Navarrete Univio, Fabian Andres.
Guía de buenas prácticas de configuración en la implementación y operación de un SIEM en las FFMM de Colombia / [Recurso Electrónico] / Fabian Andres Navarrete Univio. - Bogotá (Colombia): Escuela Colombiana de Ingeniería Julio Garavito, 2021 - 106 paginas. gráficos.
Tesis (Maestría en Gestión de la información)
El ciberespacio considerado como el quinto dominio de la guerra1, trajo consigo nuevos retos a las
Fuerzas Militares de Colombia. La adaptación de nuevas tecnologías informáticas, generaron
innumerables beneficios en todos los niveles; este avance tecnológico implicaba la creación de
controles que garantizaran la privacidad y seguridad de la información, minimizando nuevas
amenazas y vulnerabilidades.
Con la implementación de estos nuevos dispositivos de seguridad informática, la data producida
alcanzo un umbral considerable, a partir de esto se generaron nuevas necesidades que incluían el
aprovechamiento de esta información, con el objetivo de visualizar de manera global las posibles
amenazas, además de medir el nivel de seguridad de la organización. Con la adaptación de esta
arquitectura orientada a la gestión de eventos e información de seguridad (SIEM) parecía tenerse
la solución definitiva, pero después de un tiempo los resultados obtenidos no generaron el impacto
esperado, por el contrario, se evidenciaron configuraciones por defecto y datos colectados sin
previo análisis y clasificacion que restaron credibilidad al sistema. En este artículo se plantea una
guía de buenas prácticas que tienen como objetivo la optimización de los datos que llegan al SIEM,
desde la integración de los dispositivos hasta los resultados operativos que pueden generarse.
Para ello, se describe en primer lugar la reunión de apertura, que permitirá colectar información de
interés como caracteristicas técnicas y funcionales del dispositivo de seguridad dentro de la
organización (función y ubicación dentro de la arquitectura de red) y trazar una ruta de trabajo y
objetivos a alcanzar. Posteriormente se hace énfasis en los análisis de los registros de actividad
informática (log) que genera el dispositivo, para reconocer los campos relevantes y clasificarlos de acuerdo a su acción y aplicación. A partir de este análisis se describen los casos de uso2 que
pudieran aplicar, tomando como referencia el estudio previo de las amenazas más comunes. Por
último, se desarrolla la etapa de configuración y adaptación de los casos de uso en el SIEM,
definiendo las fases posteriores que corresponden a la calibración, puesta en funcionamiento,
configuración de notificaciones y generación de estadísticas. Nuestro análisis demuestra que el
ciclo propuesto es adecuado para reducir de forma significativa los falsos positivos, fortalecer la
credibilidad y confianza del sistema, disminuir el umbral de eventos por segundo (EPS), generar
valor en las alertas o incidentes notificados y alcanzar la visibilidad general de posibles amenazas
y vulnerabilidades.
MINERÍA DE DATOS
SEGURIDAD INFORMÁTICA
TECNOLOGÍA DE LA INFORMACIÓN
TESIS DE GRADO
006 / N322g
Guía de buenas prácticas de configuración en la implementación y operación de un SIEM en las FFMM de Colombia / [Recurso Electrónico] / Fabian Andres Navarrete Univio. - Bogotá (Colombia): Escuela Colombiana de Ingeniería Julio Garavito, 2021 - 106 paginas. gráficos.
Tesis (Maestría en Gestión de la información)
El ciberespacio considerado como el quinto dominio de la guerra1, trajo consigo nuevos retos a las
Fuerzas Militares de Colombia. La adaptación de nuevas tecnologías informáticas, generaron
innumerables beneficios en todos los niveles; este avance tecnológico implicaba la creación de
controles que garantizaran la privacidad y seguridad de la información, minimizando nuevas
amenazas y vulnerabilidades.
Con la implementación de estos nuevos dispositivos de seguridad informática, la data producida
alcanzo un umbral considerable, a partir de esto se generaron nuevas necesidades que incluían el
aprovechamiento de esta información, con el objetivo de visualizar de manera global las posibles
amenazas, además de medir el nivel de seguridad de la organización. Con la adaptación de esta
arquitectura orientada a la gestión de eventos e información de seguridad (SIEM) parecía tenerse
la solución definitiva, pero después de un tiempo los resultados obtenidos no generaron el impacto
esperado, por el contrario, se evidenciaron configuraciones por defecto y datos colectados sin
previo análisis y clasificacion que restaron credibilidad al sistema. En este artículo se plantea una
guía de buenas prácticas que tienen como objetivo la optimización de los datos que llegan al SIEM,
desde la integración de los dispositivos hasta los resultados operativos que pueden generarse.
Para ello, se describe en primer lugar la reunión de apertura, que permitirá colectar información de
interés como caracteristicas técnicas y funcionales del dispositivo de seguridad dentro de la
organización (función y ubicación dentro de la arquitectura de red) y trazar una ruta de trabajo y
objetivos a alcanzar. Posteriormente se hace énfasis en los análisis de los registros de actividad
informática (log) que genera el dispositivo, para reconocer los campos relevantes y clasificarlos de acuerdo a su acción y aplicación. A partir de este análisis se describen los casos de uso2 que
pudieran aplicar, tomando como referencia el estudio previo de las amenazas más comunes. Por
último, se desarrolla la etapa de configuración y adaptación de los casos de uso en el SIEM,
definiendo las fases posteriores que corresponden a la calibración, puesta en funcionamiento,
configuración de notificaciones y generación de estadísticas. Nuestro análisis demuestra que el
ciclo propuesto es adecuado para reducir de forma significativa los falsos positivos, fortalecer la
credibilidad y confianza del sistema, disminuir el umbral de eventos por segundo (EPS), generar
valor en las alertas o incidentes notificados y alcanzar la visibilidad general de posibles amenazas
y vulnerabilidades.
MINERÍA DE DATOS
SEGURIDAD INFORMÁTICA
TECNOLOGÍA DE LA INFORMACIÓN
TESIS DE GRADO
006 / N322g
AK. 45 No. 205 - 59, Autopista Norte.
PBX: +60(1) 668 3600 - Bogotá.