Despliegue e implantación de un SIEM con Wazuh
Tutor/a - Director/a
Milanès Horno, Carles
Estudiante
Gálvez Soriano, Pol
Tipo de documento
Trabajo final de grado
Fecha
2024
rights
Acceso abierto
Editorial
Universitat Politècnica de Catalunya
Titulaciones
UPCommons
Resumen
Este proyecto se centra en el despliegue e implantación de un sistema de gestión de información y eventos de seguridad (SIEM) utilizando Wazuh, una herramienta gratuita y de código abierto. A lo largo del documento, se detallan los procesos de instalación, configuración e integración de Wazuh con diversas tecnologías, implementando las reglas necesarias para tener una buena visibilidad y control de la actividad en los sistemas. En cuanto a las actividades monitorizadas, se han incluido varios aspectos críticos para la seguridad de la organización. Primero, los fallos de autenticación son monitoreados para detectar anomalías en portales web, VPNs, SSH y servidores Windows, permitiendo así identificar posibles intentos de intrusión y ataques de fuerza bruta. Asimismo, los accesos exitosos son registrados para detectar comportamientos anómalos, como inicios de sesión desde ubicaciones geográficas inusuales. Se ha configurado la monitorización de eventos de malware y otros a través de sistemas EDR, Firewalls, WAFs y analizando cambios en los sistemas operativos. El proyecto ha logrado establecer una solución robusta y efectiva para la gestión de información y eventos de seguridad mediante el uso de Wazuh. Las reglas, configuraciones y decodificadores desarrollados han mejorado significativamente la visibilidad y el control sobre la actividad en los sistemas, permitiendo una detección y respuesta rápida ante incidentes de seguridad.
This project focuses on the deployment and implementation of a Security Information and Event Management (SIEM) system using Wazuh, a free and open-source tool. Throughout the document, the processes of installation, configuration, and integration of Wazuh with various technologies are detailed, implementing the necessary rules to achieve good visibility and control over system activities. Regarding monitored activities, several critical aspects for the organization's security have been included. First, authentication failures are monitored to detect anomalies in web portals, VPNs, SSH, and Windows servers, thereby identifying possible intrusion attempts and brute force attacks. Likewise, successful accesses are recorded to detect anomalous behaviors, such as logins from unusual geographical locations. Additionally, the monitoring of malware detection events through EDR systems has been integrated, and changes in the operating system, network, Firewall and more have been analyzed. The project has successfully established a robust and effective solution for managing security information and events through the implementation of Wazuh. The developed rules have significantly improved visibility and control over system activities, allowing for quick detection and response to potential security incidents.
Entitat col·laboradora
Nextret
Profesorado participante
- Milanès Horno, Carles