WAFIntl Security Inspector

Alberro, Leonardo

Supervisor(es): Betarte, Gustavo - Martínez, Rodrigo - Rodríguez, Marcelo

Resumen:

En este proyecto se propone un modelo de datos y una herramienta que contempla la recepción, almacenamiento, análisis, correlación y presentación de información proveniente de múltiples Web application firewalls (WAFs). Para esto, en primera instancia se presenta un estado del arte que analiza en profundidad herramientas, metodologías y procedimientos existentes para abordar esta solución. En este sentido, se presentan tanto tecnologías como procedimientos para el manejo de los eventos provenientes de estos WAFs, se analiza el uso de indicadores de compromiso y se presentan técnicas para la correlación de eventos. Luego, se realiza un relevamiento y un análisis de los requerimientos y tecnologías que se deben contemplar en una solución de este estilo. En esta línea, se presentan los requerimientos para la centralización, análisis y visualización de los eventos, así como los requerimientos relacionados a la correlación de la información. Finalmente, se presenta un diseño y una prueba de concepto acorde al análisis propuesto definiendo las tecnologías evaluadas. Para esto, se define una arquitectura basada en la tecnología del stack Elasticsearch-Logstash-Kibana (ELK) en la que se diseña el flujo que los eventos deben seguir con el objetivo de cubrir los requerimientos analizados.


Detalles Bibliográficos
2020
ModSecurity
WAF
ELK
Eventos
Seguridad informática
Centralización
Correlación
Español
Universidad de la República
COLIBRI
https://hdl.handle.net/20.500.12008/24299
Acceso abierto
Licencia Creative Commons Atribución - No Comercial - Sin Derivadas (CC - By-NC-ND 4.0)
Resumen:
Sumario:En este proyecto se propone un modelo de datos y una herramienta que contempla la recepción, almacenamiento, análisis, correlación y presentación de información proveniente de múltiples Web application firewalls (WAFs). Para esto, en primera instancia se presenta un estado del arte que analiza en profundidad herramientas, metodologías y procedimientos existentes para abordar esta solución. En este sentido, se presentan tanto tecnologías como procedimientos para el manejo de los eventos provenientes de estos WAFs, se analiza el uso de indicadores de compromiso y se presentan técnicas para la correlación de eventos. Luego, se realiza un relevamiento y un análisis de los requerimientos y tecnologías que se deben contemplar en una solución de este estilo. En esta línea, se presentan los requerimientos para la centralización, análisis y visualización de los eventos, así como los requerimientos relacionados a la correlación de la información. Finalmente, se presenta un diseño y una prueba de concepto acorde al análisis propuesto definiendo las tecnologías evaluadas. Para esto, se define una arquitectura basada en la tecnología del stack Elasticsearch-Logstash-Kibana (ELK) en la que se diseña el flujo que los eventos deben seguir con el objetivo de cubrir los requerimientos analizados.