Implementación y análisis de un sistema de monitorización y correlación de eventos para infraestructuras empresariales

Abstract

En este documento, se consultaron diferentes herramientas de correlación de eventos, las 6 principales que se reflejan como líderes en el Cuadrante Mágico de Gartner (Schneider, 2022) con software propietario, donde nos decidimos levantar un laboratorio con LogRhythm por las buenas reseñas que se presenta en el estudio concerniente a la facilidad de implementación y otro laboratorio con herramientas Open Source muy utilizadas por su integración y dashboard intuitivo como es Wazuh, que fue considerada por los conocimientos adquiridos en el módulo de tecnologías SIEM. En este módulo se eligió Wazuh como SIEM por ser una herramienta Open Source que además nos permite integrar varios activos con varias alternativas de registros para tener un control detallado y automatizado de alertas. Aprovechando Slack y Telegram como herramientas de comunicación hicimos que las alarmas sean visualizadas a través de la plataforma y de su aplicativo móvil para un control y acción ágil ante anomalías detectadas. Por otro lado, se eligió Pfsense como Firewall Open Source al ser una herramienta que nos brinda una interfaz web permitiéndonos realizar sus configuraciones de forma sencilla, además cuenta con un gestor de paquetes como Squid, Snort, etc. Ampliando las funcionalidades solamente seleccionando el paquete y Pfsense lo descarga e instala automáticamente. Como resultado de la implementación de los laboratorios se proponen recomendaciones para que una empresa pueda elegir de mejor manera el SIEM que se ajuste a sus necesidades, presupuesto y tiempo de implementación, tomando en cuenta las ventajas del Software propietario vs Open Source. In this document, different event correlation tools were consulted, the 6 main ones that are reflected as leaders in the Gartner Magic Quadrant (Schneider, 2022) with proprietary software, where we decided to set up a laboratory with LogRhythm due to the good reviews presented in the study concerned to the ease of implementation and another laboratory with Open Source tools widely used for their integration and intuitive dashboard, such as Wazuh, which was considered for the knowledge acquired in the SIEM technologies module. In this module, Wazuh was chosen as SIEM because it is an Open Source tool that also allows us to integrate various assets with various record alternatives to have a detailed and automated control of alerts. Taking advantage of Slack and Telegram as communication tools, we made the alarms visible through the platform and its mobile application for quick control and action in the event of detected anomalies. On the other hand, Pfsense was chosen as the Open Source Firewall as it is a tool that provides us with a web interface allowing us to configure it easily, it also has a package manager such as Squid, Snort, etc. Extending the functionalities just by selecting the package and Pfsense automatically downloads and installs it. As a result of the implementation of the laboratories, recommendations are proposed so that a company can better choose the SIEM that fits its needs, budget and implementation time, taking into account the advantages of proprietary software vs. Open Source. Keywords: SIEM, Open Source, Wazuh, LogRhythm.