UA-61751701-2

Guía de buenas prácticas de configuración en la implementación y operación de un SIEM en las FFMM de Colombia
    • español
    • English
EscuelaIng
  • English 
    • español
    • English
  • Login
  • Inicio
  • Guías de Uso
    • Directrices
    • Procedimientos de Trabajo de Grado
    • Guía de Autoarchivo
    • Formato de Autorización para Publicación
  • Navegar
    • Comunidades
    • Autores
    • Títulos
    • Fechas
    • Materias
    • Tipo de Material
  • Investigadores
  • Organizaciones
  • Proyectos

Repositorio Digital

  • Comunities Comunities
  • Authors Authors
  • Titles Titles
  • Dates Dates
  • Subjects Subjects
  • Resource Type Resource Type
View Item 
  •   DSpace Home
  • 1- Tesis de Grado y Trabajos Dirigidos
  • F - Ingeniería de Sistemas
  • FC - Trabajos de Grado Maestría en Gestión de Información
  • View Item
  •   DSpace Home
  • 1- Tesis de Grado y Trabajos Dirigidos
  • F - Ingeniería de Sistemas
  • FC - Trabajos de Grado Maestría en Gestión de Información
  • View Item
JavaScript is disabled for your browser. Some features of this site may not work without it.

Cambiar vista

Browse

All of DSpaceCommunities & CollectionsBy Issue DateAuthorsTitlesSubjectsResource TypeThis CollectionBy Issue DateAuthorsTitlesSubjectsResource Type

My Account

LoginRegister

Statistics

View Usage Statistics

Guía de buenas prácticas de configuración en la implementación y operación de un SIEM en las FFMM de Colombia


Navarrete Univio, Fabian Andres

Santiago Cely, Claudia Patricia

Trabajo de grado - Maestría

2021

Bogota

Tecnología de la InformaciónBuscar en Repositorio UMECIT
Seguridad informáticaBuscar en Repositorio UMECIT
Minería de datosBuscar en Repositorio UMECIT
Tecnología de la InformaciónBuscar en Repositorio UMECIT
Seguridad informáticaBuscar en Repositorio UMECIT
Minería de datosBuscar en Repositorio UMECIT
Information TechnologyBuscar en Repositorio UMECIT
Data MiningBuscar en Repositorio UMECIT
IT SecurityBuscar en Repositorio UMECIT

El ciberespacio considerado como el quinto dominio de la guerra , trajo consigo nuevos retos a las Fuerzas Militares de Colombia. La adaptación de nuevas tecnologías informáticas, generaron innumerables beneficios en todos los niveles; este avance tecnológico implicaba la creación de controles que garantizaran la privacidad y seguridad de la información, minimizando nuevas amenazas y vulnerabilidades. Con la implementación de estos nuevos dispositivos de seguridad informática, la data producida alcanzo un umbral considerable, a partir de esto se generaron nuevas necesidades que incluían el aprovechamiento de esta información, con el objetivo de visualizar de manera global las posibles amenazas, además de medir el nivel de seguridad de la organización. Con la adaptación de esta arquitectura orientada a la gestión de eventos e información de seguridad (SIEM) parecía tenerse la solución definitiva, pero después de un tiempo los resultados obtenidos no generaron el impacto esperado, por el contrario, se evidenciaron configuraciones por defecto y datos colectados sin previo análisis y clasificacion que restaron credibilidad al sistema. En este artículo se plantea una guía de buenas prácticas que tienen como objetivo la optimización de los datos que llegan al SIEM, desde la integración de los dispositivos hasta los resultados operativos que pueden generarse. Para ello, se describe en primer lugar la reunión de apertura, que permitirá colectar información de interés como caracteristicas técnicas y funcionales del dispositivo de seguridad dentro de la organización (función y ubicación dentro de la arquitectura de red) y trazar una ruta de trabajo y objetivos a alcanzar. Posteriormente se hace énfasis en los análisis de los registros de actividad informática (log) que genera el dispositivo, para reconocer los campos relevantes y clasificarlos de acuerdo a su acción y aplicación. A partir de este análisis se describen los casos de uso2 que pudieran aplicar, tomando como referencia el estudio previo de las amenazas más comunes. Por último, se desarrolla la etapa de configuración y adaptación de los casos de uso en el SIEM, definiendo las fases posteriores que corresponden a la calibración, puesta en funcionamiento, configuración de notificaciones y generación de estadísticas. Nuestro análisis demuestra que el ciclo propuesto es adecuado para reducir de forma significativa los falsos positivos, fortalecer la credibilidad y confianza del sistema, disminuir el umbral de eventos por segundo (EPS), generar valor en las alertas o incidentes notificados y alcanzar la visibilidad general de posibles amenazas y vulnerabilidades.
 
Cyberspace, considered as the fifth domain of warfare, brought new challenges to the Colombian Armed Forces. The adaptation of new computer technologies generated innumerable benefits at all levels; this technological advance implied the creation of controls that would guarantee the privacy and security of information, minimizing new threats and vulnerabilities. With the implementation of these new computer security devices, the data produced reached a considerable threshold, from these new needs were generated that included the utilization of this information, with the objective of visualizing in a global way the possible threats, as well as measuring the security level of the organization. The adaptation of an architecture oriented to security information and event management (SIEM) seemed to have the definitive solution, but after a while the results obtained did not generate the expected impact, on the contrary, default configurations and data collected without prior analysis and classification were evidenced, which detracted from the credibility of the system. This article presents a guide of good practices aimed at optimizing the data coming into the SIEM, from the integration of the devices to the operational results that can be generated. To this end, it first describes the opening meeting, which will allow gathering information of interest such as the technical and functional characteristics of the security device within the organization (function and location within the network architecture) and outlining a work path and objectives to be achieved. Subsequently, emphasis is placed on the analysis of the computer activity records (log) generated by the device, in order to recognize the relevant fields and classify them according to their action and application. Based on this analysis, the use cases that could be applied are described, taking as a reference the previous study of the most common threats. Finally, the stage of configuration and adaptation of the use cases in the SIEM is developed, defining the subsequent phases that correspond to calibration, start-up, configuration of notifications and generation of statistics. Our analysis shows that the proposed cycle is adequate to significantly reduce false positives, reinforce the credibility and confidence of the system, reduce the threshold of events per second (EPS), generate value in the alerts or incidents reported and achieve global visibility of potential threats and vulnerabilities.
 

https://repositorio.escuelaing.edu.co/handle/001/1657

  • FC - Trabajos de Grado Maestría en Gestión de Información [75]

Descripción: Trabajo de grado Fabian Navarrete
Título: Navarrete Univio, Fabian Andres-2021.pdf
Tamaño: 1.804Mb

Unicordoba LogoPDFClosed Access

Descripción: Autorización publicación Fabian Navarrete
Título: Autorización.pdf
Tamaño: 637.9Kb

Unicordoba LogoPDFClosed Access

Descripción: Articulo
Título: Anexo.pdf
Tamaño: 1.271Mb

Unicordoba LogoPDFClosed Access

Show full item record

Cita

Cómo citar

Cómo citar

Miniatura

Gestores Bibliográficos

Exportar a Bibtex

Exportar a RIS

Exportar a Excel

Buscar en google Schoolar

Buscar en microsoft academic

untranslated

Código QR

Envíos recientes

    No hay artículos recientes

Oferta académica

Carreras profesionales

Especializaciones

Maestrías

Doctorado

Nustros Campus

Introducción al campus

Tecnología

Fortalezas

Premios y reconocimientos

Flora y fauna

Visita el campus

Internacionalización

Programas y alianzas

Movilidad

Sobre la Escuela y Bogotá

Convenios internacionales, nacionales y con colegios

Ayuda

PQRSFC

Centro de Ayuda

Contáctenos

Habeas Data

Centro de Servicios Tecnológicos

Directorio Escuela

acriditación institucional
icoMaps

AK. 45 No. 205 - 59, Autopista Norte.

PBX: +57(1) 668 3600 - Bogotá.

Línea nacional gratuita:

018000112668.

Sistema DSPACE - Metabiblioteca | logo