Publication: Guía de buenas prácticas de configuración en la implementación y operación de un SIEM en las FFMM de Colombia
Authors
Abstract (Spanish)
El ciberespacio considerado como el quinto dominio de la guerra , trajo consigo nuevos retos a las
Fuerzas Militares de Colombia. La adaptación de nuevas tecnologías informáticas, generaron
innumerables beneficios en todos los niveles; este avance tecnológico implicaba la creación de
controles que garantizaran la privacidad y seguridad de la información, minimizando nuevas
amenazas y vulnerabilidades.
Con la implementación de estos nuevos dispositivos de seguridad informática, la data producida
alcanzo un umbral considerable, a partir de esto se generaron nuevas necesidades que incluían el
aprovechamiento de esta información, con el objetivo de visualizar de manera global las posibles
amenazas, además de medir el nivel de seguridad de la organización. Con la adaptación de esta
arquitectura orientada a la gestión de eventos e información de seguridad (SIEM) parecía tenerse
la solución definitiva, pero después de un tiempo los resultados obtenidos no generaron el impacto
esperado, por el contrario, se evidenciaron configuraciones por defecto y datos colectados sin
previo análisis y clasificacion que restaron credibilidad al sistema. En este artículo se plantea una
guía de buenas prácticas que tienen como objetivo la optimización de los datos que llegan al SIEM,
desde la integración de los dispositivos hasta los resultados operativos que pueden generarse.
Para ello, se describe en primer lugar la reunión de apertura, que permitirá colectar información de
interés como caracteristicas técnicas y funcionales del dispositivo de seguridad dentro de la
organización (función y ubicación dentro de la arquitectura de red) y trazar una ruta de trabajo y
objetivos a alcanzar. Posteriormente se hace énfasis en los análisis de los registros de actividad
informática (log) que genera el dispositivo, para reconocer los campos relevantes y clasificarlos de acuerdo a su acción y aplicación. A partir de este análisis se describen los casos de uso2 que
pudieran aplicar, tomando como referencia el estudio previo de las amenazas más comunes. Por
último, se desarrolla la etapa de configuración y adaptación de los casos de uso en el SIEM,
definiendo las fases posteriores que corresponden a la calibración, puesta en funcionamiento,
configuración de notificaciones y generación de estadísticas. Nuestro análisis demuestra que el
ciclo propuesto es adecuado para reducir de forma significativa los falsos positivos, fortalecer la
credibilidad y confianza del sistema, disminuir el umbral de eventos por segundo (EPS), generar
valor en las alertas o incidentes notificados y alcanzar la visibilidad general de posibles amenazas
y vulnerabilidades.
Abstract (English)
Cyberspace, considered as the fifth domain of warfare, brought new challenges to the Colombian
Armed Forces. The adaptation of new computer technologies generated innumerable benefits at all
levels; this technological advance implied the creation of controls that would guarantee the privacy
and security of information, minimizing new threats and vulnerabilities.
With the implementation of these new computer security devices, the data produced reached a
considerable threshold, from these new needs were generated that included the utilization of this
information, with the objective of visualizing in a global way the possible threats, as well as
measuring the security level of the organization. The adaptation of an architecture oriented to
security information and event management (SIEM) seemed to have the definitive solution, but
after a while the results obtained did not generate the expected impact, on the contrary, default configurations and data collected without prior analysis and classification were evidenced, which
detracted from the credibility of the system. This article presents a guide of good practices aimed
at optimizing the data coming into the SIEM, from the integration of the devices to the operational
results that can be generated.
To this end, it first describes the opening meeting, which will allow gathering information of
interest such as the technical and functional characteristics of the security device within the
organization (function and location within the network architecture) and outlining a work path and
objectives to be achieved. Subsequently, emphasis is placed on the analysis of the computer activity
records (log) generated by the device, in order to recognize the relevant fields and classify them
according to their action and application. Based on this analysis, the use cases that could be applied
are described, taking as a reference the previous study of the most common threats. Finally, the
stage of configuration and adaptation of the use cases in the SIEM is developed, defining the
subsequent phases that correspond to calibration, start-up, configuration of notifications and
generation of statistics. Our analysis shows that the proposed cycle is adequate to significantly
reduce false positives, reinforce the credibility and confidence of the system, reduce the threshold
of events per second (EPS), generate value in the alerts or incidents reported and achieve global
visibility of potential threats and vulnerabilities.
Director
Advisors/Directors
Extent
106 páginas
Collections
How to cite
APA
Navarrete Univio, Fabian Andres (2021). Guía de buenas prácticas de configuración en la implementación y operación de un SIEM en las FFMM de Colombia.
MLA
Navarrete Univio, Fabian Andres. "Guía de buenas prácticas de configuración en la implementación y operación de un SIEM en las FFMM de Colombia." 2021.
Chicago
Navarrete Univio, Fabian Andres. 2021. "Guía de buenas prácticas de configuración en la implementación y operación de un SIEM en las FFMM de Colombia."