Implementación de un Sistema Automatizado de Respuesta a Incidentes de Seguridad Basado en Wazuh SIEM para la Mitigación Proactiva de Amenazas en Entornos

Abstract

El aumento sofisticado de las amenazas cibernéticas en entornos empresariales exige soluciones de Ciberseguridad cada vez más proactivas y sofisticadas que sean capaces de integrar capacidades de detección, respuesta y mitigación automatizada. Con el objetivo de proteger los activos digitales el presente Trabajo Final de Maestría (TFM) presenta la implementación de un Sistema Automatizado de Respuesta a Incidentes de Seguridad basado en Wazuh SIEM, en conjunto con el firewall de protección perimetral pfSense y el motor de detección y prevención de intrusos Suricata. La arquitectura estáintegrada por una topología de red en un entorno virtualizado con pfSense como el firewall perimetral, gestionado por las políticas internas y perimetral, uso de internet, y controlando el tráfico de la red.Además, Integra estaciones de trabajo Windows y Linux, los cuales son monitoreados por agentes de seguridad instalados en cada host. Los logs que fueron generados por pfSense y Suricata son enviados al servidor de Wazuh centralizado, donde son analizados para identificar eventos de seguridad, estos eventos generan alertas las cuales son enviadas al responsable de seguridad a través de correo electrónico Gmail, facilitando la respuesta temprana y coordinada. Este proyecto permite demostrar la efectividad de una arquitectura que combine la vigilancia, la detección de intrusiones en la red y la gestión de los logs, dando como resultado una reducción del tiempo de detección y las respuestas a incidentes, permitiendo fortalecer la seguridad de la empresa ante amenazas e incidentes. The sophisticated increase in cyber threats in business environments requires increasingly proactive and sophisticated cybersecurity solutions that are capable of integrating automated detection, response and mitigation capabilities. With the aim of protecting digital assets, this Master's Final Project (TFM) presents the implementation of an Automated Security Incident Response System based on Wazuh SIEM, in conjunction with the pfSense perimeter protection firewall and the Suricata intrusion detection and prevention engine. The architecture is integrated by a network topology in a virtualized environment with pfSense as the perimeter firewall, managed by internal and perimeter policies, internet usage, and controlling network traffic. In addition, it integrates Windows and Linux workstations, which are monitored by security agents installed on each host. The logs that were generated by pfSense and Meerkat are sent to the centralized Wazuh server, where they are analyzed to identify security events. These events generate alerts, which are sent to the security officer via Gmail, facilitating an early and coordinated response. This project demonstrates the effectiveness of an architecture that combines surveillance, network intrusion detection, and log management, resulting in reduced incident detection and response times, strengthening the company's security against threats and incidents.