Desarrollo e implementación de un laboratorio de detección de amenazas mediante una solución SIEM Open Source

Abstract

La ciberseguridad se ha convertido en un pilar esencial para las empresas, debido a que la creciente digitalización de los servicios las ha vuelto un objetivo prioritario para grupos y actores maliciosos. En Ecuador, aunque existe un crecimiento de concientización, muchas organizaciones aún carecen de presupuesto y conocimientos necesario para adoptar soluciones de seguridad robustas. Ante esta situación, los sistemas SIEM (Security Information and Event Management) representan una herramienta clave para monitorear, correlacionar y responder ante posibles brechas de seguridad. En respuesta a la problemática, desarrollar e implementar un sistema SIEM basado en herramientas Open Source, con el fin de brindar alternativas eficientes y de bajo costo, ayuda a mejorar la postura de seguridad ente posibles incidentes y brechas informáticas. Permitiendo la integración de múltiples fuentes de datos, herramientas de seguridad perimetral y feeds de ciberinteligencia, para proporcionar una visión global del estado de seguridad de la organización. El proyecto se ejecuta en un entorno de laboratorio virtualizado que replica componentes esenciales de una red empresarial, basadas en código abierto y un SIEM que permite centralizar los logs, generar alertas y realizar correlaciones de eventos. Se realiza en un ambiente controlado basándose en criterio de viabilidad técnica y ética, permitiendo simular ataques, evaluar reglas de detección y ejecutar pruebas que puedan afectar y comprometer entornos productivos. Cybersecurity has become an essential pillar for businesses, as the increasing digitalization of services has made them a priority target for malicious groups and actors. In Ecuador, although awareness is growing, many organizations still lack the budget and knowledge necessary to adopt robust security solutions. Given this situation, SIEM (Security Information and Event Management) systems represent a key tool for monitoring, correlating, and responding to potential security breaches.In response to this problem, developing and implementing an SIEM system based on open source tools, with the aim of providing efficient and low-cost alternatives, helps improve the security posture in the face of potential cyber incidents and breaches. It allows for the integration of multiple data sources, perimeter security tools, and cyber intelligence feeds to provide a comprehensive view of the organization's security status.The project is executed in a virtualized laboratory environment that replicates essential components of an enterprise network, based on open source code and a SIEM that centralizes logs, generates alerts, and performs event correlations. It is carried out in a controlled environment based on technical and ethical feasibility criteria, allowing for the simulation of attacks, evaluation of detection rules, and execution of tests that could affect and compromise production environments.