Page 1
Implementacion de monitoreo a equipos y servidorescrıticos mediante herramienta SIEM - Security
Information and Event Management
Proyecto de gradomodalidad de grado: pasantıa
presenta:jenny tatiana moreno perea
codigo: 20121005214
director externoingeniero carlos castro
Jefe de seguridad
director internoingeniero gustavo adolfo puertodocente facultad de ingenierıa
univerdidad distrital francisco jose de caldas
univerdidad distrital francisco jose de caldasfacultad de ingenierıa
proyecto curricular ingenierıa electronicabogota d.c
2017
Page 2
Contenido
1 Introduccion 2
2 Objetivos 3
2.1 Objetivo General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2 Objetivos Especıficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3 Marco Teorico 4
3.1 Riesgos informaticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.1.1 Identificacion de los activos de informacion . . . . . . . . . . . . . . . 4
3.1.2 Clasificacion de activos . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.1.3 Identificacion de vulnerabilidades y amenazas . . . . . . . . . . . . . 6
3.1.4 Evaluacion del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3.2 SIEM - Security Information and Event Management . . . . . . . . . . . . . 7
3.2.1 Coleccion de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.2.2 Parsing utilizando Plugins . . . . . . . . . . . . . . . . . . . . . . . . 8
3.2.3 Normalizacion de Eventos de Seguridad . . . . . . . . . . . . . . . . . 8
3.2.4 IDS - Intrusion Detection Systems . . . . . . . . . . . . . . . . . . . . 9
3.2.5 Alarmas SIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.3 Windows Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4 Desarrollo del cronograma de actividades 14
4.1 Fase I: Estudio de la herramienta SIEM (Security Information and Event
Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.2 Fase II: Analisis de los eventos procedientes de los diferentes equipos (host y
servidores crıticos) en la entidad . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.3 Fase III: Implementacion de alarmas para aquellos eventos anomalos . . . . . 15
4.4 Fase IV: Documentacion y socializacion de resultados . . . . . . . . . . . . . 15
5 Desarrollo de Objetivos 16
5.1 Analisis de riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2
Page 3
5.2 Eventos de Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
5.3 Monitoreo SIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
6 Analisis de resultados 24
7 Trabajos Futuros 25
8 Conclusiones 26
Anexos 38
Bibliografıa 38
Page 4
1 Introduccion
La Seguridad de la informacion se refiere a la confidencialidad, la integridad y la dispo-
nibilidad de la informacion y los datos importantes para la organizacion, siendo este el activo
mas importante de cualquier entidad. En otras palabras, la Seguridad de la informacion
debe prevenir que se divulgue la informacion a personas o sistemas no autorizados, proteger
que se modifiquen los datos libres de forma no autorizada y debe contribuir para que la infor-
macion que se encuentre a disposicion de quien tiene que acceder a esta, bien sean personas,
procesos o aplicaciones. Las herramientas de monitoreo SIEM (segurity information and
event management), le permiten al administrador de red, por medio de reglas logicas, es-
coger ciertos eventos especıficos de interes, permitiendole al analista de seguridad realizar
diversas tareas de monitoreo, vigilancia y diagnostico dentro de una unica interfaz de trabajo.
El sistema operativo Windows dentro de sus diferentes versiones, permite monitorear las
distintas acciones realizadas en los diferentes dispositivos que lo poseen, estos eventos se
encuentran clasificados entre eventos de aplicacion, de seguridad, de sistema e informati-
vos. Sin embargo, no todos los eventos representan un riesgo para la entidad, en el presente
documento se exponen las etapas de analisis y validacion realizadas para el diseno e imple-
mentacion del monitoreo de equipos y servidores crıticos con sistema operativo Windows y
Windows Server en diferentes versiones como trabajo de grado en la modalidad de pasantıa.
2
Page 5
2 Objetivos
2.1. Objetivo General
Analizar los eventos de seguridad presentes en los sistemas operativos de los equipos y
servidores de la entidad a traves de una herramienta SIEM (Security information and
event management), los cuales permitan correlacionar e identificar riesgos asociados a la
administracion y acceso.
2.2. Objetivos Especıficos
Implementar el monitoreo a equipos y servidores crıticos dentro de la entidad, con
el fin de alertar de manera oportuna eventos anomalos o ataques informaticos en los
mismos.
Identificar los eventos genericos del sistema operativo windows, los cuales apoyen a la
identificacion de anomalıas o riesgos para el equipo y/o servidor.
Crear una matriz de eventos de acuerdo a los registros generados localmente y a nivel
del dominio de la plaforma.
3
Page 6
3 Marco Teorico
3.1. Riesgos informaticos
El riesgo puede ser definido como una funcion de la probabilidad de que una amenaza apro-
veche o explote una potencial vulnerabilidad en un activo de informacion, y de la magnitud
del dano resultante de tal evento adverso en la organizacion [6]. A continuacion son pre-
sentadas las diferentes etapas necesarias para realizar un analisis completo de riesgos de
acuerdo a la metotologıa expuesta por el Ministerio de tecnologıas de la informacion y las
comunicaciones[5].
3.1.1. Identificacion de los activos de informacion
Se denominan Activos de Informacion a todos aquellos recursos de valor para una or-
ganizacion que generan, procesan, almacenan o transmiten informacion. En esta etapa, se
definen los lımites del sistema en estudio a la vez que se detallan los recursos y la informacion
que constituyen el sistema, que se denominaran activos de informacion [6].
Asociado al concepto de activo esta el rol de Propietario de Informacion , quien es
responsable de clasificar al activo de informacion de acuerdo con su grado de criticidad y
de definir que usuarios podran acceder al mismo, labor desempenada por Seguridad de la
informacion.
3.1.2. Clasificacion de activos
Para la evaluacion de riesgos en seguridad de la informacion un insumo vital es la clasificacion
de activos de informacion ya que una buena practica es realizar gestion de riesgos a los activos
de informacion que se consideren con nivel de clasificacion ALTA dependiendo de los criterios
de clasificacion; es decir que en los criterios de Confidencialidad, Integridad y Disponibilidad
[5].
A continuacion se presenta la escala de clasificacion:
4
Page 7
3.1 Riesgos informaticos 5
Tabla 3-1: Escala de clasificacion de Confidencialidad [6]
CONFIDENCIALIDAD VALOR
Informacion que puede ser conocida y utilizada sin autorizacion por cualquier
persona, dentro o fuera de la Entidad.0
Informacion que puede ser conocida y utilizada por todos los agentes de la Entidad. 1
Informacion que solo puede ser conocida y utilizada por un grupo de agentes,
que la necesiten para realizar su trabajo.2
Informacion que solo puede ser conocida y utilizada por un grupo muy reducido
de agentes, cuya divulgacion podrıa ocasionar un perjuicio a la Entidad. o terceros3
Tabla 3-2: Escala de clasificacion de Integridad [6]
INTEGRIDAD VALOR
Informacion cuya modificacion no autorizada puede repararse facilmente, o que
no afecta a las actividades de la Entidad.0
Informacion cuya modificacion no autorizada puede repararse aunque podrıa
ocasionar un perjuicio para la Entidad o terceros.1
Informacion cuya modificacion no autorizada es de difıcil reparacion y podrıa
ocasionar un perjuicio significativo para la Entidad o terceros.2
Informacion cuya modificacion no autorizada no podrıa repararse, impidiendo la
realizacion de las actividades.3
Tabla 3-3: Escala de clasificacion de Disponibilidad [6]
DISPONIBILIDAD VALOR
Informacion cuya inaccesibilidad no afecta la actividad normal de la Entidad. 0
Informacion cuya inaccesibilidad permanente durante una semana podrıa
ocasionar un perjuicio significativo para la Entidad.1
Informacion cuya inaccesibilidad permanente durante la jornada laboral podrıa
impedir la ejecucion de las actividades de la Entidad.2
Informacion cuya inaccesibilidad permanente durante una hora podrıa impedir
la ejecucion de las actividades de la Entidad.3
5
Page 8
6 3 Marco Teorico
3.1.3. Identificacion de vulnerabilidades y amenazas
En esta seccion se pretenden identificar las diferentes vulnerabilidades y sus respectivas
amenazas potenciales que son aplicables al sistema en el activo evaluado. Se entiende por
vulnerabilidad toda debilidad presente en un activo de informacion, dada comunmente por
la inexistencia o ineficacia de un control, por otro lado,
Valoracion de amenazas y determinacion del impacto
Para cada activo y amenaza debe estimarse la degradacion, es decir el porcentaje en que la
amenaza dana al activo en estudio estableciendo un valor entre 0 % (no lo dana) y 100 %
(lo dana absolutamente) para cada una de las caracterısticas de confidencialidad, integridad
y disponibilidad.
El impacto se calcula en base al maximo valor de degradacion que la amenaza produce sobre
un activo, y la criticidad del activo definida en los pasos anteriores, por ejemplo, mediante
la multiplicacion de tales valores[6].
3.1.4. Evaluacion del riesgo
La magnitud del riesgo es una funcion que depende de la probabilidad y el impacto de un
evento. “Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser
medida con criterios de Frecuencia, si se ha materializado (por ejemplo: numero de veces
en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores
internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado.
Por Impacto se entienden las consecuencias que puede ocasionar a la organizacion la mate-
rializacion del riesgo” [5].
La evaluacion del riesgo se hace de manera cualitativa generando una comparacion en la
cual se presenta el analisis de la probabilidad de ocurrencia del riesgo versus el impacto del
mismo, obteniendo al final la matriz denominada “Matriz de Calificacion, Evaluacion
y respuesta a los Riesgos”, con la cual se presenta la forma de calificar los riesgos con los
niveles de impacto y probabilidad establecidos anteriormente, ası como las zonas de riesgo
presentando la posibles formas de tratamiento que se le puede dar a ese riesgo, tal como se
muestra en la siguiente imagen:
6
Page 9
3.2 SIEM - Security Information and Event Management 7
Figura 3-1: Ejemplo Matriz de Calificacion, Evaluacion y respuesta a los Riesgos [5]
3.2. SIEM - Security Information and Event Management
Debido a que el numero de amenazas aumenta dıa a dıa, garantizar la seguridad adecuada en
una red se ha hecho cada vez mas difıcil. Si bien existen una enorme cantidad de programas
y tecnicas para poder gestionar la seguridad de red, poder administrarlos todos se vuelve
una tarea muy complicada.
Actualmente, una buena manera de gestionar la contabilidad de informacion de seguridad es
utilizando los sistemas SIEM. Los sistemas SIEM actuan como un repositorio central regis-
trando eventos de seguridad generados en la red. Estos sistemas le permiten al administrador
de red, por medio de reglas logicas, escoger ciertos eventos especıficos de interes
3.2.1. Coleccion de eventos
Todas las capacidades de supervision y gestion de seguridad de AlienVault USM Appliance
derivan de su capacidad general de recopilar datos de dispositivos, transformar los datos
en un conjunto comun de campos de datos que definen eventos y luego procesar, filtrar y
correlacionar esos eventos para identificar posibles amenazas y vulnerabilidades , u ocurren-
cias reales de ataques. USM Appliance tambien evalua la importancia y la prioridad de los
7
Page 10
8 3 Marco Teorico
eventos asignando valores de riesgo basados en el valor de los activos subyacentes, la fuente
y la naturaleza de la amenaza identificada y la probabilidad de un ataque exitoso.
3.2.2. Parsing utilizando Plugins
Al ejecutar en un USM Appliance Sensor, un agente de AlienVault USM Appliance se confi-
gura con una coleccion de diferentes plugins de analisis de registro, que definen como recopilar
registros de dispositivos, sistemas o aplicaciones especıficos y como transformar esos datos
de registro en datos de eventos con campos estandarizados antes de enviar los eventos al
USM Appliance Server”. Los complementos tambien controlan otras funciones de recopila-
cion de eventos en el sensor, como la deteccion de intrusos. USM Appliance viene equipado
con complementos para muchas fuentes de datos comunes.
3.2.3. Normalizacion de Eventos de Seguridad
Independientemente del formato de un mensaje de registro, ciertos datos (como nombres
de usuario o direcciones IP y MAC) son comunes en todos los registros del dispositivo.
Extraer estos valores del texto del mensaje de registro y almacenarlos en campos comunes
coincidentes se llama normalizacion. La normalizacion es lo que le permite realizar consultas
en eventos recopilados de distintas fuentes (por ejemplo, ”Mostrar todos los eventos donde
la IP de origen es 192.168.1.3”). Aunque el formato de los datos originales recopilados de los
dispositivos puede ser diferente, informacion similar en dispositivos se almacena en el mismo
campo para los eventos enviados al servidor de dispositivo USM. Esta es realizada por medio
de parsing con python.
Los registros se dividen en su tipo de mensaje, y la informacion de ellos se utiliza para com-
pletar un conjunto estandar de campos que definen un evento (por ejemplo, fecha, sensor,
nombrecompleto, prioridad, srcip, puertosrc, dstip, puertodst, nombre de usuario , userda-
ta1).
8
Page 11
3.2 SIEM - Security Information and Event Management 9
Figura 3-2: Eventos SIEM
3.2.4. IDS - Intrusion Detection Systems
Un sistema de deteccion de intrusiones por sus siglas en ingles (IDS) supervisa las redes
y los hosts en la busqueda de actividades maliciosas o violaciones de polıticas, como el
compromiso de la confidencialidad, la seguridad del sistema o la integridad. Los sistemas de
IDS se enfocan principalmente en identificar posibles atentados, registrar informacion sobre
ellos e informar intentos, que los analistas de seguridad pueden analizar mas a fondo.
Los firewalls de red clasicos analizan los encabezados de la capa de transporte y red, como la
direccion IP de origen y destino, el protocolo y los puertos de origen y destino. Sin embargo,
hoy en dıa los ataques no solo apuntan a las capas de red y transporte, ya que los firewalls
de red los protegen bien; en su lugar, se enfocan en explotar vulnerabilidades en sistemas
operativos, aplicaciones y protocolos.
Los sistemas IDS se dividen en dos categorıas:
IDS de red (NIDS): ubicado en puntos estrategicos de una red para monitorear el
trafico entre dispositivos y hosts dentro de la red.
IDS basado en el host (HIDS): se ejecuta en sistemas host individuales y supervisa el
trafico desde y hacia el sistema host, ası como las actividades en el sistema mismo.
9
Page 12
10 3 Marco Teorico
HIDS - Host Intrusion Detection System
Un Sistema de Deteccion de Intrusiones (HIDS) basado en el host supervisa el comporta-
miento y el estado de un sistema informatico, ası como los paquetes de red que el sistema
envıa y recibe. A HIDS se ejecuta como un agente en un sistema, que envıa los eventos
detectados a una estacion de administracion.AlienVault HIDS utiliza una arquitectura de
servidor / agente, donde el agente HIDS reside en los hosts que desea supervisar; y el servi-
dor HIDS reside en el USM Appliance Sensor. El USM Appliance Sensor recibe eventos de
los agentes de HIDS, los normaliza y los envıa al USM Appliance Server para su analisis,
correlacion y almacenamiento. AlienVault HIDS tambien tiene un soporte limitado para el
funcionamiento sin agente en Linux solo para la recuperacion de registros.
Debe implementar los agentes HIDS en los sistemas cliente. El agente HIDS funciona como
un servicio continuo en memoria, interactuando con el Sensor de dispositivo USM a traves
del puerto UDP 1514. El Sensor de dispositivo USM genera y distribuye una clave precom-
partida a los agentes HIDS, que luego usan la clave para autenticar la comunicacion entre los
agentes HIDS y USM Appliance Sensor. En la figura 3-6 se presenta el diagrama de HIDS
Figura 3-3: Diagrama del HIDS
10
Page 13
3.2 SIEM - Security Information and Event Management 11
3.2.5. Alarmas SIEM
Las alarmas en AlienVault Appliance son generadas por medio de directivas, cuando el riesgo
de un evento es¿= 1. Debido a que el riesgo se calcula como Riesgo = valor del activo
* (confiabilidad * prioridad / 25), la probabilidad de una alarma estara influenciada
por el activo o el valor de la red. La correlacion es un proceso que permite a los analista de
seguridad relacionar dos o mas evento con el fin de identificar grandes amenazas.
Despues de que USM Appliance Server recibe eventos normalizados de un USM Appliance
Sensor, evalua los eventos contra las polıticas, realiza la evaluacion de riesgos y luego realiza
la correlacion. El motor de correlacion aplica reglas de correlacion a los eventos, generando
nuevos eventos, si corresponde, con mayor prioridad y / o valores de confiabilidad. En tales
casos, USM Appliance inyecta el evento en el USM Appliance Server como un nuevo evento,
por lo que vuelve a pasar por la misma secuencia de procesamiento.
Figura 3-4: Procesamiento de eventos el AlienVault[2]
Las directivas de correlacion, que contienen una o mas reglas de correlacion, deciden si se
conectan ciertos eventos o no. La siguiente figura muestra un ejemplo de alto nivel de una
directiva de correlacion. Todos estos eventos deben provenir de la misma direccion IP y ir a
la misma direccion IP, para que se pueda crear el evento directivo. El motor de correlacion
tambien puede tener en cuenta la reputacion de las direcciones IP de origen y destino, como
11
Page 14
12 3 Marco Teorico
Paıs de origen, y hacer coincidir reglas especıficas solo si un evento proviene de, o esta
destinado a, un host con mala reputacion[2].
Figura 3-5: Ejemplo de correlacion [2]
3.3. Windows Events
Windows en sus difrentes versiones, clasifica los eventos en seis categorıas:
Registro de aplicacion: El registro de la aplicacion contiene eventos registrados por
aplicaciones o programas. Por ejemplo, un programa de base de datos puede registrar
un error de archivo en el registro de la aplicacion. Los desarrolladores de programa
deciden que eventos registrar.
Registro de seguridad: El registro de seguridad contiene eventos tales como intentos
de inicio de sesion validos e invalidos, ası como eventos relacionados con el uso de
recursos, como la creacion, apertura o eliminacion de archivos u otros objetos. Los
administradores pueden especificar que eventos se registran en el registro de seguridad.
Por ejemplo, si ha habilitado la auditorıa de inicio de sesion, los intentos de iniciar
sesion en el sistema se registran en el registro de seguridad.
Registro de configuracion: El registro de instalacion contiene eventos relacionados con
la configuracion de la aplicacion.
12
Page 15
3.3 Windows Events 13
Registro del sistema: El registro del sistema contiene eventos registrados por los compo-
nentes del sistema de Windows. Por ejemplo, la falla de un controlador u otro compo-
nente del sistema al cargarse durante el inicio se registra en el registro del sistema. Los
tipos de eventos registrados por los componentes del sistema estan predeterminados
por Windows.
Registro de ForwardedEvents: El registro de ForwardedEvents se utiliza para almace-
nar eventos recopilados de computadoras remotas. Para recopilar eventos desde compu-
tadoras remotas, debe crear una suscripcion a eventos. Para obtener mas informacion
sobre las suscripciones a eventos, consulte Suscripciones a eventos.
Registros de aplicaciones y servicios: Los registros de aplicaciones y servicios son una
nueva categorıa de registros de eventos. Estos registros almacenan eventos de una unica
aplicacion o componente en lugar de eventos que pueden tener un impacto en todo el
sistema [4].
Estos pueden ser administrados desde el Event Viewer disponible en cualquier dispositivo
que contenta cualquiera de las versiones de windows.
Figura 3-6: Visor de Eventos Windows
13
Page 16
4 Desarrollo del cronograma de
actividades
En la planificacion del cronograma de actividades, expuesto en el anteproyecto presentado
para este trabajo, se planeo cumplir los objetivos propuestos en 16 semanas durante las
cuales se desarrollarıan en 4 etapas que se nombran a continuacion:
4.1. Fase I: Estudio de la herramienta SIEM (Security
Information and Event Management
Durante esta fase, se realizo un estudio exhaustivo de la herramienta SIEM y todos sus
componentes, principalmente la estructura generica de los eventos capturados y normalizados
desde la plataforma, por otro lado, se realizo el analisis y desarrollo del agente encargado de
recolectar los eventos de windows para luego ser clasificados por su nivel de riesgo.
4.2. Fase II: Analisis de los eventos procedientes de los
diferentes equipos (host y servidores crıticos) en la
entidad
Siendo este proyecto un piloto para plantear el monitoreo de servidores y host crıticos de
la entidad, desde un reducido grupo de dispositivos se realizo el correspondiente analisis
de riesgo de cada uno de estos activos (vease Seccion Riesgos informaticos), de donde
posteriormente se escogieron aquellos con el nivel mas alto de riesgo. Una vez seleccionados
aquellos equipos, fue desarrollado el agente para cada uno de estos servidores, teniendo en
cuenta la version de windows de la que dispone cada uno.
Ahora bien, al comprobarse la conexion cliente-servidor entre la plataforma y el respecti-
vo agente, se identificaron todos aquellos eventos genericos de la plataforma, para luego
14
Page 17
4.3 Fase III: Implementacion de alarmas para aquellos eventos anomalos 15
clasificarlos de acuerdo a su nivel de riesgo.
4.3. Fase III: Implementacion de alarmas para aquellos
eventos anomalos
Una vez identificados los eventos con mayor nivel de riesgo (ALTO) por medio de su respecti-
vo ID y mensaje, se realizaron las alertas haciendo uso de la herramienta SIEM AlienVault
USM Appliance, desde la interfaz grafica de usuario, se generaron las respectivas alarmas
con el fin de notificar a las respectivas areas para su pronta solucion.
4.4. Fase IV: Documentacion y socializacion de resultados
La fase de documentacion fue realizada de manera paralela a desarrollo del proyecto, en este
documento son presentados todos los resultados obtenidos, el impacto de los mismos y el
trabajo a futuro que deberıa ser realizado con el fin de obtener un monitoreo mas eficaz de
servidores y host de Windows.
Tabla 4-1: Cronograma del planteado del proyecto
Fase / Tiempo (mes)1 2 3 4
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
Fase I : Estudio herramienta x x x x x
Fase II : Indentificacion,
analisis y clasificacion de eventos.x x x x x x
Fase III: Implementacion
y verificacion de alarmasx x x x x
Fase IV: Documentacion y
socializacion del proyectox x x x x x x x x x x x x x x x
15
Page 18
5 Desarrollo de Objetivos
5.1. Analisis de riesgo
Debido a que el monitoreo tiene como objetivo aquellos dispositivos cuyo ataque represente
un alto nivel de riesgo para la entidad, inicialmente se realiza un analisis de riesgo completo
para los activos y los eventos de Windows generados.
Clasificacion de activos
Una vez identificados los activos de informacion, de acuerdo a las tablas 3-1, 3-2 y 3-3 se
determina su respectiva criticidad. Para desarrollar el monitoreo son seleccionados aquellos
con mas alto nivel de riesgo (vease tabla 5-1)
Identificacion de vulnerabilidades y amenazas
Una vez analizados los activos de informacion, son identificadas las posibles vulnerabilidades
y amenazas a las que estan expuestos estos activos, esto con el fin de identificar los eventos
de mayor riesgo.
Tabla 5-2: Vulnetabilidad y amenaza por activo de informacion
Vulnerabilidad Amenaza
Asignacion errada de losderechos de acceso Abuso de los derechos
Software nuevo oinmaduro Mal funcionamiento delsoftware
Descarga y uso nocontrolado de software Manipulacion consoftware
Disponibilidad innecesaria de puertos Exposicion a malware o robo de archivos
Deshabilitacion de software Manipulacion de sofware necesario
Acceso no contralado Acceso no autorizado
Control sobre los posibles errores del sistema No aplica
16
Page 19
5.1 Analisis de riesgo 17
Tabla 5-1: Clasificacion de activos de acuerdo a la Confidencialidad, Integridad y
Disponibilidad
TIPO Adicionales Sistema Operativo C I D Criticidad
APPLICATION
SERVER
Aplicacion encargada
de monitorear la informacion
de transacciones
sin numero tarjeta.
Microsoft
Windows
Server 2007
R2 Enterprise
3 3 3 3
APPLICATION
SERVER
Administrador de reglas,
condiciones y parametros
de asignacion de
solicitudes de productos
a las unidades de negocio.
Microsoft
Windows
Server 2012
R2 Standard
3 2 2 3
FILE SERVER Carpetas compartidas
Microsoft
Windows
Server 2008
Standard
3 3 2 3
DESKTOPEquipo Escritorio
Practicante de Seguridad
Microsoft
Windows 20072 3 2 3
17
Page 20
18 5 Desarrollo de Objetivos
Teniendo en cuenta los diferentes niveles de riesgo, se realiza la Matrız de Califiacion y
Evaluacion de Riesgos
Figura 5-1: Visor de Eventos Windows
5.2. Eventos de Windows
El sistema operativo de Windows genera un gran numero de eventos los cuales se clasifican en
eventos de Seguridad, de aplicacion, de configuracion, y registro del sistema[4]. Cada evento
esta compuesto por un ID unico de identificacion, un nombre y una descripcion, estos pueden
ser observados desde el Visor de eventos disponible en cada dispositivo que contiene este
sistema operativo.
Debido a la caracterıstica de los eventos, algunos pueden ser agrupados debido a su seme-
janza, el ID varıa debido al version del sistema operativo que posee el dispositivo. Una vez
instalado el agente en los activos de informacion (servidores y host) con mayor nivel de criti-
cidad, se realizo la matriz con los eventos con una probabilidad suficiente de ocurrencia por
semana(vease anexo 1).
18
Page 21
5.2 Eventos de Windows 19
Figura 5-2: Eventos con mayor ocurrencia por semana
Teniendo en cuenta, la forma en la que fueron agrupados los diferentes eventos de Windows
(vease anexo1), se realiza la clasificacion de los mismos de acuerdo a la posible amena-
za que podrıan representar para la entidad y a su vez, se les son asignados un grado de
”degradacion”teniendo en cuenta los tres pilares de la Seguridad de la informacion,
Confidencialidad, Integridad y Disponibilidad.
Con el fin de calcular el impacto de cada evento en los activos de informacion estudiados
en el presente proyecto, se tiene en cuenta el nivel de criticidad encontrado de acuerdo a la
tabla 5-1 y el mayor nivel de ”degradacion encontrado”. El computo de la probabilidad se
realiza teniendo en cuenta los valores historicos de frecuencia con la que ocurre (o podrıa
ocurrir) un evento en forma semanal.
Finalmente, teniendo en cuenta la Matriz de Calificacion y Evaluacion de Riesgos 5-1 se
determina el riesgo de cada grupo de eventos.
19
Page 22
20 5 Desarrollo de Objetivos
Tabla 5-3: Clasificacion de Riesgo por evento
DegradacionSIEM Name Amenaza
C I DImp
Prob
(Sem)Risk
Windows error event No amenaza 0,1 0,1 0,1 0,3 1,0
Windows User Logoff. No amenaza 0,1 0,1 0,1 0,3 1,0
Windows Logon Success. No amenaza 0,3 0,3 0,3 0,9 1,0
Windows Logon FailureAcceso
no autorizado0,6 0,6 0,6 1,8 1,0
Windows audit failure event.Acceso
no autorizado0,6 0,6 0,3 1,8 1,0
Non standard syslog
message(size too large)No amenaza 0,1 0,1 0,1 0,3 0,1
Application UnistalledManipulacion
de sofware necesario1 1 1 3 0,1
Application installedManipulacion
con software1 1 1 3 0,1
Windows Account ChangedAbuso de
los derechos0,85 0,85 0,85 2,55 0,1
Windows group Member
Added or Removed
Abuso de
los derechos0,85 0,85 0,85 2,55 0,1
Windows audit Policy ChangedAbuso de
los derechos0,85 0,85 0,85 2,55 0,1
Windows User acoount
Locked Out
Acceso
no autorizado0,6 0,6 0,6 1,8 0,1
HIDS agent started. No amenaza 0,1 0,1 0,1 0,3 0,1
HIDS agent disconnected.Manipulacion
de sofware necesario1 1 1 3 0,1
USB device added/removedExposicion a malware
o robo de archivos1 1 1 3 0,6
Windows Event Log cleared.Manipulacion
con software0,85 0,85 0,85 2,55 0,1
Logon Failure -
Unknown user or bad
password.
Acceso
no autorizado0,8 0,8 0,8 2,4 1,0
Logon Failure - Account
locked out.
Acceso
no autorizado0,8 0,8 0,8 2,4 0,4
Multiple Windows Logon
Failures.-User doesn’t existAcceso no autorizado 0,8 0,8 0,8 2,4 0,3
20
Page 23
5.3 Monitoreo SIEM 21
5.3. Monitoreo SIEM
El agente HIDS de la plataforma de monitoreo SIEM AlienVault Apliance, permite que el
sensor de la aplicacion recolecte los eventos en bruto generados por Windows. Estos eventos
pueden ser observados desde el Visor de Eventos de Windows, dependiendo de la clasificacion
que estos tengan [4], es decir Seguridad, aplicacion o informacion.
Figura 5-3: Ejemplo evento ID 4624 desde Event Viwer
Por medio de la normalizacion realizada con el lenguaje de programacion PYTHON, es
posible extraer los campos mas relevantes del log, como lo son la direccion IP del equipo,
usuario que realiza la accion, la hora, la fecha, etc; para ası realizar un analisis mas organizado
desde la plataforma. En la imagen 5-5 se presenta el evento Windows logon succes visto
desde la plataforma SIEM.
21
Page 24
22 5 Desarrollo de Objetivos
Figura 5-4: Ejemplo evento ID 4624 desde SIEM
Teniendo en cuenta aquellos eventos que podrıa representar un alto riesgo para los activos de
informacion analizados anteriormente 5-1, desde la aplicacion son generadas las correspon-
dientes alertas haciendo uso de Directivas alguna con correlacion en los casos en lo que fue
necesario relacionar dos o mas eventos, las cuales se encargan de alertar de manera oportuna
a las areas pertinentes por medio de polıticas desde el SIEM.
Figura 5-5: Directiva sin correlacion
Figura 5-6: Directiva con correlacion
22
Page 25
5.3 Monitoreo SIEM 23
A continuacion se presentan las directivas implementadas para el monitoreo de Servidores y
host desde la herramienta SIEM.
Tabla 5-4: Directivas o alarmas implementadas para el monitoreo
Directivas Justificacion
HIDS Servidores
Cambios de privilegios de usuario
Monitorear las restricciones
otorgadas a los usuarios
HIDS Servidores
Creacion de UsuariosMonitorear la creacion correcta de usuarios
HIDS Servidores
Eliminacion de usuarios
Monitorear que la eliminacion de ciertos
usuarios se realice solo cuando es necesaria
HIDS Servidores
Desbloqueo de usuarios
Monitorear que sean habilitadas las
cuentas correctas
Agente Ossec Desconectado Monitorear fallos en el agente
Agente Ossec Iniciado Monitorear fallos en el agente
Servidores Cambio en
Grupo Administradores
Ya que los administradores poseen tantos
privilegios, se debe monitorear los usuarios
que pertenecen a este tipo de grupos
Servidores Cambios de PoliticasMonitorear los cambios en las politicas por parte
de los adminitradores
Aplicacion desinstaladaMonitorear que no sean desinstaladas las
aplicaciones necesarias
Aplicacion instalada
Monitorear que las aplicaciones instaladas
seas solo las permitidas, no debe representar ningun
riesgo para la entidad
USB insertada o removida
Corroborar que solo los equipos que poseen
permisos de lectura de dispositivos externos,
intenten hacer uso de ellos
Historico de eventos eliminado
En casos extremos, el borrar el historico de
eventos implicarıa una conducta extrana podrıa
tratarse de encubrir alguna accion maliciosa.
Intentos reiterados
fallidos de Log On
Varios intentos fallidos de ingresar a un servidor
y uno exitoso
23
Page 26
6 Analisis de resultados
Gracias al analisis realizado de los eventos genericos de Windows, varios eventos pueden ser
agrupados y analizados como uno solo, esto debido a que representan diferentes tipos de ac-
ciones que pueden llegar a generar un evento en comun, por ejemplo cuando una cuenta falla
en iniciar sesion, esto puede deberse a distintas razones, como lo son, falla en la contrasena
o usuario inexistente, Windows otorga un ID unico para cada tipo de inicio de sesion fallida,
gracias a que la estructura de los eventos de este tipo es similar, basta con disenar una sola
forma de normalizarlos extraer la informacion relevante e introducirlos dentro del analisis
desde el SIEM (vease anexo 1).
La correlacion de eventos permite disenar alarmas o directivas que puedan aumentar el
analisis del riesgo, esto debido a que al relacionar dos eventos se puede llegar a disminuir en
gran medida los falsos positivos, como es el caso puntual de un login fallido, por si solo no
me representa un riesgo alto a no ser que despues de varios intentos fallido o de fuerza bruta
se logre ingresar al sistema operativo, por lo que al realizar la correlacion con un evento de
login exitoso (vease figura5-6) se asegura que hay un riesgo crıtico.
A pesar de utilizarse la Herramienta SIEM AlienVault USM Appliance para el monitoreo
de servidores y host, el hecho de que los eventos de Windows analizados en este proyecto
sean genericos para las versiones de Windows aquı analizadas, permite que sea facilmente
implementado en cualquier otra herramienta SIEM, haciendolo de gran valor para cualquier
analista de seguridad informatica.
24
Page 27
7 Trabajos Futuros
A pesar de que el sistema operativo Windows en sus diferentes versiones es uno de los mas
utilizados, no implica que deban ignorarse los demas sistemas operativos disponibles en el
mercado. Debido a la gran importancia que tiene realizar el monitoreo de los activos de
informacion crıticos dentro de cualquier entidad, debe asegurarse abarcar la mayor cantidad
de equipos sin importar el sistema operativo que posean, por lo que en el futuro debe ser
estudiada la forma de monitorear sistemas operativos como UNIX o MAC OS.
Por otro lado, con el fin de que exista un estandar para el analisis de riesgos informati-
cos, en el futuro deben ser establecidas guıas mas claras para el identificar los mismo, pues
actualmente este analisis depende de la perspectiva del analista de seguridad encargado.
25
Page 28
8 Conclusiones
Siendo la principal labor de la Seguridad de la Informacion velar por la confidencialidad,
integridad y disponibilidad de los diferentes activos de la informacion, la gestion de riesgos
deberıa ser siempre proactiva, es decir deben ser identificadas las diferentes vulnerabilida-
des y amenazas en los activos de la informacion antes de que un evento con alto nivel de
riesgo ocurra. Las herramientas de monitoreo SIEM facilitan esta labor, pues permiten lle-
var un control en tiempo real de los diferentes eventos, y con el debido analisis de riesgo
clasificarlos de manera oportuna. El proyecto Implementacion de monitoreo a equipos
y servidores crıticos mediante herramienta SIEM - Security Information and
Event Management otorga una base solida para realizar un debido monitoreo de servi-
dores y host con sistema operativo Windows 2008 R2, WINDOWS 7,Windows 2012 R2,
WINDOWS 8.1,Windows 2016 y Windows 10.
26
Page 29
Anexos
Eventos ”Windows 2008 R2, WINDOWS 7,Windows 2012 R2, WINDOWS
8.1,Windows 2016 y Windows 10”[3]
27
Page 30
28 8 Conclusiones
28
Page 32
30 8 Conclusiones
30
Page 34
32 8 Conclusiones
32
Page 36
34 8 Conclusiones
34
Page 38
36 8 Conclusiones
36
Page 40
Bibliografıa
[1] Estandar internacional iso/iec 17799. 2005.
[2] Alienvault usm - user and deployment guide. July 2017.
[3] Enclopledia windo https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx.
2017.
[4] Windows support https://technet.microsoft.com. 2017.
[5] Ministerio de Tecnologıas de la Informacion y las Comunicaciones. Modelo de seguridad
y privacidad de la informacion. 2016.
[6] Argentina Propiedad intelectual Universidad Nacional de Lujan Departamento de Se-
guridad Informatica, Buenos Aires. Material adicional del seminario taller riesgo vs.
seguridad de la informacion. Universidad Nacional de Lujan Departamento de Seguridad
Informatica,.
38