Reglas Sigma: Fortalecimiento de Elasticsearch en LinProfs

Sigma-Rules-scaled

Mi nombre es Furkan Kizilbayir, estudiante de cuarto curso en la Hogeschool Utrecht, donde estoy cursando un grado en HBO-TIC - Ciberseguridad y Nube".. Actualmente, participo activamente como becario en LinProfs, donde estoy involucrado en un desafiante proyecto centrado en la mejora de la Información de Seguridad y Gestión de Eventos (SIEM).

La misión que se me encomendó consistía en ampliar el conjunto de reglas de seguridad (reglas Sigma) del SIEM. Inicialmente, el SIEM utilizaba principalmente reglas estándar que venían incluidas con el paquete ElasticSIEM producto. Mi tarea consistía en explorar fuentes de Internet (preferiblemente de código abierto) para obtener reglas Sigma en formato YAML. Además, debía investigar cómo convertir estas reglas al formato adecuado para el SIEM y cómo mantenerlas actualizadas automáticamente. El objetivo final era elevar el nivel de escaneo de seguridad.

Este reto exigía un análisis exhaustivo de la aplicación de las reglas Sigma, incluidos aspectos como su actualización, procesamiento y almacenamiento. El artículo que sigue ofrece una visión en profundidad de mis investigaciones y estrategias para ayudar a LinProfs a lograr una ciberseguridad mejorada mediante el uso de reglas Sigma.

Reglas Sigma - Proyecto

Estado actual de la supervisión de la seguridad en LinProfs

Con el fin de establecer una base sólida para comprender la infraestructura de seguridad existente en LinProfs, la investigación comenzó con un análisis exhaustivo del estado actual de la supervisión de la seguridad. Esto implicó un examen detallado de las técnicas y herramientas aplicadas para la gestión de clientes. Estos conocimientos en profundidad no sólo proporcionan una comprensión exhaustiva de la infraestructura existente, sino que también sirven de base para la posterior toma de decisiones estratégicas.

El análisis de la situación actual permitió a LinProfs identificar no sólo los puntos fuertes de su enfoque de seguridad, sino también las áreas susceptibles de mejora. Esta visión proactiva de la situación actual constituyó el primer paso hacia la definición de una estrategia eficaz para automatizar las reglas Sigma.

Mantener al día las normas Sigma: un enfoque reflexivo

La clave de una gestión eficaz de la seguridad reside en la actualización periódica de las normas de seguridad, especialmente en un panorama cibernético en constante evolución. Las estrategias para mantener actualizadas las normas Sigma se examinaron y analizaron cuidadosamente para garantizar un planteamiento meditado.

Un aspecto esencial de este enfoque es la implementación de una tarea cron quincenal basada en la frecuencia de actualización de GitHub. Mediante la ejecución periódica de la tarea sigma_tool.py las reglas Sigma se sincronizan automáticamente con las actualizaciones semanales del Página de GitHub. Esta frecuencia se elige con precisión para lograr un equilibrio óptimo entre las actualizaciones periódicas y la minimización de las ejecuciones innecesarias.

Un análisis minucioso del uso del cifrado reveló el enfoque reflexivo de la gestión segura de contraseñas dentro de la sigma_tool.py script. Esto incluye no sólo proteger las contraseñas, sino también minimizar los posibles riesgos de seguridad. Se añadieron capas adicionales de seguridad, incluidas protecciones extra de archivos, para garantizar un nivel de seguridad robusto.

Procesamiento y almacenamiento de reglas Sigma: Flexibilidad y visión general

El tratamiento y almacenamiento de las normas de seguridad fue objeto de un detallado análisis para formular una estrategia óptima. En lugar de optar por una base de datos independiente, se optó por un planteamiento que fomentara la flexibilidad y la claridad.

Durante el proceso de instalación, gestionado por el sigma_install.py el usuario tiene la opción de especificar el nombre y la ubicación de la carpeta donde se almacenarán las reglas Sigma. Este enfoque no sólo proporciona flexibilidad, sino también claridad en la gestión de las reglas de seguridad. La estructura de carpetas generada sigue una ruta lógica, con reglas Sigma claramente visibles y convertidas en formato NDJSON.

La decisión de evitar el almacenamiento directo en una base de datos se justificó por la utilización más eficiente de Elastic como base de datos NoSQL integral. Esto contribuye a un almacenamiento estructurado y optimizado de las reglas de seguridad sin necesidad de una base de datos independiente.

Conclusiones: Una infraestructura informática resistente para LinProfs y sus clientes

Las estrategias de automatización propuestas contribuyen significativamente a reforzar la infraestructura informática de LinProfs y proporcionan un valioso impulso a la seguridad de sus clientes. El enfoque automatizado no sólo alivia las cargas operativas, sino que también mejora la respuesta proactiva ante posibles amenazas. La sinergia de las actualizaciones periódicas de las reglas Sigma y el procesamiento y almacenamiento estructurados da como resultado una infraestructura informática optimizada y resistente.

Explore more about our interns’ assignments and their impactful contributions. Click here to learn more!

Comments are closed

Cookies Consentimiento
Cookies Consentimiento

Utilizamos cookies para mejorar su experiencia de navegación. Al hacer clic en "Aceptar", usted consiente el uso de todas las cookies.