciones, estas actividades se desarrollan mediante
RFC, sobre todo las que requieran intervención por parte de especialistas.
Cuadro 9 Acciones de mejora

No Acciones Dificultad Plazo
Correlación de equipos de seguridad, con el fin de
1 empezar a ver el comportamiento de la plataforma y BAJA Feb 25 2021
realizar pruebas.
Ingreso de servidor de prueba mediante los diferentes
2 protocolos para validar la dificultad de la configuración en BAJA Feb 25 2022
los servidores.
Ingreso de primer grupo de servidores Windows por SNMP

3 MEDIA Mar 15 2021
para correlacionar gestión técnica y pruebas.
RFC_6647 Configuración de rSyslog sobre
4 servidor Linux para envío de logs a SIEM, sobre servidores MEDIA Apr 9 2021
de certificación.
RFC_6646 para ingreso de AD mediante SNMP WMI y
5 ALTA Apr 10 2021
agente de FortiSiem.
Redescubrimiento en equipo FortiSiem para validación de
6 BAJA Apr 14 2021
ingreso de servidores Windows
RFC_6719 Validación de política de GPO para verificación
7 de protocolo WMI en grupo de servidores, sobre servidores MEDIA Apr 16 2021
de certificación.
Ingreso y descubrimiento de servidores Windows para
8 BAJA Apr 17 2021
correlación mediante WMI.
RFC_6823 Validación de protocolo RSyslog en servidores
9 Linux para ingreso de servidores en plataforma FortiSiem, MEDIA Apr 27 2021
sobre servidores de certificación.
verificación y configuración de dashboard, validación de
10 BAJA Apr 28 2021
alertas, reportes y estadísticas
38
No Acciones Dificultad Plazo
11 Linux para ingreso de servidores en MEDIA Apr 29 2021
plataforma FortiSiem. Sobre servidores de producción.
12 Linux para ingreso de servidores en MEDIA Apr 30 2021
13 Linux para ingreso de servidores en MEDIA May 4 2021
14 Linux para ingreso de servidores en MEDIA May 6 2021
RFC_7002 Validación de política de GPO para verificación
15 de protocolo WMI en grupo de servidores. Sobre MEDIA May 14 2021
servidores de producción.
Ingreso y descubrimiento de servidores Windows para
16 BAJA May 15 2021
correlación mediante WMI.
Con base en las acciones de mejora se procede con la definición y ejecución de

plan de actividades, en el Cuadro 10 se establecen las tareas a realizar según las
acciones de mejora, con el respectivo responsable y el tiempo de ejecución de cada
actividad.
39
Cuadro 10 Plan de Actividades
No Acciones de mejora Tareas Responsable Tiempo
Verificación SNMP y Syslog firewall Seguridad 1 hora
Correlación de equipos de seguridad, con el fin Verificación SNMP y Syslog WAF Seguridad 1 hora
1 de empezar a ver el comportamiento de la
plataforma y realizar pruebas. Verificación Syslog DDoS Seguridad 1 hora
Verificación log en SIEM Seguridad 1 hora
Verificación SNMP Líder Seguridad 30 min
Ingreso de servidor de prueba mediante los Verificación WMI Líder Seguridad 30 min
2 diferentes protocolos para validar la dificultad
de la configuración en los servidores. Verificación agente FortiSiem Líder Seguridad 30 min
Verificación SNMP Líder Seguridad 30 min
Ingreso de primer grupo de servidores Crear grupo de servidores Especialista Windows 1 hora
3 Windows por SNMP para
correlacionar gestión técnica y pruebas. Verificar log SIEM Seguridad 1 hora
Habilitar permiso a Internet Seguridad 30 min
Instalación de cliente RSYSLOG S.O. Linux 90 min
RFC_6647 Configuración de rSyslog sobre Configuración sobre archivo S.O. Linux 90 min
4 servidor Linux para envío de logs a Reiniciar el servicio de RSYSLOG S.O. Linux 30 min
SIEM, sobre servidores de certificación.
Retirar permiso a Internet Seguridad 30 min
Verificación de recepción de equipos
Seguridad 60 min
sobre el SIEM
Validación tiempos de respuesta Monitoreo 60 min
Mantenimiento los servidores Monitoreo 60 min
Descarga de agente S.O. Windows 60 min
RFC_6646 para ingreso de AD mediante. Instalación del agente sobre cada
5 S.O. Windows 60 min
agente de FortiSiem, 4 servidores servidor
Reinicio de cada servidor S.O. Windows 60 min
Quitar mantenimiento Monitoreo 60 min
40

Redescubrimiento en equipo FortiSiem para Redescubrimiento y aceptación de
6 Seguridad 60 min
validación de ingreso de servidores Windows equipo en SIEM
Desplegar permisos de administrador
S.O. Windows 240 min
RFC_6719 Validación de política de GPO para Local para el usuario "siem".
7 verificación de protocolo WMI en grupo de Agrega a la política WMI la IP del
servidores, sobre servidores de certificación. servidor correspondiente.
Verificación recepción de Información Seguridad 120 min
Ingreso y descubrimiento de servidores validación de recepción de eventos por
8 Seguridad 120 min
Windows para correlación mediante WMI. WMI
RFC_6823 Validación de protocolo RSyslog Configuración sobre archivo S.O. Linux 90 min
en servidores Linux para ingreso de servidores
9 Reiniciar el servicio de RSYSLOG S.O. Linux 30 min
en plataforma FortiSiem. Sobre servidores de
certificación. Retirar permiso a Internet Seguridad 30 min
Seguridad 60 min
sobre el SIEM
Validación y configuración
Especialista SIEM 60 min
de dashboard.
verificación y configuración de dashboard, validación de alertas, y envió de correos
10 Especialista SIEM 60 min
validación de alertas, reportes y estadísticas electrónicos
Identificación gráficas y estadísticas Seguridad 60 min
en plataforma FortiSiem, Sobre servidores de
producción. Retirar permiso a Internet Seguridad 30 min
Seguridad 60 min
sobre el SIEM
41

Seguridad 60 min
sobre el SIEM
Seguridad 60 min
sobre el SIEM
Seguridad 60 min
sobre el SIEM
Desplegar permisos de administrador
RFC_7002 Validación de política de GPO para Local para el usuario "siem".
15 verificación de protocolo WMI en grupo de Agrega a la política WMI la IP del
servidores, Sobre servidores de producción. servidor correspondiente.
Verificación recepción de Información Seguridad 120 min
42

Ingreso y descubrimiento de servidores validación de recepción de eventos por
16 Seguridad 120 min
Windows para correlación mediante WMI. WMI
43
Establecidas las actividades para el proceso de mejora en el SIEM, se valida el
procedimiento de configuración para él envió de log, se tiene en cuenta el tipo de
equipo que se requiere adicionar, puesto que según la arquitectura de la máquina
se tiene un método específico para su adicción.
Cada proceso está documentadomanual en el

[FortiSiem-6.1.2-
External_Systems_Configuration_Guide] de Fortinet el cual se toma como base 30,
de datos de conocimiento para la parametrización del SIEM y como proceso base.

En este documento está consignado, cuáles son los protocolos con los que se
puede agregar ciertos dispositivos, puesto que muchos solo pueden ser
monitoreados por [Syslog] o por SNMP únicamente, e indica qué información se
puede obtener según el protocolo que se configure.
Teniendo en cuenta esta información se procede a documentar los procesos con

los cuales se adicionaron los activos al [FortiSiem].
6.2.1 Equipos de seguridad perimetral - Firewall - WAF - Anti DDoS. Para los
equipos de seguridad perimetral se realiza la configuración por SNMP y [Syslog],
esta configuración se realiza de forma particular, para cada uno de ellos, como son,
firewalls, dispositivos WAF y equipos de prevención de denegación de servicio
(Véase Anexo A).
Con la configuración SNMP en los firewalls y los WAF, se obtiene información sobre
el estatus del equipo, lo cual ayudará a validar el estado en que se encuentra a nivel
de procesamiento, con el fin de detectar de forma temprana procesos inusuales que
pueda afectar su rendimiento, esta información se envía al [FortiSiem].
En la configuración [Syslog] del [firewall], se obtiene información de log de tráfico

particulares, en vista de que estos equipos tienen activos sus módulos de IPS y
detección de virus, también se obtienen log sobre detección de amenazas por IPS
y anti virus, este tipo de alarmas se envía al [FortiSiem] a través de este protocolo.
Igualmente, para los WAF, se realiza la configuración del protocolo [Syslog], esto
ayudará a ver log de ataques que se realizan a nivel de capa de aplicación, y
también el estatus de estos ataques, es decir si fueron bloqueados, permitidos o
simplemente notificados.
Realizando la parametrización de [Syslog] en el equipo anti DDoS, se obtiene a

través del envío log, la información de los ataques de denegación de servicio como
lo son, [TCP_Flood] Y [UDP_Flood], los cuales son bloqueados por este tipo de
[appliance] de seguridad, este equipo no cuenta con configuración SNMP para el
[FortiSiem].
30
Inc., F. T. (2021). FortiSIEM-External Systems Configuration Guide. Version6.1.2.
44
6.2.2 Configuración Equipos Windows. Para vinculación de servidores Windows,
se realiza mediante parametrización de una GPO de directorio activo, con el fin de
ingresar la configuración de SNMP, y de mensajes WMI de forma unánime, esta
configuración es realizada por parte del administrador de servidores Windows, se
gestiona mediante una orden de cambio (RFC), para mantener y documentar los
cambios sobre la infraestructura tecnológica.
Para él envió de mensajes WMI se requiere realizar una configuración adicional

dentro de los servidores, la cual es crear un usuario de directorio activo, con
privilegios de administrador de máquina y administrador de dominio, para que la
herramienta haciendo uso de ese usuario, importe la información de sus eventos,
cabe anotar que la esta no hace ningún cambio en el servidor, pero se requiere este
nivel de usuario para que [FortiSiem] verifique el estatus de algunas carpetas, que
son esenciales para el sistema operativo y que solo pueden ser accedidas mediante
estos privilegios.
Los servidores de directorio activo vinculados, los cuales proveen información sobre
el control de acceso y los usuarios, son agregados al [FortiSiem] con
configuraciones de SNMP, WMI y adicionalmente se instala un agente propio del
sistema, para él envió de eventos, con el fin de obtener la mayor cantidad de
información posible proveniente de estos activos.
6.2.3 Configuración de Equipos Linux. Para realizar la configuración de SNMP y

RSyslog dentro de los dispositivos Linux, se realiza mediante diferentes RFC,
obteniendo ayuda de los especialistas en este sistema operativo, los servidores
deben ser parametrizados individualmente y la información que se obtiene a través
de RSyslog es información general de seguridad como inicios de sesión fallida o
aprobada, modificación de usuarios y grupos o registros generales de eventos,
mientras que con la configuración de SNMP en los servidores Linux, se obtiene la
información general de estatus de recursos y comportamiento del equipo.
45
7. RESULTADOS
Posterior a la evaluación y contextualización de las políticas de seguridad y

privacidad de la información del Ministerio de Educación, en cuanto a la
auditabilidad de eventos y establecida la metodología de las actividades a
desarrollar para la configuración y parametrización del SIEM, se presentan los
siguientes resultados de la puesta en marcha del plan de mejoramiento del
[FortiSiem], dando cumplimiento a los objetivos planteados en el proyecto, se
procede a realizar las actividades de mejora, y el análisis de la información que se
visualiza en la herramienta, con el apoyo del especialista. Es así como en el Cuadro
11 se muestra el avance de la ejecución de las actividades en el plan de mejora del
SIEM implementado.
46
Cuadro 11 Plan de Actividades Ejecutado
No Acciones de mejora Tareas Responsable Tiempo Completado
Verificación SNMP y Syslog firewall Seguridad 1 hora 100%
Correlación de equipos de seguridad, con Verificación SNMP y Syslog WAF Seguridad 1 hora 100%
1 el fin de empezar a ver el comportamiento
Verificación Syslog DDoS Seguridad 1 hora 100%
de la plataforma y realizar pruebas.
Verificación log en SIEM Seguridad 1 hora 100%
Ingreso de servidor de prueba mediante Verificación SNMP Lider Seguridad 30 min
los diferentes protocolos para validar la Verificación WMI Lider Seguridad 30 min
2 100%
dificultad de la configuración en los Verificación agente FortiSiem Lider Seguridad 30 min
servidores. Verificación SNMP Lider Seguridad 30 min
Ingreso de primer grupo de servidores Crear grupo de servidores Especialista Windows 1 hora
3 Windows por SNMP para 100%
correlacionar gestión técnica y pruebas. Verificar log SIEM Seguridad 1 hora
RFC_6647 Configuración de rSyslog sobre Configuración sobre archivo S.O. Linux 90 min
4 servidor Linux para envío de logs a Reiniciar el servicio de RSYSLOG S.O. Linux 30 min 100%
SIEM, sobre servidores de certificación. Retirar permiso a Internet Seguridad 30 min
Verificación de recepción de
Seguridad 60 min
equipos sobre el SIEM
Mantenimiento los servidores Monitoreo 60 min
Descarga de agente S.O. Windows 60 min
RFC_6646 para ingreso de AD mediante. Instalación del agente sobre cada
5 S.O. Windows 60 min 100%
agente de FortiSiem, 4 servidores servidor
Reinicio de cada servidor S.O. Windows 60 min
Quitar mantenimiento Monitoreo 60 min
Redescubrimiento en
Redescubrimiento y aceptación de
6 equipo FortiSiem para validación de Seguridad 60 min 100%
equipo en SIEM
ingreso de servidores Windows
47
Desplegar permisos de
administrador Local para el usuario S.O. Windows 240 min
RFC_6719 Validación de política de GPO "SIEM".
para verificación de protocolo WMI en
7 Agrega a la política WMI la IP del 80%
grupo de servidores, sobre servidores de S.O. Windows 240 min
servidor correspondiente.
certificación.
Verificación recepción de
Seguridad 120 min
Información
Ingreso y descubrimiento de servidores Validación de recepción de eventos
8 Seguridad 120 min 80%
Windows para correlación mediante WMI. por WMI
RFC_6823 Validación de protocolo Instalación de cliente RSYSLOG S.O. Linux 90 min
RSyslog en servidores Linux para ingreso Configuración sobre archivo S.O. Linux 90 min
9 de servidores en Reiniciar el servicio de RSYSLOG S.O. Linux 30 min 100%
plataforma FortiSiem. Sobre servidores de Retirar permiso a Internet Seguridad 30 min
certificación. Verificación de recepción de
Seguridad 60 min
Validación y configuración de
verificación y configuración de dashboard, dashboard.
10 validación de alertas, reportes y Validación de alertas, y envió de 80%
estadísticas correos electrónicos
Identificación gráficas y estadísticas Seguridad 60 min
RFC_6824 Validación de protocolo Configuración sobre archivo S.O. Linux 90 min
RSyslog en servidores Linux para ingreso
Reiniciar el servicio de RSYSLOG S.O. Linux 30 min
11 de servidores en 100%
plataforma FortiSiem, Sobre servidores de Retirar permiso a Internet Seguridad 30 min
producción. Verificación de recepción de
Seguridad 60 min
48
Seguridad 60 min
Seguridad 60 min
Seguridad 60 min
Desplegar permisos de
administrador Local para el usuario S.O. Windows 240 min
RFC_7002 Validación de política de GPO
"SIEM".
para verificación de protocolo WMI en
15 Agrega a la política WMI la IP del 70%
grupo de servidores, Sobre servidores de S.O. Windows 240 min
servidor correspondiente.
producción.
Verificación recepción de
Seguridad 120 min
Información
Ingreso y descubrimiento de servidores Validación de recepción de eventos
16 Seguridad 120 min 70%
Windows para correlación mediante WMI. por WMI
49
El plan de actividades ejecutado, tiene un porcentaje de avance entre 70% y 100%,
donde las actividades con un avance del 70% son aquellas relacionadas con la
inclusión de equipos [Windows] por WMI, se evidencia un inconveniente con
algunos servidores que no pudieron ser agregados, teniendo así que identificar
puntualmente sobre cada uno las razones por las cuales estos presentaron
dificultades, es así como se identifica una política en el firewall perimetral donde se
estaba bloqueando el tráfico de algunos servidores y también el firewall del sistema
operativo estaba generando bloqueos en el tráfico.
Para la actividad número 10, la cual se encuentra completada en un 80%, hace

referencia a la configuración de alertas, estas se encuentran en proceso de mejora
continua según el aprendizaje que se tenga en la herramienta y según los
requerimientos del Ministerio.
7.1 OPERACIÓN FORTISIEM MINISTERIO DE EDUCACIÓN NACIONAL
Realizadas las actividades descritas en el plan de actividades sobre el SIEM y

dando alcance a los objetivos concernientes a configuración, se comienza a
evidenciar, el registro de log que son enviados en la Figura 6 y retenidos desde
diferentes dispositivos, con los cuales se procede realizar tareas de
parametrización. La carga de eventos por segundo en la herramienta evidenciados
en la Figura 7, muestra un promedio máximo de 4000 log por segundo validando
que este no supere el umbral de 10000 eventos por segundo.
Figura 6. Registro de Log
Fuente: Siem MEN
50
Figura 7. Registro de Eventos
Fuente: Siem MEN
Todos los log son almacenados en la base de datos de [FortiSiem], y están

disponibles para su búsqueda y visualización, incluso pueden ser descargados,
asegurando la retención y disponibilidad de estos, dando una de las soluciones
principales a las problemáticas planteadas con respecto a la retención,
almacenamiento y disponibilidad de los eventos de seguridad.
Con el [FortiSiem], se pueden parametrizar diferentes [dashboard] donde se

evidencie algún tipo de información en específico, como la información referente a
eventos de seguridad, estos paneles de visualización son completamente
configurables como requiera el cliente, para el caso del Ministerio, se parametrizan
específicamente un [dashboard] de seguridad y uno de monitoreo de equipos.
7.2 PANEL DE SEGURIDAD
En el primer panel de visualización de la Figura 8, está la cantidad de tráfico de

entrada que fue denegado por países, el porcentaje de aplicaciones según el ancho
de banda y la cantidad de tráfico interno denegado en los equipos perimetrales, acá
se puede observar cuales son las aplicaciones que más ancho de banda consumen
y los países desde donde se registran más ataques.
51
Figura 8. Panel de Seguridad
Fuente: Siem MEN
Continuando con el panel de seguridad en la Figura 9, se puede observar la cantidad

de ataques que fueron detectados, por los equipos perimetrales y de donde
provienen estos ataques, en este punto ya se puede realizar un análisis por parte
del operador donde se tome la decisión de bloquear o permitir tráfico desde algunos
países.
Figura 9. Índice de tráfico en diversos países
Fuente: Siem MEN
Dentro de este mismo panel en la Figura 10, también se clasifican los diferentes
eventos por el IPS, según el origen, donde la severidad del ataque puede generar
una alarma, e incluso generar un correo electrónico avisando al operador que se
está detectando un evento de ataque sobre algún servidor o servicio, ayudando al
analista a identificar ataques de forma más ágil y proactiva, en la Figura 11 se tiene
un ejemplo del correo que se envía desde el [FortiSiem].
52
Figura 10. Eventos Alertas de Ataques
Fuente: Siem MEN
Figura 11. Evidencia de Correo Alertas de Ataques
Fuente: Siem MEN
53
Para el registro de usuarios, se observa en el [FortiSiem] que la mayoría de log y
registros de usuarios provienen de las VPN31, puesto que estos se encuentran
trabajando desde sus casas, en este punto se puede hacer auditoría sobre algún
usuario en particular. En la Figura 12 se muestran los eventos e incidentes
generados por algún usuario en específico.
Figura 12. Eventos Usuarios
Fuente: Siem MEN
Una vez vistas las diferentes estadísticas y ataques, se puede dar una visión de
incidentes de seguridad creados por el correlacionador, en el cual se puede hacer
un análisis más profundo del comportamiento de la infraestructura y se puede ver
cuáles son los ataques más comunes, según como se aprecia en la Figura 13.
Figura 13. Ataques Comunes
Fuente. Siem MEN
Con este panel de seguridad, se puede observar que la herramienta está ayudando
a la entidad a mejorar su tratamiento, en cuanto a eventos de seguridad,
permitiendo hacer el refuerzo necesario en los controles de las regulaciones
estatales, facilitando las tareas al operador en cuanto análisis y gestión.
31
VPN: es una tecnología de red de ordenadores que permite una extensión segura de la red de área local (LAN) sobre una
red pública o no controlada como Internet.
54
7.3 PANEL DE RECURSOS
El panel de recursos definido se presenta como un valor agregado de la

herramienta, donde se están monitoreando aspectos básicos de los servidores,
como memoria RAM, procesador, disco duro, con el fin de tener un monitoreo más
integral, para funcionalidades de SOC y de NOC; cabe anotar que el Ministerio ya
cuenta con una herramienta de monitoreo funcional, pero al validar los recursos de
los activos dentro del [FortiSiem] también puede ayudar al operador a hacer una
detección de algún evento de seguridad, que pueda estar afectando directamente
algún recurso.
La Figura 14, se muestra el panel especial para monitoreo y la gráfica de uso de

memoria RAM de los equipos.
Figura 14. Panel Recursos RAM
Fuente: Siem MEN
A continuación, mediante la Figura 15, se pueden observar las estadísticas de CPU

de los equipos monitoreados.
Figura 15. Panel Recursos CPU.
Fuente: Siem MEN
Por último, se puede ver la estadística de uso de disco duro tanto en servidores
Linux, como en servidores Windows¸ a través de la Figura 16.
55
Figura 16. Panel Linux-Win
Fuente: Siem MEN
Con el panel de recursos parametrizado, se puede obtener una visión más integral
de toda la infraestructura monitoreada y correlacionada, dándole confiabilidad a la
herramienta y haciéndola más robusta.
Finalmente, en el [FortiSiem] se pueden configurar y generar reportes, ya sean de

un tiempo en particular o periódicamente, para informar el comportamiento de la
infraestructura y la detección de eventos particulares, con el fin de mantener un
análisis periódico de los activos de información.
Mediante la Figura 17 se muestra cómo se generan estos reportes, los cuales son
enviados por correo electrónico a los analistas correspondientes.
56
Figura 17. Reporte Ataques
Fuente: Siem MEN
En la Tabla 2 se evidencian los incidentes generados por la herramienta, donde se

categoriza la severidad del incidente y cuantas veces estos se han presentado.
57
Tabla 2 Reporte de Ataques
Fuente: Siem MEN
Evidenciando el desarrollo de controles y dando un valor agregado al Ministerio, en

cuanto a manejo de eventos de seguridad, se logra dar cumplimiento a los objetivos
planteados en este documento.
7.4 ANÁLISIS DE CONTROLES FORTALECIDOS Y RIESGO RESIDUAL
Una vez verificada y configurada la herramienta [FortiSiem], evidenciando un

alcance de los objetivos propuestos, se continúa con el análisis residual, en donde
se evalúan los mismos 12 objetivos de control y en qué medida fueron fortalecidos,
para reducir la probabilidad en que las vulnerabilidades fueran explotadas, aspecto
que puede observarse en el Cuadro 12.
58
Cuadro 12 Instrumento de Evaluación de Seguridad de la Información
Objetivo de
Cláusula Sección Control Observación Control Fortalecido Estado
Control
Se debe establecer,
La política y los roles de
documentar y revisar
control de acceso se El registro de eventos ya
una política de
encuentran definidos se encuentra
Política de control de acceso Establecido
9 control mediante plataforma ISE, centralizado, lo cual
9.1.1 control de con base en los y
de Acceso el registro de eventos ayudara a mejorar el
acceso requisitos del Predecible
está disperso en los proceso de auditoría de
negocio y de
diferentes componentes usuarios.
seguridad
de las plataformas
de Ia información.
La política de código
Se deben
malicioso en su mayoría
implementar La recolección de
se encuentra gestionada
controles de eventos en el
por el sistema antivirus,
detección, de SIEM está ayudando a
el cual realiza el análisis
prevención y de la detección de
Controles completo de código Establecido
recuperación, amenazas y
12.2.1 contra códigos malicioso. Los eventos y
combinados con la comportamientos anorm
maliciosos que se generan con Predecible
toma de conciencia ales en la
respecto a virus en el
apropiada de los infraestructura, permitien
firewall perimetral no se
usuarios, para do un análisis más profu
están almacenado con
proteger contra ndo de los eventos
suficiente retención de
códigos maliciosos
tiempo.
Se deben elaborar, Los eventos de
conservar y revisar seguridad se encuentran
Los eventos registrados
regularmente los centralizados y
se encuentran en los
registros acerca de normalizados,
diferentes sistemas,
Registro de actividades del para poder ser
12. 12.4.1 alojados localmente, lo Gestionado
eventos usuario, interpretados más fácil,
Seguridad cual puede generar
excepciones, fallas y los eventos de seguridad
en las perdida y dificultad de
eventos de se
Operacion interpretación de log
seguridad de la detectan más proactivam
es información. ente.
La base de datos de
Las instalaciones y la El almacenamiento y registros se encuentra
información de retención de eventos no centralizada con
Protección de
registro se deben se realiza de una forma el SIEM, y esta es
12.4.2 la información Gestionado
proteger contra centralizada, y no se gestionada por la misma
de registro
alteración y acceso parametrizan los log en herramienta, lo cual
no autorizado el mismo formato protege los registros
contra alteración.
Las actividades del

administrador y del La aplicación
operador del sistema Los registros se de FortiSiem, provee una
Registros del
se deben registrar, y almacenan en texto interface accesible para
12.4.3 Administrador Gestionado
los registros de plano lo cual dificulta la el usuario, con el fin
y del Operador
deben proteger y interpretación de facilitar la visualizació
revisar con n de los registros
regularidad.
59
Objetivo
de Control
Se debe obtener La información de

oportunamente vulnerabilidades se
Con la optimización del
información acerca de obtiene mediante
SIEM, se puede detectar
las vulnerabilidades informes mensuales,
eventos anormales, con
técnicas de los mas no se tiene un
mayor facilidad, para
Gestión de sistemas de análisis constante en el
la detección de
las información que se tiempo debido a que no
12.6.1 vulnerabilidades, Gestionado
vulnerabilida usen; hay una interpretación
la exposición de la
des técnicas evaluar la exposición contante de eventos, ya
entidad se puede evaluar
de la organización a que a que no se tiene un
mejor desde el SIEM,
estas vulnerabilidades,SOC que reporte
para hacer correcciones
y tomar las medidas eventualmente los
oportunas.
apropiadas para tratar análisis de
el riesgo asociado. vulnerabilidades.
La respuesta a
incidentes de seguridad
se realiza de forma
La respuesta a
oportuna, validando las
incidentes de seguridad
Se deben establecer herramientas existentes
de ve más optimizada
las responsabilidades y como lo son fortianalizer,
desde
procedimientos de y log locales de la los
Responsabili la parametrización del si
gestión para asegurar dispositivos de
dades y em, la detección de
16.1.1 una respuesta rápida, seguridad, sin embargo Gestionado
Procedimient ataques hace que el
eficaz y ordenada a los la clasificación búsqueda
os analista se
incidentes de y análisis de los log no
enfoque más en
seguridad se encuentra
la solución que en la
de la información. parametrizado ni
búsqueda de la anomalía
estandarizado, por una
.
herramienta común
donde sean
almacenados.
Con
16. Gestión la parametrización de Fo
de Los eventos de Los eventos detectados rtiSiem, cuando se
Incidentes seguridad son informados generan ciertos ataques,
Reporte de
de de Ia información se oportunamente se debe son informados por
eventos de
Seguridad deben informar a reforzar con la correo electrónico desde
16.1.2 Seguridad de Gestionado
de la través de los canales plataforma SIEM, puesto la herramienta, lo cual
la
Información de gestión apropiados, que los eventos se hace que
Información
tan pronto como sea podrían detectar con la detección sea más sen
posible. anticipación. cilla, y se pueda evaluar
la alerta de una forma
optimizada.
Se debe exigir a todos

los empleados y
contratistas que usan
Los comportamientos
los servicios y Las debilidades de
anormales en los
sistemas de seguridad se reportan,
Reporte de sistemas se pueden
información en la medida que se
debilidades detectar más fácil y
de Ia organización, que detectan, pero no se
16.1.3 de Seguridad oportunamente, puesto Gestionado
observen y tiene un sistema de
de la que se tiene unas
reporten cualquier detección automatizado,
Información estadísticas de ataques,
debilidad de seguridad en el cual se reporten las
y una visualización
de Ia información anomalías.
optima las anomalías
observada o
sospechada en los
sistemas o servicios.
60
Objetivo
de Control
Los eventos de La detección de eventos

seguridad de la de seguridad se podría Los eventos de
Valoración y
información se deben evaluar de una forma seguridad ya se pueden
decisión de
evaluar y se debe proactiva con el sistema observar en el SIEM, Establecido
eventos de
16.1.4 decidir si se van a SIEM, y hacer optimizados, y
Seguridad de
clasificar como correcciones sobre el generando estadística de Predecible
la
incidentes de acceso de tráfico antes ataques, detección de
Información
seguridad de la de que se genere un incidentes.
información incidente de seguridad
Cuando se presenta un
La respuesta a
Se debe dar respuesta incidente de seguridad o
incidentes ahora puede
Respuesta a a los incidentes de un evento de seguridad
ser más oportuna,
incidentes de seguridad de la se evalúa desde las Establecido
puesto que se
16.1.5 Seguridad de información de herramientas existentes, y
tienen estadísticas de
la acuerdo con sin embargo, los eventos Predecible
ataques e incidentes
Información procedimientos se puedes evaluar mejor
generados por la
documentados desde una plataforma
herramienta
centralizada
La parametrización de F
El conocimiento
Se genera ortiSiem ayuda a tener
adquirido al analizar y
Aprendizaje retroalimentación, sobre una visión más amplia de
observar incidentes de
de incidentes los eventos de los eventos que se Establecido
seguridad de la
16.1.6 de Seguridad seguridad, el análisis con puedan y
información se debe
de la la herramienta ayudará a presentar, además, que Predecible
usar para reducir la
Información tener una visión más según los resultados del
posibilidad o el impacto
amplia de los eventos monitoreo se puede dar
de incidentes futuros
un buen análisis.
Como resultado del refuerzo de controles se califican nuevamente, mejorando cada

uno de los sectores monitoreados, haciendo que algunos pasen de estado
incompleto a gestionado, o puedan cambiar el parámetro gestionado a establecido
y predecible, mejorando el panorama de aplicación, en la Figura 18, se evidencia
como es mejorado el porcentaje de aplicación de los controles y en el Cuadro 13,
se actualizan los porcentajes y el estado de la gestión de los controles.
61
Figura 18. Estado Controles Fortalecidos.
Cuadro 13 Definición de los parámetros de los controles de seguridad

Porcentajes
Estado Definición
controles
Ausencia total o muy poca evidencia de política
Incompleto 0%
reconocible, procedimiento, control, etc.
Progresando muy bien, el proceso alcanza su
Ejecutado 0%
propósito, pero todavía no se completa
El proceso anteriormente descrito está ahora

Gestionado implementado usando un proceso definido que es 58%
capaz de alcanzar sus resultados descritos.
El desarrollo es completo, el proceso/control se

Establecido y Predecible ejecuta dentro de limites definidos para alcanzar sus 42%
resultados de proceso.
El requisito es completamente satisfecho, está

operando plenamente como era de esperarse, se
está monitoreando y mejorando de forma continua
Optimizado 0%
para cumplir con las metas empresariales presentes
y futuras, y hay pruebas sustanciales para probar
todo a los auditores
Todos los requisitos del cuerpo principal de la

norma ISO / IEC 27001 son obligatorios si su SGSI
No Aplicable 0%
es para ser certificado. De lo contrario, la
administración puede ignorarlos.
TOTAL 100%
62
De los controles analizados se logra evidenciar que, con respecto a las
problemáticas planteadas, estas son subsanadas en su mayoría, debido a que los
registros se están almacenando en un lugar común se están normalizando, siendo
analizados de manera constante, garantizando así la confidencialidad, integridad y
disponibilidad de la información de eventos de seguridad, evitando pérdidas y
realizando estos procesos de forma automatizada.
Con este fortalecimiento, los riesgos que se plantean en cuanto a la pérdida de

información son considerablemente disminuidos, ya que la parametrización del
SIEM, logra fortalecer los doce objetivos de control analizados y evaluados,
mejorando la gestión en las políticas del SGSI. Adicionalmente, aprovechando los
log de eventos de una manera más óptima y eficiente, se le da al analista una visión
global del estado de la seguridad en toda la infraestructura, haciendo más fácil los
procesos de gestión y análisis.
En el Cuadro 14, se evidencia la matriz de riesgo residual donde la variable afectada

después del fortalecimiento de los controles es la probabilidad en que las
vulnerabilidades sean explotadas.
Así mismo, en el Cuadro 15, se evidencia el cambio de nivel de riesgo dentro del
mapa de calor, después del tratamiento dado a los controles.
63
Cuadro 14 Análisis de Riesgos Residual
64
Cuadro 15 Mapa de Calor Residual
Con esto se puede observar que los riesgos ya no se encuentran en un umbral

inaceptable, sino que se trasladaron a la zona de riesgo aceptable, llevando un
control más adecuado y fortaleciendo el SGSI.
Una vez desarrollado el plan de mejoramiento e implementación del SIEM para el

Ministerio de Educación Nacional, se detalla el presupuesto estimado y el
cronograma establecido para su cumplimiento.
7.5 PRESUPUESTO
El presupuesto elaborado, se basa en horas de trabajo y análisis de información,

puesto que los recursos tecnológicos para la implementación del proyecto ya están
definidos. A continuación, en el Cuadro 16, se especifican costos de los recursos
mínimos necesarios.
Cuadro 16 Presupuesto
65
7.6 CRONOGRAMA
Posteriormente en el Cuadro 17 se define el cronograma con las actividades y

tiempos aproximados para la implementación y parametrización del SIEM.
Cuadro 17 Cronograma Diagrama de Gant

Actividad
66
8. CONCLUSIONES
• Al realizar el análisis de parametrización del SIEM, se requirió un estudio

completo, donde se identificó no solo el funcionamiento de la herramienta como
una única variable en el proceso, puesto que se involucraron todos aquellos
factores que se ven afectados, las cuales agregan un valor importante para la
entidad, como el fortalecimiento de las políticas del SGSI del Ministerio y los
controles relacionados con el correlacionador de eventos.
• Con el levantamiento y clasificación de toda la red de infraestructura y de los

activos de información, se logra identificar con que prioridad deben ser
correlacionados estos factores, entendiendo cuales dispositivos entregan mejor
información de log de seguridad, haciendo que la SIEM sea más fácil de
comprender y permitiendo al analista aprender con mayor facilidad de la
interfaz.
• Las actividades de configuración del [FortiSiem] se facilitan al tener claridad

en el plan de trabajo, permitiendo avances significativos en la parametrización
de la herramienta, y cumpliendo los objetivos planteados en los plazos
acordados para la compañía dueña de los equipos, los cuales se ponen al
servicio del Ministerio en los tiempos acordados. De los riesgos identificados en
el análisis, se logra comprender que el SIEM los reduce a un umbral aceptable,
teniendo un control automatizado de los eventos, lo que genera más
confiabilidad para el Ministerio.
• Se le brinda al Ministerio de Educación Nacional, una herramienta por medio

de [FortiSiem], la cual le facilitará la gestión y tratamiento de eventualidades
eficientemente, contando con los diferentes paneles o [Dashboard], donde se
registran y presentan gráficamente los eventos de seguridad, entregando a los
administradores datos estadísticos puntuales e integrales, información que le
permitirá tomar decisiones frente a ataques y detección de amenazas
informáticas con la mayor brevedad posible.
• Durante el presente proyecto se aplicaron los conocimientos adquiridos

durante el programa de especialización, para ayudar al Ministerio de Educación
Nacional a mejorar procesos, fortaleciendo su SGSI, logrando unir, tanto el
conocimiento teórico, así como técnico, y aplicando lo aprendido en un ambiente
real, consiguiendo un crecimiento profesional muy importante para los autores.
67
9. RECOMENDACIONES
La recomendación principal para el Ministerio de Educación Nacional se basa en

mantener un proceso de mejora continua de la herramienta, según el aprendizaje y
la experiencia que se adquiera con el [FortiSiem], para aprovechar al máximo las
capacidades de la solución y apoyar cada vez más el proceso de análisis de eventos
de seguridad.
Se recomienda, a nivel técnico, incrementar la infraestructura de [FortiSiem],

agregando un colector, localizándolo en el DC Externo, para optimizar el tráfico que
se envía a la interfaz, con la finalidad de regular eventualidades y ataques más
rápido de lo establecido, mientras se promueve y posiciona un flujo de información
más constante a través de los canales de comunicación, puesto que los log se
envían al colector directamente desde el cada activo de información.
68
BIBLIOGRAFÍA
ACADEMIA ROSOLA. ¿Qué es el sensor de WMI, requerimientos y cómo funciona?

[En línea]. (https://kb.rolosa.com/np-que-es-el-sensor-de-wmi-requerimientos-y-
como-funciona/). 27 de abril de 2017
ANECA. PLAN DE MEJORAS. [En línea].

http://www.uantof.cl/public/docs/universidad/direccion_docente/15_elaboracion_pla
n_de_mejoras.pdf. 2015. 14 p.
ARIGANELO, Administración de reportes. Guía de estudio para la certificación

CCNA security (págs. 82-83). Madrid: Edición 1. 2015. 402 p.
CERTIFICACIÓN, INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y.

Documentación Presentación de Tesis, trabajos de grado y otros trabajos de
investigación. NTC 1486:2008 Bogotá D.C: Sexta Actualización. 2008
FORTINET TECHNOLOGIES. FortiSiem-External Systems Configuration Guide.

Version 6.1.2. 2008.
IWINDS, ÚLTIMA MILLA. [En línea]. https://www.iwinds.com.ar/ultima-milla. 2020

MarTech Forum, S. FortiSIEM. [En línea].
(https://www.martechforum.com/herramienta/fortisiem/#:~:text=FortiSIEM%20(Sec
urity%20Information%20and%20Event,seguridad%20y%20operaciones%20de%2
0red). 2020
MEN. (2019), Misión y Visión. [En línea].

https://www.mineducacion.gov.co/portal/Ministerio/Informacion-
Institucional/89266:Mision-y-Vision. 2019.
PAESSLER. IT Explained: Syslog. [En línea] https://www.paessler.com/it-

explained/Syslog
SECURITY M3. Identifica amenazas con SIEM. [En línea].

https://www.youtube.com/watch?v=5yBMQmKA4UU&t=2380s. 16 de Nov de 2016
69
ANEXOS
Anexo A. Procedimiento para Equipos Fortinet
FORTIGATE
Para el monitoreo de equipos Fortigate, se hace mediante SNMP y Syslog
Cuando tenemos el equipo monitoreado por SNMP, podemos adquirir información

de uso de memoria, CPU, así como métricas sobre las interfaces y eventos que
tengan que ver con el funcionamiento del equipo a nivel operativo.
El procedimiento es el siguiente:
Inicialmente se ingresa al equipo con credenciales de administrador
Entrar a las pestañas System > SNMP
Se desplegará la siguiente ventana donde daremos Create New
70
Por último, se ajustan todos los parámetros de configuración de protocolo SNMP,
como la comunidad, si esta será de lectura y escritura, junto con sus traps y puertos
relacionados, después procedemos a configurar la dirección ip del servidor
FortiSiem, para que este envié la información al dispositivo, por último, damos OK.
El procedimiento para configurar el FortiSiem como un servidor Syslog dentro del

fortigate, es el siguiente:
• Ingresamos a la pestaña Log & Report > Log Settings
71
Se desplegará la siguiente ventana donde ajustaremos la dirección ip donde
queremos enviar la información de Syslog, por último, daremos click en aplicar.
FORTIWEB
El procedimiento para configurar SNMP en fortiweb es el siguiente:
• Ingresamos al equipo con credenciales de administrador
72
• Ingresamos por la pestaña System > Config > SNMP
• Se desplegará la siguiente ventana
• Dentro de ella se creará una nueva política de SNMPv2 > Create New, con
lo cual se desplegará la siguiente ventana.
73
• En este punto se agregará la comunidad SNMP, se agregará el host a donde
se quiere enviar el tráfico y por último daremos click en OK.
Para la configuración de Syslog en el fortiweb se tiene el siguiente procedimiento:
• Se ingresa con credenciales de administrador, en las siguientes pestañas, se

procederá a crear una política de Syslog: Log Policy > Syslog Policy
• Se nos presenta la ventana de resumen de políticas de Syslog, donde

seleccionaremos la opción Create New
74
• En este punto procederemos a configurar una política de Syslog, en la cual
se agregarán las direcciones ip a donde se requieren enviar los logs.
• A continuación, ingresamos a la configuración global de log en fortiweb
• Procederemos a asignar la política antes configurada, y el nivel de criticidad

de los logs que serán enviados, por último, seleccionaremos la opción aplicar
75
FORTIDDOS
Para la recolección de log en FortiDDos se hace mediante servidor Syslog.
El procedimiento para él envió de logs hacia el FortiSiem, se hace de la siguiente

manera:
• Nos dirigimos a las pestañas de Log & Report > Event Log Remote
• En este punto configuramos la dirección ip del servidor Syslog, la cual será

la de nuestro FortiSiem.
PROCEDIMIENTO PARA SERVIDORES LINUX
Para la vinculación de eventos de los servidores Linux al FortiSiem, se debe instalar

el Syslog- ng o rSyslog hacer la configuración del agente con el SIEM
• Instalación de Syslog: Ingresar a la terminal del servidor de Linux, ejecutar el

siguiente comando (Sudo apt-get install rSyslog)
76
• Una vez se instala el rSyslog, se ingresa al monitor del FortiSiem y en el
menú CMDB en el lado izquierdo hacer clic en la opción server, allí mismo
se despliega una lista de opciones donde se debe seleccionar el botón Linux,
como se muestra en la ilustración 19.
Ilustración 1. Opciones para instalación de Rsylog. Fuente: Ryslog
77
• Para relacionar el servidor Linux, se debe hacer clic sobro el botón New, acá
mostrará la siguiente pantalla donde se debe ingresar la información que
solicita el formulario.
Ilustración 2. Formulario para ingresar nuevo servidor en Rsylog. Fuente: Rsylog
PROCEDIMIENTO PARA SERVIDORES WINDOWS
• Para el monitoreo y la instalación de servidores Windows en FortiSiem, se

requiere de un agente de monitoreo, que se encarga de recolectar los logs,
y entregarlos a un worker o a un colector, en un formato entendible para el
servidor worker. Este agente recibe el nombre de Windows_Agent_4.0.0, y
está disponible en la página de usuario de la interfaz.
• Una vez se realiza la descarga, utilizando credenciales de usuario de

Fortinet, se debe ajustar el paquete de instalación, para esto se debe
asegurar que el servidor windows tenga habilitado e instalado el software
.NET framework 4.5 o superior, y se requiere que el servidor tenga habilitado
tls 1.2, estos son dos requisitos que se deben validar con anterioridad en el
servidor, puesto que, si no se cumplen, la instalación presentará fallos.
• En segunda instancia se debe ajustar un archivo xml, creado de una plantilla,

en donde se debe colocar los datos del servidor FortiSiem donde se enviarán
todos los logs.
<?xml version="1.0" encoding="utf-8"?>

<InstallConfig Version="1">
78
<Org>
<ID>1</ID>
<Name>Super</Name>
</Org>
<Super>
<Name>SUPER_IP</Name>
<Port>443</Port>
</Super>
<Registration>
<Username>Super/AGENT_USER</Username>
<Password>AGENT_PASSWORD</Password>
</Registration>
<Proxy>
<Server></Server>
<Port></Port>
</Proxy>
<SSLCertificate>ignore</SSLCertificate>
</InstallConfig>
• Para el parámetro SUPER_IP se debe ajustar la dirección ip del colector

donde se enviarán los logs.
• En el parámetro AGENT_USER, se debe ajustar el usuario creado en el

FortiSiem con el cual se va a comunicar con el correlacionador.
• En el parámetro AGENT_PASSWORD se debe ajusta la clave secreta con la

que se creó el usuario.
• Procedimiento para crear usuario en FortiSiem, como primera medida se

debe ingresar con credenciales de administrador.
79
• En las pestañas CMDB > Users > Ungruped > New
• Ajustamos los datos de usuario de Windows agent
• En el recuadro de System Admin no aparecerá una nueva ventana donde

ajustaremos el usuario para que sea de tipo Agent Admin
80
• Para la instalación de agente en el servidor Windows, una vez se tiene
ajustado en archi xml, se guarda en la misma ruta del instalador con el
nombre de InstallSettings.xml, para que el agente tome automáticamente la
plantilla y se configure.
Anexo B. Política de seguridad y privacidad de la información
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
Anexo C. Matriz de Activos
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162

Proyecto Grado SIEM-MEN

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proyecto Grado SIEM-MEN

Cargado por

Copyright:

Formatos disponibles

PLAN DE MEJORAMIENTO SIEM O CORRELACIONADOR DE EVENTOS DE

SEGURIDAD PARA EL MINISTERIO DE EDUCACIÓN NACIONAL

JAVIER GARCÍA ARIAS

UNIVERSIDAD PILOTO DE COLOMBIA

JAVIER GARCÍA ARIAS

Proyecto de grado para la obtención del título de especialización en seguridad

Director Especialización en Seguridad Informática

UNIVERSIDAD PILOTO DE COLOMBIA

2. DEFINICIÓN DEL PROBLEMA .............................................................................. 14

2.2 FORMULACIÓN .............................................................................................. 14

4. MARCO TEÓRICO .................................................................................................... 16

5. MARCO REFERENCIAL .......................................................................................... 22

6. DISEÑO METODOLÓGICO ...................................................................................... 35

Cuadro 1 Instrumento de Evaluación de Seguridad de la Información cuadro ...... 28

Figura 1. Historia de FortiSiem. ............................................................................. 20

APPLIANCE: son dispositivos de hardware dedicados, encargados de efectuar un

BUFFER: un [Buffer] es en informática lo equivalente a la memoria de corto plazo

CLUSTER: Un cúmulo, granja o [cluster]de computadoras, lo podemos definir como

DASHBOARD: es una interfaz de usuario, que puede presentar algo de semejanza

DATA CENTER: centro de procesamiento de datos, es una instalación, construcción

FORTISIEM: es una solución, dedicada a la seguridad de la información. Además,

HIPERCONVERGENCIA: es un sistema unificado y definido por software que reúne

IPS: un Sistema de Prevención de Intrusos es un dispositivo de seguridad,

LOG: en informática a nivel general hablar de “log” o “registro” es referirse a una

NOC: [Network Operations Center] es un centro de comando para monitorear la red

SIEM: [Security Information and Event Management] es una categoría de software

SOC: el centro de operaciones de seguridad se refiere al equipo responsable de

SQL INJECTION: se refiere a un ataque de inyección en el que un atacante puede

SWITCH: Un [switch] o conmutador es un dispositivo que sirve para conectar varios

TCP_Flood: a veces conocida como un ataque medio abierto, es un ataque a nivel

VPN: [Virtual Private Network] consiste en un método utilizado para conectarnos a

VULNERABILIDADES: una vulnerabilidad es una debilidad presente en un sistema

XXS: es un tipo de vulnerabilidad de seguridad informática típicamente encontrada

Dentro del mundo digital, donde a través de cualquier dispositivo conectado, se

Con esto, no solo se busca mantener el monitoreo constante de eventos de

En la Actualidad, el Ministerio de Educación Nacional (MEN) cuenta con una

El Ministerio de Educación Nacional, cuenta con su propia política de seguridad y

La presente investigación se enfoca en estudiar y desarrollar una manera más

Se debe gestionar la herramienta de correlacionador de eventos de seguridad, con

2.1 ANTECEDENTES DEL PROBLEMA

La problemática que tiene el Ministerio de Educación Nacional se enfoca en el

Los principales inconvenientes presentes en esta plataforma se observan al

¿La herramienta de correlación de eventos en el Ministerio de Educación Nacional

3.1 OBJETIVO GENERAL

3.2 OBJETIVOS ESPECÍFICOS

• Obtener la información necesaria sobre toda la infraestructura tecnológica del

Analizando las políticas de seguridad de la información del Ministerio de Educación

También, es evidente que tanto los dispositivos de telecomunicaciones, como de

Un ejemplo de esta problemática, es un [buffer] de log de algunos [Switch],

Se suma a la problemática, el hecho de que cada fabricante de dispositivos tiene

Al tener un sitio centralizado donde se recolecte toda la información, con estas

Es la sigla en inglés de [System Information And Event Manager] y como su nombre

Lo que hace esta plataforma, es recopilar dentro de un solo sistema de

4.2 COMO FUNCIONA UN SIEM.

El SIEM, es una aplicación centralizada, que toma herramientas como él envió de

Dentro de las funciones de un SIEM, también se encuentra normalizar la información

Cabe resaltar que el SIEM también cuenta con funcionalidades de auditor de

4.3 ASPECTOS TÉCNICOS Y PROTOCOLOS DE COMUNICACIÓN.

Como se menciona anteriormente, un SIEM, funciona en base de diferentes

4.3.1 Protocolo SNMP. El protocolo SNMP, es el más usado para monitoreo y

SNMP viene de la sigla en inglés [Simple NetWork Management Protocol] fue

4.3.2 Protocolo Syslog. La plataforma [PAESSLER].26 establece que el protocolo

La plataforma señala que este protocolo deviene de las siglas