//
you're reading...
General, On-Results Services, Researching

Concentrador de eventos < SIEM

Nos encontramos a finales del 2013 con un proyecto que nos ha dado una gran satisfacción. Principalmente en lo personal, luego de haber dedicado algunos años al estudio, pruebas de laboratorio, programación y configuración de una solución para la  concentración de eventos; que ha quedado en el camino. Finalmente pudimos aplicar la experiencia y conocimiento sobre un proyecto concreto y en un cliente que me hace sentir como en casa.

Sin dudas que uno de los mayores desafíos recaía en ordenar una idea, arrancar desde cero y tratar de encausarlo hacia algo concreto, junto a un equipo de trabajo que aporto lo suyo, y donde a pesar de sufrir bajas, siguió atendiendo sus tareas cotidianas.

Es un proyecto que deberá continuar avanzando internamente, pero para esta primera etapa logramos excelentes resultados.

Mas o menos en resumen trabajamos en lo siguiente:

  • Entender las normativas existentes sobre el tratamiento de eventos de seguridad.
  • Conocer alternativas teóricas y prácticas que existen en  el tratamiento de eventos de seguridad en una infraestructura local (SIEM)
  • Comprender los niveles de criticidad de los eventos, la cantidad y periodicidad en función del comportamiento particular de los sistemas de seguridad de la compañía.
  • Participar en la planificación de acciones reactivas y pro-activas que permitan mejorar la disponibilidad de los recursos de red.
  • Entender y mejorar la visibilidad de planes de contingencia sobre infecciones y ataques informáticos.
  • Optimizar los procedimientos de uso de las herramientas/productos de seguridad existentes en la compañía.

Y aunque parezca poco, cuando tuvimos la infraestructura de laboratorio de graylog2 junto con los motores elasticsearch 0.20.1 y MongoDB 10 sobre un único server Linux CentOS 6.4, logramos muestreos como estos.

siem-1

 

 

 

 

 

 

Ver un viejo BUG RPC todavía activo en la red ya no parecía tan poco pero la idea de esta primer etapa del proyecto era obtener información general sobre el comportamiento de los sistemas que habíamos involucrado al esquema.

La solución Graylog2 no tiene motores puros de correlación pero se pudieron emular algunos filtros usando una combinación de reglas de pre-procesamiento (+regex). A partir de ahí, logramos tener una mejor visibilidad y por consiguiente detectar situaciones puntuales que pudieron escalarse rapidamente.

El tratamiento de eventos quedó con 19 equipos, y en un par de meses generó unos 50 millones de mensajes (aprox.), con un promedio de 20 EPS y un máximo (PEPS) aprox de 200.

Quedamos conformes con los resultados y con la buena predisposición del equipo de trabajo.

Mil Gracias como siempre por seguir confiando !!

Discussion

No comments yet.

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: