RT info:eu-repo/semantics/bachelorThesis T1 Alerta temprana de amenazas de seguridad con Apache Kafka y la pila ELK A1 Páez Olmedo, Yeray Manuel A2 Universidad de Valladolid. Escuela de Ingeniería Informática de Valladolid K1 Apache Kafka K1 ELK K1 APT AB Las amenazas persistentes avanzadas son ataques que se suelen realizar contra grandes organizaciones.Estos ataques utilizan técnicas avanzadas para extraer información y permanecer sin ser detectados. Sudetección es compleja, porque se suele crear un malware nuevo para cada ataque. No podemos fiarnos deque un antivirus convencional sea capaz de detectarlas.Una forma de detectar la presencia de amenazas persistentes avanzadas consiste en la monitorizaciónde equipos. Analizando los eventos que suceden en un equipo se puede detectar el uso de técnicas deataque.En este documento se describen varias técnicas de ataque, y se ha creado un sistema capaz de detectarlas,basándose en un registro de eventos. El sistema se puede separar en tres partes. En primerlugar, tenemos un controlador de dominio Active Directory, configurado para que se instalen de formaautomática varias herramientas de monitorización, en todos los equipos de una organización. El segundocomponente es Apache Kafka, que se utiliza para recopilar los eventos de todos los equipos. El tercercomponente es la pila ELK, que se encarga de leer los eventos de Kafka, analizarlos, y mostrar en unpanel de mando varios indicadores de actividad maliciosa.Finalmente, se ha hecho una simulación de un ataque, y se ha comprobado como el sistema es capaz dedetectar las técnicas utilizadas. Queda demostrada la efectividad de el análisis de eventos en la detecciónde amenazas persistentes avanzadas. La utilización de un sistema similar al descrito mejoraría la seguridadinformática de una organización. YR 2021 FD 2021 LK https://uvadoc.uva.es/handle/10324/50431 UL https://uvadoc.uva.es/handle/10324/50431 LA spa DS UVaDOC RD 23-nov-2024