Adquisición, normalización, enriquecimiento y visualización de eventos de ciberseguridad con tecnologías Big Data.

Abstract

En este TFG se pretende integrar diferentes productos relacionados con el ámbito de la ciberseguridad, que surgen de la necesidad de buscar nuevas zonas de partners dentro del marco de trabajo de la empresa redBorder. Algunos de estos son: Secret Server, Forescout, Gravity Zone, Rapid7 InsightVM… El objetivo de este trabajo consistirá en la instalación de dichos productos, y la visualización de sus eventos en tiempo real en el manager web, donde podremos llevar un control más exhaustivo sobre lo que está pasando en nuestro sistema a través de los productos mencionados. Adicionalmente de la visualización en el manager (con su correspondiente enriquecimiento y normalización de los datos), se crearán también reglas de correlación con las que podremos extraer nueva información, la cual nos será también bastante útil, pudiendo relacionar datos de los diferentes módulos, por ejemplo, y opcionalmente, creando un formulario que facilite la creación de reglas. En este proyecto están involucrados diferentes servicios como Apache Druid, Kafka, Logstash, Rsyslog, por mencionar los más importantes,y de los cuales hablaremos más adelante, explicando el papel de cada uno.

In this TFG we aim to integrate different products related with cybersecurity, in order to search for new partners zones, all within the work area of redBorder. Some of those are: Secret Server, Forescout, Gravity Zone, OpenVPN… The objective of this work will consist of the installation of the mentioned products, and the visualization of events in real-time on the web manager, where we can have a better control of the things happening in our system using those products. Additionally, we’ll also create correlation engine rules in order to extract more useful information, correlating information coming from different modules, for example, and optionally, creating a form so the user can create rules in a easier way. In this project there are multiple services involved, like Apache Druid, Kafka, Logstash,Rsyslog, to mention the most important ones, that we will explain later, in depth, in the document.