RT info:eu-repo/semantics/bachelorThesis
T1 Alerta temprana de amenazas de seguridad con Apache Kafka y la pila ELK
A1 Páez Olmedo, Yeray Manuel
A2 Universidad de Valladolid. Escuela de Ingeniería Informática de Valladolid
K1 Apache Kafka
K1 ELK
K1 APT
AB Las amenazas persistentes avanzadas son ataques que se suelen realizar contra grandes organizaciones.Estos ataques utilizan técnicas avanzadas para extraer información y permanecer sin ser detectados. Sudetección es compleja, porque se suele crear un malware nuevo para cada ataque. No podemos fiarnos deque un antivirus convencional sea capaz de detectarlas.Una forma de detectar la presencia de amenazas persistentes avanzadas consiste en la monitorizaciónde equipos. Analizando los eventos que suceden en un equipo se puede detectar el uso de técnicas deataque.En este documento se describen varias técnicas de ataque, y se ha creado un sistema capaz de detectarlas,basándose en un registro de eventos. El sistema se puede separar en tres partes. En primerlugar, tenemos un controlador de dominio Active Directory, configurado para que se instalen de formaautomática varias herramientas de monitorización, en todos los equipos de una organización. El segundocomponente es Apache Kafka, que se utiliza para recopilar los eventos de todos los equipos. El tercercomponente es la pila ELK, que se encarga de leer los eventos de Kafka, analizarlos, y mostrar en unpanel de mando varios indicadores de actividad maliciosa.Finalmente, se ha hecho una simulación de un ataque, y se ha comprobado como el sistema es capaz dedetectar las técnicas utilizadas. Queda demostrada la efectividad de el análisis de eventos en la detecciónde amenazas persistentes avanzadas. La utilización de un sistema similar al descrito mejoraría la seguridadinformática de una organización.
YR 2021
FD 2021
LK https://uvadoc.uva.es/handle/10324/50431
UL https://uvadoc.uva.es/handle/10324/50431
LA spa
DS UVaDOC
RD 18-sep-2024