@media screen and (min-width: 580px) { .flotantewhatsapp{ display:none; } }

Compartir por WhatsApp

crear-soc-mediante-herramientas-opensource-1

Crear SOC mediante herramientas OpenSource

Crear SOC mediante herramientas OpenSource

Llevo un tiempo recopilando información sobre herramientas que nos permitan crear un SOC (Centro de Operaciones de Seguridad) mediante herramientas OpenSource.

Hace tiempo que hablamos de DevSecOps, pero me quedaba aterrizar todos estos términos en una herramienta de sistemas.

Voy a crear varias entradas relacionadas montando herramientas OpenSource que nos van a permitir llegar a disponer de dicho SOC.

Lo primero que haremos es intentar explicar en qué consiste un SOC, y la importancia de implantar uno en vuestra empresa, si ya tenéis un cierto volumen.

¿Qué es un SOC o Centro de Operación de Seguridad?

Un SOC o Centro de Operaciones de Seguridad (SOC por sus siglas en inglés) se encarga de realizar las 24 horas del día y los 365 días del año, un seguimiento y análisis de la actividad de los servidores, redes, aplicaciones y equipos que conforman una empresa, buscando actividades anómalas que puedan ser un indicio de un posible incidente de seguridad.

Para realizar esto, se utilizan herramientas con funcionalidades diferentes, que se complementan para crear el SOC, que será la herramienta clave de ciberseguridad de la empresa (gestión de alertas/eventos, detección de intrusos, monitorización, análisis de código, pruebas de penetración, evaluación vulnerabilidades…)

Con esto, podéis haceros una idea que montar un sistema como un SOC es bastante complejo, necesitaréis personal con alto nivel de conocimientos, y especializado en cada área que compone el SOC para poder explotarlo lo mejor posible y que aporte realmente a tu organización.

¿Diferencia entre SOC y SIEM?

Es inevitable aclarar que es un SOC pero también que es un SIEM, ya que muchas veces se confunden o se asocian como los mismos términos.

Un SIEM es una parte fundamental del SOC. Mientras que el SOC recopila información de los elementos que lo componen y entregan eventos (firewalls, antivirus, puntos de acceso, eventos servidores, bases de datos…), el SIEM, dentro de ese SOC, se encarga de la monitorización real y el almacenamiento de los datos obtenidos. Es el componente que le da visión a los técnicos de lo que pasa de forma unificada.

Mediante el SIEM podemos tener una visión global de la seguridad de nuestra organización, y así detectar qué comportamientos anormales pueden suponer un peligro real.

Es fundamental que existan las herramientas para recolectar los datos y a su vez esos datos no podemos explotarlos si no sabemos correlacionarlos y analizarlos.

Os dejo una distribución que tiene ya integradas la mayoría de herramientas de las que voy a hablar, se llama Security Onion, intentaré hacer una entrada específica sobre ella:

  • WEB OFICIAL: https://securityonionsolutions.com/
  • Descripción: Se basa en una combinación de herramientas de seguridad, como Snort, Suricata, Zeek, Wazuh, Elasticsearch y Kibana, para recolectar y analizar datos y detectar amenazas avanzadas.

A continuación, os dejo una descripción de las diferentes herramientas que pueden formar un SOC OpenSource:

Herramienta OpenSource SOC para Detección

  • Suricata:
    • WEB OFICIAL: https://suricata.io/
    • Descripción: Permite la detección de intrusos en tiempo real (IDS), prevención de intrusiiones en línea (IPS) y monitorización de seguridad de red (NSM)
  • Snort:
    • WEB OFICIAL: https://www.snort.org/
    • Descripción: Se trata de uno de los IPS Opensource más conocido del mercado. En él se definen reglas para detectar actividad maliciosa en la red y poder generar alertas o detener paquetes maliciosos.
  • Wazuh:
    • WEB OFICIAL: https://wazuh.com/
    • Descripción: Permite recopilar y analizar datos de seguridad de un host en el cual se instala un agente. Es una herramienta muy completa, compuesta por una gestión de eventos e información de seguridad (SIEM) y otra de detección y respuesta extendidas (XDR)
  • Zabbix:
    • WEB OFICIAL: https://www.zabbix.com/
    • Descripción: Aunque no es una herramienta propia de ciberseguridad, sí nos dará datos para gestionar nuestros elementos de red y su estado, alimentando el SIEM

Herramienta OpenSource SOC para Gestión

  • Evebox:
    • WEB OFICIAL: https://evebox.org/
    • Descripción: Permite la gestión de alertas y eventos que genera Suricata, lo que se convierte en un complemento imprescindible si usamos Suricata
  • ElasticSearch Stack (desde 2021 no es opensource, la alternativa creada por AWS es Opensearch):
    • WEB OFICIAL: https://www.elastic.co/es/elastic-stack/
    • Descripción: ELK es el acrónimo para referirse a tres proyectos open source que suelen ir unidos, como son ElasticSearch, Logstash y Kibana. Actúa como un repositorio de registros
  • The Hive:
  • VulnWhisperer:
    • WEB OFICIAL: https://github.com/HASecuritySolutions/VulnWhisperer
    • Descripción: VulnWhisperer es una herramienta de gestión de vulnerabilidades y un agregador de informes. VulnWhisperer extraerá todos los informes de varios escáneres de vulnerabilidades y creará un archivo con un nombre único para cada uno.
  • OpenSCAP:
    • WEB OFICIAL: https://www.open-scap.org/
    • Descripción: Es una colección de herramientas de código abierto para implementar y cumplir el estándar SCAP (Security Content Automation Protocol) certificado por NIST (Instituto Nacional de Estándares y Tecnología). El objetivo es estandarizar ciertas cuestiones relacionadas con la seguridad. Una forma de automatizar, en cierto grado, la búsqueda de vulnerabilidades, evaluar sus posibles impactos, gestionarlas y evaluar políticas a adoptar. Con esta herramienta podríamos hacer hardening

Herramienta OpenSource SOC para Análisis

  • Cortex:
    • WEB OFICIAL: https://thehive-project.org/
    • Descripción: Permite el análisis mediante una página web de los diferentes analizadores detectados (IP´s, correos electrónicos, URL´s, dominios…), se usa normalmente en conjunto con The Hive para disponer de una respuesta activa
  • Nessus:
    • WEB OFICIAL: https://es-la.tenable.com/products/nessus
    • Descripción: Es una herramienta que puede montarse en casi cualquier dispositivo, como una raspberry pi. Permite el análisis de vulnerabilidades (aplicaciones web, por ejemplo), y mediante múltiples plugins puedes ampliar sus funciones.
  • OpenCTI:
    • WEB OFICIAL: https://docs.opencti.io/latest/
    • Descripción: OpenCTI es una plataforma de código abierto que permite a las organizaciones gestionar su información y documentación sobre ciberamenazas. Ha sido creada para estructurar, almacenar, organizar y visualizar información técnica y no técnica sobre ciberamenazas. Puede integrarse con otras herramientas y aplicaciones como MISP, TheHive…

Herramienta OpenSource SOC para Intercambio de información

Herramienta OpenSource SOC para pruebas ciberseguridad

Herramienta OpenSource SOC para análisis de código

Os dejo unas cuantas herramientas por si sois desarrolladores:

Fuente: https://www.claranet.com/es/blog/herramientas-open-source-para-adoptar-devsecops

Herramientas open source para los hooks previos a la subida de código:

Herramientas open source para gestionar secretos:

Herramientas open source para análisis de composición del software:

Herramientas open source para el testeo de seguridad de análisis dinámico:

Herramientas open source para seguridad en Infrastruture as Code:

Herramientas open source para Vulnerability Assessment:

Herramientas open source para Compliance as Code:

Herramientas open source disponibles para la gestión de vulnerabilidades:

Herramienta open source para alertas y monitorización:

Seguro que existen muchas más herramientas, intentaré ir mejorando el artículo y creando entradas de como se instalan estas herramientas para crear un SOC OpenSource.

ENTRADAS RELACIONADAS CREACION SOC OPENSOURCE

¿Te ha gustado la entrada SÍGUENOS EN TWITTER O INVITANOS A UN CAFE?

El Blog de Negu

Acerca de Raul Unzue Pulido

Administrador de sistemas virtuales e infraestructuras IT, linuxero y entusiasta de la tecnología.

Compruebe también

implementar-soc-instalacion-suricata-bajo-proxmox-3

Implementar SOC: Instalación Suricata bajo Proxmox

Implementar SOC: Instalación Suricata bajo Proxmox En otras entradas hablamos de lo que es un …

2 comentarios

  1. Connect Connect

    Como alternativa al ElasticSearch lo mejor es el OpenSearch que es un fork realizado por Amazon y mantenido de forma regular. De hecho Wazuh migró a él y ya lo tienes incorporado en el mismo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

13 + 1 =

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
Blog Maquinas Virtuales - El Blog de Negu