Quartz 4

Arquitectura de Detección y Análisis de Ataques

2 min read

Arquitectura de Detección y Análisis de Ataques

Relacionado: IDOR. PFSENSE. SPLUNK. MongoDB. Herramientas.

Componentes Principales

Subsistemas de la Arquitectura

  1. Subsistema de Detección de Eventos de Ataque (DEA)

    • Responsable de identificar eventos sospechosos en la red.

  2. Subsistema de Modelado y Análisis de Patrones de Ataque (MAP)

    • Analiza los eventos detectados y modela patrones de ataque.

  3. Subsistema de Visualización de Patrones de Ataque (VIAPA)

    • Presenta visualmente los patrones identificados para facilitar su interpretación.

Infraestructura de la Honynet

Para detectar y analizar ataques, se despliega una honynet con los siguientes elementos:

  • Honeypot T-Pot: Captura tráfico malicioso y eventos de ataque.
  • SIEM Splunk: Recibe los datos del honeypot para su correlación y análisis.
  • Firewall pfSense: Controla y monitorea el tráfico de red.
  • EAD (Event Analysis and Detection): Sistema de análisis de eventos con las siguientes tecnologías:
    • MongoDB y Neo4j: Bases de datos para almacenamiento y análisis de datos.
  • Jump Host: Servidor intermedio (bastion host) que permite saltar entre redes. Se despliega como máquina virtual.
  • Neo4j: Se utiliza para la representación y análisis de relaciones entre eventos, con cifrado aplicado para la seguridad de los datos.

Herramientas y Tecnologías Adicionales

Simulación y Generación de Ataques

  • Herramienta IDT o ID2T: Se utiliza para generar ataques simulados y evaluar la respuesta del sistema.
  • Se prioriza la simulación de ataques más fáciles de reproducir.

Bots en la Red

  • Los bots funcionan enviando pings por toda la red para detectar hosts activos y mapear la infraestructura.

Plataformas y Software Utilizado

  • Splunk MLKT: Framework de aprendizaje automático para correlación de eventos.
  • MobXterm: Herramienta para acceso remoto y administración de sistemas.
  • Base de datos Studio3: Software para la gestión de bases de datos.

Análisis de Métricas en Splunk

  • Jupyter Notebook: Splunk permite la integración con Jupyter para análisis avanzado de datos.
  • Métricas más relevantes:
    • Accuracy (precisión del modelo).
    • Área bajo la curva (AUC-ROC) o F-score en caso de datos desbalanceados.

Otras Consideraciones

  • Taxonomía CAPEC: Se emplea para clasificar los ataques detectados en la red.
  • Beca INTA: Posible relación con el proyecto de investigación o desarrollo en el Instituto Nacional de Técnica Aeroespacial (INTA).
  • Usuarios de contacto:

Graph View

Backlinks