Thesis
Implementación de un sistema SIEM con tecnologías Open-Source

No Thumbnail Available
Date
2024-08
Authors
Wilckens Buchheister, Lisette Astrid
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
Lo que comprende este trabajo de memoria, se demostró la realización de ataques de denegación de servicio (DDoS) y la detección de este por parte de un SIEM generado a base de tecnologías open-source. Utilizando 10 contenedores orquestrados por Docker, instanciando cada uno la prueba de carga JMeter, se logró saturar un servicio expuesto en el puerto 80, aumentando el tiempo de respuesta en 7020 veces por parte del servicio y generando códigos de error HTTP 000 durante el ataque. Para detectar este ataque, se propuso la implementación de un Sistema de Gestión de Información y Eventos de Seguridad (SIEM). Una herramienta de seguridad defensiva de código abierto, como el basado en la pila ELK, permite centralizar, y analizar los registros de la red, identificar patrones de comportamiento anómalo, correlacionar y detectar posibles ataques. Al integrar el SIEM con el marco MITRE ATT&CK, se podrá correlacionar los eventos de seguridad con tácticas, técnicas y procedimientos (TTPs) conocidas de los atacantes, aumentando la visibilidad y mejorando la detección de amenazas. En conclusión, la implementación de un SIEM es fundamental para aumentar la visibilidad de la red, la capacidad de respuesta ante incidentes de seguridad y la mitigación, protegiendo a la organización de futuros ataques.
This paper demonstrated the execution of a Denial-of-Service (DDoS) attack using 10 Docker containers, each running a JMeter load test. The attack successfully saturated a service on port 80, increasing response times by 7020 times and generating HTTP error code 000. To detect such attacks, the implementation of a Security Information and Event Management (SIEM) system was proposed. An open-source SIEM, like one based on the ELK stack, can centralize, manage and analyze network logs, identifying anomalous behavior patterns to detect potential threats. By integrating the SIEM with the MITRE ATT&CK framework, security events can be correlated to known adversary tactics, techniques, and procedures (TTPs), enhancing threat detection, visibility and allowing correct incident response. In conclusion, implementing a defensive tool like a SIEM is crucial for improving network visibility, enabling effective incident response, mitigation and bolstering overall organizational security against future attacks. Keywords: Security, threat detection, network visibility, incident response, vulnerabilities, SIEM, MITRE ATT&CK, log management, anomalous activities, DDoS attacks, correlation, defensive tools, mitigation.
Description
Keywords
SIEM , Threat detection , DDoS , Mitre ATT&CK
Citation