Despliegue de un SIEM en una red corporativa Sergio Faraldo Graña Tutores: Ana Fernández Vilas y Esteban Martínez Germande Curso 2020/2021 Sergio Faraldo Graña Despliegue de un SIEM en una red corporativa Trabajo Fin de Máster. Curso 2020/2021 Tutores: Ana Fernández Vilas y Esteban Martínez Germande Máster Inter-Universitario en Ciberseguridad Universidade de Vigo Escuela de Ingeniería de Telecomunicación Rúa Maxwell s/n 36310, Vigo Abstract This thesis details the implementation of a SIEM (Security Information and Event Management) system in the CTAG’s corporate network. This system gathers in- formation from networking hardware (firewalls, switches and routers) and from the main servers in order to present it in a unified manner, through visualizations and alerts. This facillitates significantly the detection and investigation of security incidents. The implemented SIEM system combines Wazuh, mainly in charge of collecting logs, with Elastiflow, which collects network packet flow data. Both tools use Elastic- search for data storage and Kibana for visualizations. The fact these two programs form the backend allows the addition of new visualizations and the incorporation other kinds of data in order to increase the scope of the SIEM system or to enrich the data collected by Wazuh or ElastiFlow. The system’s deployment was done on several virtual machines, in the form of a cluster, with the goal of improving its availability. Once the deployment had been completed, tests were carried out in order to verify its correct operation. Keywords — SIEM, Wazuh, ElastiFlow, Elastic Stack, Cibersecurity, Monitoring iii Resumen En este TFM se detalla el proceso de implementación de un sistema SIEM (siglas de security information and event management system, en español: gestión de in- formación y eventos de seguridad) en la red corporativa del CTAG. Este sistema recoge información del hardware de red (firewalls, switches y routers) y de los prin- cipales servidores presentes en ella para presentarla de forma unificada mediante visualizaciones y alertas. Esto facilita en gran medida la detección y la investigación de incidentes de seguridad. El sistema SIEM implementado combina Wazuh, encargado principalmente de la recogida de logs, con ElastiFlow, el cual recolecta datos del flujo de paquetes de red. Ambas herramientas usan Elasticsearch para el almacenamiento de datos y Kibana para su visualización. El hecho de que usen estos dos programas permite añadir visualizaciones nuevas e incorporar otros datos para aumentar el alcance del SIEM o enriquecer la información recogida por Wazuh o ElastiFlow. El despliegue del sistema se realizó en máquinas virtuales, en forma de clúster, con el objetivo de mejorar su disponibilidad. Finalizado dicho despliegue, se realizaron pruebas sobre el mismo para comprobar su correcto funcionamiento. Palabras clave — SIEM, Wazuh, ElastiFlow, Elastic Stack, Ciberseguridad, Moni- torización v Índice general 1. Introducción 1 1.1. Contexto y objetivos ........................... 1 1.2. Metodología ................................ 3 1.3. Estructura del documento ........................ 5 2. Estado actual de la red 7 2.1. Tipos de datos .............................. 8 2.1.1. Logs ................................ 9 2.1.2. Flujo de red ............................ 10 3. Software SIEM en el mercado 13 3.1. Software para el tratamiento de logs .................. 13 3.2. Software para el tratamiento de datos de flujo de red ......... 15 3.3. Elección de software ........................... 16 3.3.1. Software para el tratamiento de logs .............. 16 3.3.2. Software para el tratamiento de datos de flujo de red ..... 19 3.3.3. Funcionamiento conjunto del software ............. 19 4. Recomendaciones oficiales de hardware 21 4.1. Elasticsearch ............................... 21 4.2. Wazuh ................................... 22 4.3. ElastiFlow ................................. 23 5. Estimación del almacenamiento 25 6. Diseño 27 6.1. Diseño completo ............................. 27 6.2. Funcionamiento del SIEM ........................ 29 6.2.1. Logs ................................ 29 6.2.2. Datos de flujo de red ....................... 30 6.3. Clúster Elasticsearch ........................... 30 6.4. Clúster Wazuh .............................. 32 6.5. ElastiFlow ................................. 33 6.6. Alcance del SIEM ............................ 34 vii 7. Implementación 35 7.1. Instalación de un clúster laboratorio .................. 35 7.1.1. Clúster Elasticsearch ....................... 36 7.1.2. Clúster Wazuh .......................... 36 7.1.3. ElastiFlow ............................. 37 7.1.4. Agente Wazuh de prueba .................... 37 7.2. Creación de decoders y reglas personalizadas ............. 37 8. Despliegue en producción y realización pruebas 41 8.1. Prueba de carga ............................. 41 8.1.1. Resultados ............................ 42 8.2. Pruebas del agente Wazuh ........................ 47 8.3. Prueba de ElastiFlow .......................... 54 9. Cambios adicionales realizados 59 9.1. Dashboard resumen ........................... 59 9.2. Dashboard de inicios de sesión de VPN ................. 59 9.3. Integración con DHCP .......................... 62 10.Conclusión 65 10.1. Trabajo futuro .............................. 66 Bibliografía 67 A. Apéndices 71 A.1. Despliegue del clúster Elasticsearch ................... 71 A.1.1. Instalación del repo de elastic 7.x ................ 71 A.1.2. Instalación de los programas .................. 71 A.1.3. Configuración ........................... 72 A.2. Despliegue del clúster Wazuh ...................... 75 A.3. Despliegue de ElastiFlow ......................... 78 A.4. Actualización de versión del sistema .................. 80 A.4.1. Actualización de Wazuh ..................... 80 A.4.2. Actualización de ElastiFlow ................... 80 A.5. Decoders y reglas creados ........................ 81 A.5.1. Swivel ............................... 81 A.5.2. Fortigate ............................. 85 A.5.3. Cisco Firepower ......................... 91 viii Introducción 1 Este trabajo consiste en el despliegue de un sistema SIEM en la red del Centro Tecnológico de Automoción de Galicia (CTAG). Un sistema SIEM (siglas de Security Information and Event Managment, en español: Gestión de Información y Eventos de Seguridad) recoge, almacena y procesa datos sobre eventos de seguridad producidos en los sistemas de la red. La mayor parte de esta información se suele recoger en forma de logs, aunque también pueden recoger paquetes IP u otras formas de telemetría. Estos datos se almacenan de forma centralizada permitiendo correlacionarlos para obtener más información sobre eventos de seguridad, y facilitando la creación de alertas y visualizaciones para mejorar la visibilidad de eventos importantes.[1] El CTAG es un centro tecnológico reconocido por el Ministerio de Economía y Competitividad. Fue fundado en el año 2002, emplea a más de 600 ingenieros y técnicos, y ofrece a empresas del sector de la automoción servicios auxiliares de desarrollo, diseño, prototipado y prueba de vehículos y sistemas del automóvil. Tiene su sede principal en Porriño, en el Polígono Industrial de A Granxa, y otras dos sedes en Francia y Rumanía. El despliegue del SIEM1 será un importante paso para el CTAG en cuanto a la mejora de la ciberseguridad en la extensa red interna, con más de 1000 equipos, entre ordenadores personales, servidores y equipos vinculados a maquinaria. 1.1 Contexto y objetivos Durante la pandemia del COVID-19, con el cambio del modelo de trabajo presencial a uno de principalmente teletrabajo, se ha visto un gran aumento en el número de ciberataques. La implementación de nuevos servicios para el teletrabajo ha causado el aumento en el número de vulnerabilidades en muchas empresas, aumento que ha sido aprovechado por grupos de cibercriminales.[2] 1De esta página en adelante, me referiré a los sistemas SIEM simplemente como SIEM (omitiendo sistema) 1 En Suiza, en abril de 2020 se han registrado aproximadamente 350 ciberataques por semana, frente a la cifra normal de entre 100 y 150.[3] Entre las víctimas de esta ola de ciberataques, también se encuentra el CTAG, que sufrió un ataque el pasado octubre.[4] En este ambiente de elevada ciberdelincuencia, el cual no va a mejorar en el futuro próximo según proyecta INTERPOL, es necesario reforzar la seguridad informática de la empresa.[2] Mejorar la ciberseguridad implica la creación de un SOC (Centro de Operaciones de Seguridad), esto es, un equipo de ciberseguridad. Para ello no solamente hace falta tener el personal, sino también tener desplegadas las herramientas necesarias para sus operaciones, siendo la herramienta principal un SIEM.[5] La red del CTAG ya tiene sistemas de recolección de logs y de datos de flujo de red, pero no están siendo analizados. Esto dificulta el proceso de detección de eventos de seguridad y la respuesta a ellos, dado que el único modo de filtrar información es la búsqueda entre los logs, archivo por archivo. El principal objetivo del despliegue de un SIEM es ganar visibilidad sobre los eventos de seguridad que tengan lugar en la red y en los dispositivos conectados a ella. En base a este objetivo general, se definen los siguientes objetivos específicos: Centralización de los datos La centralización de los datos en un único programa es uno de los principales ob- jetivos del sistema SIEM. Esta es una de las principales funcionalidades que debe proporcionar, y facilitará considerablemente