2026-04-14T17:49:48Zhttps://uvadoc.uva.es/oai/requestoai:uvadoc.uva.es:10324/794262025-11-07T20:02:36Zcom_10324_38col_10324_852
Implementación de una infraestructura SIEM para la monitorización y detección de amenazas cibernéticas
Merino Porras, Darío
Cardeñoso Payo, Valentín
Universidad de Valladolid. Escuela de Ingeniería Informática de Valladolid
El incremento de los ciberataques en los últimos años ha convertido la protección de los sistemas informáticos en un aspecto fundamental para garantizar la seguridad y la continuidad operativa de las organizaciones. La
implementación de sistemas capaces de prevenir, detectar y responder en tiempo real ante posibles amenazas
se ha vuelto una necesidad crítica para reducir al mínimo el impacto de los incidentes de seguridad.
El objetivo principal de este proyecto es diseñar e implementar una arquitectura SIEM capaz de detectar amenazas cibernéticas en un entorno simulado. Para ello, se ha realizado una investigación previa que ha permitido
identificar las herramientas más adecuadas para construir esta infraestructura. Posteriormente, se ha realizado
su configuración e implementación. En concreto, el SIEM desarrollado está compuesto por Kafka y la pila ELK,
que son tecnologías ampliamente utilizadas en entornos de ciberseguridad para el procesamiento y visualización
de eventos.
Como fuentes de datos se han integrado Winlogbeat, encargado de recolectar eventos de sistemas Windows,
y Zeek, un sistema de detección de intrusiones que analiza el tráfico de red. Los eventos recolectados por estas
dos herramientas se envían al SIEM, donde son procesados, almacenados y analizados con el fin de detectar
comportamientos sospechosos.
Una vez desplegada la infraestructura, se han llevado a cabo diversas pruebas con el fin de comprobar que el
sistema creado es capaz de recolectar, procesar y analizar logs, generando alertas automáticas ante la detección
de comportamientos potencialmente maliciosos en los equipos monitorizados.
Este proyecto permite comprender cómo se construye desde cero una infraestructura SIEM y la importancia
que tiene en la detección temprana y respuesta frente a amenazas cibernéticas.
The increase in cyberattacks in recent years has made the protection of computer systems a fundamental
aspect for ensuring the security and operational continuity of organizations. Implementing systems capable of
preventing, detecting, and responding to potential threats in real time has become critical to minimizing the
impact of security incidents.
The main objective of this project is to design and implement a SIEM architecture capable of detecting cyberthreats in a simulated environment. To this end, preliminary research was conducted to identify the most
appropriate tools for building this infrastructure. It was subsequently configured and implemented. Specifically, the SIEM developed is composed of Kafka and the ELK stack, technologies widely used in cybersecurity
environments for event processing and visualization.
Winlogbeat, which collects events from Windows systems, and Zeek, an intrusion detection system that
analyzes network traffic, were integrated as data sources. The events collected by these two tools are sent to the
SIEM, where they are processed, stored, and analyzed to detect suspicious behavior.
Once the infrastructure was deployed, various tests were conducted to verify that the system was capable of
collecting, processing, and analyzing logs, generating automatic alerts when potentially malicious behavior is
detected on the monitored devices.
This project provides an understanding of how a SIEM infrastructure is built from scratch and its importance
in early detection and response to cyber threats.
2025-11-07T09:21:53Z
2025-11-07T09:21:53Z
2025
info:eu-repo/semantics/bachelorThesis
https://uvadoc.uva.es/handle/10324/79426
spa
info:eu-repo/semantics/openAccess
http://creativecommons.org/licenses/by-nc-nd/4.0/
Attribution-NonCommercial-NoDerivatives 4.0 Internacional