Implementación de una infraestructura SIEM para la monitorización y detección de amenazas cibernéticas

Abstract

El incremento de los ciberataques en los últimos años ha convertido la protección de los sistemas informáticos en un aspecto fundamental para garantizar la seguridad y la continuidad operativa de las organizaciones. La implementación de sistemas capaces de prevenir, detectar y responder en tiempo real ante posibles amenazas se ha vuelto una necesidad crítica para reducir al mínimo el impacto de los incidentes de seguridad. El objetivo principal de este proyecto es diseñar e implementar una arquitectura SIEM capaz de detectar amenazas cibernéticas en un entorno simulado. Para ello, se ha realizado una investigación previa que ha permitido identificar las herramientas más adecuadas para construir esta infraestructura. Posteriormente, se ha realizado su configuración e implementación. En concreto, el SIEM desarrollado está compuesto por Kafka y la pila ELK, que son tecnologías ampliamente utilizadas en entornos de ciberseguridad para el procesamiento y visualización de eventos. Como fuentes de datos se han integrado Winlogbeat, encargado de recolectar eventos de sistemas Windows, y Zeek, un sistema de detección de intrusiones que analiza el tráfico de red. Los eventos recolectados por estas dos herramientas se envían al SIEM, donde son procesados, almacenados y analizados con el fin de detectar comportamientos sospechosos. Una vez desplegada la infraestructura, se han llevado a cabo diversas pruebas con el fin de comprobar que el sistema creado es capaz de recolectar, procesar y analizar logs, generando alertas automáticas ante la detección de comportamientos potencialmente maliciosos en los equipos monitorizados. Este proyecto permite comprender cómo se construye desde cero una infraestructura SIEM y la importancia que tiene en la detección temprana y respuesta frente a amenazas cibernéticas.

The increase in cyberattacks in recent years has made the protection of computer systems a fundamental aspect for ensuring the security and operational continuity of organizations. Implementing systems capable of preventing, detecting, and responding to potential threats in real time has become critical to minimizing the impact of security incidents. The main objective of this project is to design and implement a SIEM architecture capable of detecting cyberthreats in a simulated environment. To this end, preliminary research was conducted to identify the most appropriate tools for building this infrastructure. It was subsequently configured and implemented. Specifically, the SIEM developed is composed of Kafka and the ELK stack, technologies widely used in cybersecurity environments for event processing and visualization. Winlogbeat, which collects events from Windows systems, and Zeek, an intrusion detection system that analyzes network traffic, were integrated as data sources. The events collected by these two tools are sent to the SIEM, where they are processed, stored, and analyzed to detect suspicious behavior. Once the infrastructure was deployed, various tests were conducted to verify that the system was capable of collecting, processing, and analyzing logs, generating automatic alerts when potentially malicious behavior is detected on the monitored devices. This project provides an understanding of how a SIEM infrastructure is built from scratch and its importance in early detection and response to cyber threats.