Marianella Profesional 2020 Re

Facultad de Ingeniería
Ingeniería de Sistemas e Informática
Programa Especial de Titulación:

“IMPLEMENTACIÓN DE UN SECURITY
INFORMATION AND EVENT
MANAGEMENT (SIEM) PARA
DETECTAR VULNERABILIDADES Y
AMENAZAS EXPUESTAS EN LAS
PLATAFORMAS INFORMÁTICAS Y
REDES DE UNA ENTIDAD
FINANCIERA”
Autor: Mariella Anabel, Estela Campos
Para optar el Título Profesional de

Ingeniero de Sistemas e Informática
Asesor: Pedro Ángel, Molina Velarde
Lima, febrero 2020

DEDICATORIA
Este trabajo y esfuerzo le dedico especialmente a

mi madre quien me enseñó que se debe mantener
la perseverancia para luchar bajo cualquier
circunstancia, por sus ánimos para salir adelante y
por ser la mujer que siempre estuvo, está y estará
presente en cada lucha de mi vida.
A mi hermano quien se preocupó por mi

bienestar y en mis estudios desde que era
pequeña y tuve siempre su apoyo incondicional.
2
AGRADECIMIENTOS
Agradezco infinitamente a mi madre y a mi

hermano por su apoyo incondicional en todo
momento, por hacerme una persona de bien y
profesional, gracias por confiar en mí.
A la universidad, a mis profesores y a mi asesor

por el apoyo, enseñanza y guía a lo largo de este
camino universitario y para la elaboración de
esta tesis.
A mis amigos quienes nos apoyamos

mutuamente compartiendo nuestros
conocimientos y por los ánimos brindados para
lograr esta tesis.
3
INDICE DE CONTENIDO
INDICE DE TABLAS ......................................................................................................... 8

INDICE DE ILUSTRACIONES ...................................................................................... 10
INTRODUCCION ............................................................................................................. 13
CAPITULO 1 ..................................................................................................................... 14
ASPECTOS GENERALES .............................................................................................. 14
1.1. Definición del Problema ....................................................................................... 14
Descripción del Problema .............................................................................. 14
Formulación del Problema............................................................................. 16
1.2. Definición de objetivos ......................................................................................... 17
1.2.1 Objetivo general ................................................................................................ 17
1.2.2 Objetivos específicos......................................................................................... 17
1.3 Alcances y limitaciones ........................................................................................ 18
1.3.1 Alcances ............................................................................................................ 18
1.3.2 Limitaciones: ..................................................................................................... 18
1.4 Justificación: ......................................................................................................... 19
CAPITULO 2 ..................................................................................................................... 21
FUNDAMENTO TEÓRICO ............................................................................................ 21
2.1 Antecedentes ......................................................................................................... 21
2.1.1 Tesinas Nacionales ........................................................................................ 21
2.1.2 Internacional .................................................................................................. 24
2.2 Marco Teórico ....................................................................................................... 26
2.2.1 Seguridad Informática ....................................................................................... 26
2.2.2 Riesgos Informáticos ......................................................................................... 28
2.2.3 Gestión de datos de registro .............................................................................. 28
2.2.4 Plataforma SIEM – Security Information and Event Management .................. 29
2.2.5 Proveedores SIEM............................................................................................. 29
2.2.6 Monitoreo de Seguridad .................................................................................... 35
2.2.7 Marcos de trabajo .............................................................................................. 36
2.3 Marco Metodológico ............................................................................................. 38
4
2.4 Marco conceptual .................................................................................................. 40
CAPITULO 3 ..................................................................................................................... 44
DESARROLLO DE LA SOLUCIÓN .............................................................................. 44
3.1 Desarrollo .............................................................................................................. 44
3.2FASE DE INICIO DEL PROYECTO .................................................................. 45
3.2.1 Identificación de Recursos del Proyecto ....................................................... 45
3.2.1.1 Identificación de Stakeholders y Roles ......................................................... 45
3.2.1.2 Identificación de Equipos .............................................................................. 45
3.2.2 Acta de Constitución del Proyecto ................................................................ 48
3.3FASE DE PLANIFICACIÓN DEL PROYECTO ................................................ 51
3.3.1 Definición de alcance y limitaciones ............................................................. 51
3.3.1.1 Alcance .......................................................................................................... 51
3.3.1.2 Limitaciones .................................................................................................. 51
3.3.2 Requisitos Pre-Implementación ..................................................................... 52
3.3.3 Diagrama de Arquitectura ............................................................................. 54
3.3.3.1 La empresa fabricante despliega un único servidor QRadar ......................... 54
3.3.4 Cronograma de Actividades .......................................................................... 55
3.3.5 Identificación de Riesgos............................................................................... 57
3.3.5.1 Impacto y Probabilidad .................................................................................. 57
3.3.5.2 Ponderación de Riesgo .................................................................................. 57
3.3.5.3 Identificación de Riesgos............................................................................... 58
3.3.5.4 Matriz de Riesgo ............................................................................................ 58
3.3.5.5 Plan de Contingencia ..................................................................................... 59
3.3.6 Costo del Proyecto ......................................................................................... 60
3.3.6.1 Costos en Materiales y Equipos .................................................................... 60
3.3.6.2 Costo de Recursos Humanos ......................................................................... 60
3.3.6.3 Costo en Equipo ............................................................................................ 61
3.3.7 Planificación de SPRINT’s ............................................................................ 61
3.3.7.1 Definición de TaskBoard ............................................................................... 63
3.3.7.2 Pruebas de Sprint’s ........................................................................................ 64
3.4FASE IMPLEMENTACIÓN Y CONFIGURACIÓN .......................................... 65
3.4.1 SPRINT 1: Implementación y Configuración de SIEM ................................ 65
3.4.1.1 Implementación SIEM ................................................................................... 65
I. Backlog .......................................................................................................... 65
5
II. Historia de Usuario ........................................................................................ 65
3.4.1.2 Instalación de Licencias................................................................................. 72
3.4.1.3 Configuración en Consola Qradar ................................................................. 75
3.4.1.4 Rackeo del Equipo ......................................................................................... 82
3.4.1.5 Pruebas de Configuración del ECM .............................................................. 84
3.4.1.5.1 Informe de Prueba Funcional ........................................................................ 89
3.4.1.6 Revisión de Sprint – Semana 1 ...................................................................... 90
3.4.2 SPRINT 2: Integración de equipos SIEM ..................................................... 90
3.4.2.1 Planeamiento de Integración ......................................................................... 90
3.4.2.2.1 Definición de Requisitos Pre-Integración...................................................... 92
3.4.2.2.2 Manual de procedimiento de configuración de equipos ................................ 93
3.4.2.2 Procedimiento de integración ...................................................................... 100
3.4.2.3 Informe de Prueba Funcional ...................................................................... 104
3.4.2.4 Revisión de Sprint – Semana 2 .................................................................... 105
3.4.3 Configuración de Reglas ............................................................................. 105
3.4.3.1 Planeamiento ............................................................................................... 105
3.4.3.1.1 Definición de Requisitos Pre-Configuración ............................................... 106
3.4.3.2 Configuración de reglas ............................................................................... 107
3.4.3.3.1 Procedimiento de creación de reglas ........................................................... 109
3.4.3.3.2 Lista de reglas configuradas ........................................................... ............. 113
3.4.3.3 Pruebas ........................................................................................................ 124
3.5FASE MONITOREO Y CONTROL .................................................................. 125
3.5.1 Monitoreo de Eventos .................................................................................. 125
3.5.2 Monitoreo de Alertas ................................................................................... 136
3.5.2.1 Dashboard .................................................................................................... 136
3.5.2.2 Reporte ........................................................................................................ 141
3.6 FASE CIERRE ................................................................................................... 147
3.6.1 Capacitación ................................................................................................ 147
3.6.1.1 Temario ........................................................................................................ 147
3.6.2 Acta de conformidad del proyecto............................................................... 149
CAPITULO 4 ................................................................................................................... 151
RESULTADOS ................................................................................................................ 151
4.1 RESULTADOS .................................................................................................. 151
4.2 PRESUPUESTO ................................................................................................. 159
6
4.2.1 Costo de la Implementación ........................................................................ 159
4.2.2 Costos Variables .......................................................................................... 160
4.3 ANÁLIS DE RIESGO ........................................................................................ 160
4.3.1 Identificación de los activos de información ............................................... 161
4.3.2 Clasificación de activos ............................................................................... 161
4.3.3 Identificación de vulnerabilidades y amenazas ........................................... 162
4.3.4 Valoración de amenazas y determinación del impacto ............................... 163
4.3.5 Evaluación del riesgo................................................................................... 163
4.4 ANÁLISIS DE BENEFICIO .............................................................................. 168
4.4.1 Beneficios Tangibles ................................................................................... 168
4.4.2 Beneficios intangibles ................................................................................. 169
4.5ANALISIS DE FLUJO DE CAJA, VAN Y TIR ................................................ 170
4.5.1 FLUJO DE CAJA ........................................................................................ 170
CONCLUSIONES ......................................................................................................... 171
RECOMENDACIONES ................................................................................................ 172
BIBLIOGRAFÍA ............................................................................................................. 173
7
INDICE DE TABLAS
Tabla 1: Árbol de problemas............................................................................................................ 15

Tabla 2: Tabla de Problemas ............................................................................................................ 16
Tabla 3: Características y Ventajas SIEM ........................................................................................ 29
Tabla 4: Roles, características y actividades Scrum ......................................................................... 36
Tabla 5: Fases de la Metodología ..................................................................................................... 44
Tabla 6: Stakeholders ....................................................................................................................... 45
Tabla 7: Características QRadar 3129 .............................................................................................. 46
Tabla 8:Descripción Servidor 3129.................................................................................................. 47
Tabla 9: Licencia QRadar 3129 ....................................................................................................... 47
Tabla 10: Navegadores soportadas por Qradar ................................................................................ 54
Tabla 11: Cronograma de actividades .............................................................................................. 56
Tabla 12: Impacto y Probabilidad .................................................................................................... 57
Tabla 13: Ponderación de Riesgo ..................................................................................................... 57
Tabla 14: Riesgos durante del proyecto ........................................................................................... 58
Tabla 15: Matriz de Riesgo .............................................................................................................. 58
Tabla 16: Plan de Contingencia ....................................................................................................... 59
Tabla 17: Costos en Materiales y Equipos ....................................................................................... 60
Tabla 18: Costo de Recursos Humanos ............................................................................................ 61
Tabla 19 Costo en Equipo ................................................................................................................ 61
Tabla 20: Planificación del Sprint N° 1 ........................................................................................... 62
Tabla 21: Planificación del Sprint N° 2 ........................................................................................... 62
Tabla 22: Planificación del Sprint N°3 ............................................................................................ 63
Tabla 23: TaskBoard Inicial ............................................................................................................. 64
Tabla 24: Formato de Pruebas de Sprint’s ....................................................................................... 64
Tabla 25: Backlog ............................................................................................................................ 65
Tabla 26:Historia de Usuario 01 ...................................................................................................... 65
Tabla 27: Revisión de Sprint S1 ....................................................................................................... 90
Tabla 28: Backlog Sprint 2............................................................................................................... 90
Tabla 29: TaskBoard 02 ................................................................................................................... 91
Tabla 30: Revisión de Sprint S2 ..................................................................................................... 105
Tabla 31: TaskBoard 2 ................................................................................................................... 105
Tabla 32: Pre Requisitos de Configuración .................................................................................... 106
Tabla 33: Prueba de Funcionalidad 03 ........................................................................................... 124
Tabla 34: Cuestionario de Resultados ............................................................................................ 152
Tabla 35: Deploymentt ................................................................................................................... 156
Tabla 36: Costo de implementación ............................................................................................... 159
Tabla 37: Costos Variables ............................................................................................................ 160
Tabla 38: Escala de clasificación de confidencialidad ................................................................... 161
Tabla 39: Escala de clasificación de Integridad ............................................................................. 162
Tabla 40: Escala de clasificación de Disponibilidad ...................................................................... 162
Tabla 41: Identificación de vulnerabilidades y amenazas .............................................................. 163
Tabla 42: Ejemplo Matriz de Calificación, Evaluación y respuesta a los Riesgos ........................ 164
8
Tabla 43: Tecnologías críticos ....................................................................................................... 165
Tabla 44: Estadísticas en Seguridad Informática ........................................................................... 166
Tabla 45: Costos de la Seguridad Informática ............................................................................... 166
Tabla 46: Ataques Ransomware ..................................................................................................... 167
Tabla 47: Ataques Phishing............................................................................................................ 167
Tabla 48: Relación de beneficios tangibles del proyecto ............................................................... 168
Tabla 49: Beneficios Intangibles .................................................................................................... 169
Tabla 50: Flujo de caja del proyecto .............................................................................................. 170
9
INDICE DE ILUSTRACIONES
Ilustración 1: Gestión de datos de registro ....................................................................................... 28

Ilustración 2: Anatomía de un sistema SIEM.................................................................................... 29
Ilustración 3: Plataforma Qradar ...................................................................................................... 32
Ilustración 4: Arquitectura QRadar All In One ................................................................................ 34
Ilustración 5: Arquitectura de Implementación QRadar 3129 ......................................................... 35
Ilustración 6: Scrum Framework ...................................................................................................... 37
Ilustración 7: Esquema de la metodología ....................................................................................... 39
Ilustración 8:Servidor QRadar 3129................................................................................................. 46
Ilustración 9: Acta de Constitución del Proyecto ............................................................................. 50
Ilustración 10: Despliegue todo en uno ............................................................................................ 54
Ilustración 11: Daily Scrum 1 - Sprint 1 .......................................................................................... 66
Ilustración 12: Instalando Red Hat Enterprise Linux 7.3 ................................................................. 66
Ilustración 13: Appliance Install ...................................................................................................... 67
Ilustración 14: Tipo de instalación ................................................................................................... 67
Ilustración 15: Configuración de fecha, hora e IP ............................................................................ 68
Ilustración 16: Selección de zona horaria......................................................................................... 68
Ilustración 17: Interfaz de red .......................................................................................................... 69
Ilustración 18: Configuración de la interfaz de administración ....................................................... 69
Ilustración 19: Configuración de Red .............................................................................................. 70
Ilustración 20: Configuración de credencial .................................................................................... 70
Ilustración 21: Carga de configuración ............................................................................................ 71
Ilustración 22: Proceso de instalación completa .............................................................................. 71
Ilustración 24: Pagina de Logueo ..................................................................................................... 72
Ilustración 25: Pestaña Administrador Qradar ................................................................................. 73
Ilustración 26: System and License Managment .............................................................................. 73
Ilustración 27: Integración de equipos al SIEM ............................................................................... 73
Ilustración 28: Carga de Licencia..................................................................................................... 74
Ilustración 29: Activación de Licencia ............................................................................................. 74
Ilustración 30: Licencia activada ...................................................................................................... 75
Ilustración 31:Daily Scrum 3 - Sprint 1 ........................................................................................... 75
Ilustración 32: Ingreso a consola de Qradar ..................................................................................... 76
Ilustración 33: Panel de Administración para agregar Tenant ......................................................... 77
Ilustración 34: Ventana para configurar Tenant ............................................................................... 78
Ilustración 35: Panel de Administración para agregar Log Source .................................................. 78
Ilustración 36: Ventana para configurar Log Source ....................................................................... 79
Ilustración 37: Panel de Administración para agregar Dominio ...................................................... 79
Ilustración 38: Ventana para asociar Log Source al dominio del Cliente ........................................ 80
Ilustración 39: Ventana para asociar Tenant a Cliente ..................................................................... 81
Ilustración 41: Colocación de tuercas............................................................................................... 82
Ilustración 42: Soporte de montajes ................................................................................................. 83
10
Ilustración 43: Rackeo de equipo ..................................................................................................... 83
Ilustración 44: Conector de energía eléctrica ................................................................................... 84
Ilustración 45: Estado del ECM ....................................................................................................... 85
Ilustración 47: Informe de Prueba Funcional ................................................................................... 89
Ilustración 48: Historia de Usuario 02 ............................................................................................. 91
Ilustración 50: Lista de Log Source ................................................................................................. 93
Ilustración 52: Logo Cisco ............................................................................................................... 94
Ilustración 53: Cisco Firepower Management Center Event Configuration .................................... 95
Ilustración 54: Logo Linux ............................................................................................................... 98
Ilustración 55: Logo Windows ......................................................................................................... 98
Ilustración 56: Configuración Log Source ..................................................................................... 100
Ilustración 57: Añadir Log Source ................................................................................................. 100
Ilustración 58: Configuración ventana Log Source ........................................................................ 101
Ilustración 59: Configuración completada de Log Source ............................................................. 101
Ilustración 60: Habilitar Log Source .............................................................................................. 102
Ilustración 61: Deployar cambios................................................................................................... 102
Ilustración 62: Sector Log Activity ................................................................................................ 103
Ilustración 63: Informe de Prueba Funcional ................................................................................. 104
Ilustración 64: Daily Scrum 3 - Sprint 2 ........................................................................................ 104
Ilustración 67: Pestaña reglas del SIEM......................................................................................... 109
Ilustración 68: Lista de reglas predeterminadas ............................................................................. 111
Ilustración 69: Asistente de regla ................................................................................................... 112
Ilustración 70: Configuración de acción de regla ........................................................................... 112
Ilustración 71: Reglas 1 .................................................................................................................. 113
Ilustración 72: Reglas 2 ................................................................................................................. 114
Ilustración 77:Reglas 7 .................................................................................................................. 119
Ilustración 80: Reglas 10 ................................................................................................................ 122
Ilustración 81: Reglas 11 ................................................................................................................ 123
Ilustración 83: Log Activity ........................................................................................................... 127
Ilustración 84: Log Activity 1 ........................................................................................................ 128
11
Ilustración 92: Dashboard .............................................................................................................. 136
Ilustración 93: Dashboard Checker ................................................................................................ 137
Ilustración 94: Dashboard Monitoreo de Infraestructura ............................................................... 138
Ilustración 95: Dashboard Threat and Security Monitoriing .......................................................... 139
Ilustración 96: Dashboard Vulnerability Management .................................................................. 140
Ilustración 97: Tipos de gráficos de reportes ................................................................................. 143
Ilustración 98: Ventana de reportes ................................................................................................ 144
Ilustración 99: Grupo de reportes ................................................................................................... 144
Ilustración 100: Ejecución de reporte ............................................................................................. 145
Ilustración 101: Generación de reporte .......................................................................................... 145
Ilustración 102: Visualización de reporte ....................................................................................... 146
Ilustración 103: Temario de Capacitación...................................................................................... 148
Ilustración 104: Acta de conformidad del proyecto ....................................................................... 150
Ilustración 105: Logro de resultados .............................................................................................. 153
Ilustración 106: Ventana Administrador de la plataforma SIEM ................................................... 155
Ilustración 107: Dashboard ............................................................................................................ 156
Ilustración 108: DashBoards QRadar Deployment Intelligence .................................................... 158
Ilustración 109: Informe de alertas................................................................................................. 159
Ilustración 110: Políticas de retención de datos ............................................................................. 159
12
INTRODUCCION
En el presente proyecto se desarrolló bajo la necesidad de la implementación de una
plataforma de gestión de información y eventos de seguridad (SIEM) para detectar
vulnerabilidades y amenazas expuestas en las plataformas informáticas y redes de la
entidad financiera.
En el primer capítulo, se analiza la problemática que atravesaba la entidad financiera,
teniendo como principal problema la deficiencia en el control de seguridad de las
plataformas que administra la entidad financiera, y de acuerdo a ello se plasma los
objetivos, se plantea los alcances, limitaciones y justificación de dicho proyecto.
En el segundo capítulo, se desarrolla el marco teórico donde se brindará los conceptos
teóricos con relación al proyecto, así como también el marco metodológico, donde se
define la metodología a usar en el que se detalla el procedimiento para la elaboración del
presente proyecto y por último el marco conceptual.
En el tercer capítulo, comprende el desarrollo del proyecto utilizando la metodología
defina, con una combinación de buenas prácticas de Scrum, PMBOK y la guía de IBM,
esta metodología está dividida en 5 fases que son inicio, planificación, implementación y
configuración, monitoreo y control y por último la fase de cierre.
Y para finalizar, en el cuarto capítulo se precisa los resultados logrados, así como el
análisis económico de la inversión para llevar a cabo el proyecto.
13
CAPITULO 1
ASPECTOS GENERALES
1.1. Definición del Problema
Descripción del Problema
Debido a los constantes ciberataques a las plataformas informáticas, cajeros
y a las redes a las entidades financieras, en muchas ocasiones ha sido
burlado la seguridad por atacantes de grandes bandas criminales que se
aprovechan de las brechas de las plataformas de seguridad, el cual se han
visto afectados perdiendo la disponibilidad de sus recursos en la red,
información confidencial y sensible y grandes pérdidas económicas que ha
perjudicado tanto a las entidades financieras como a los clientes de estos.
La entidad financiera que abordaré en la presente tesis no contaba con una
plataforma SIEM, una centralizadora de almacenamiento e interpretación de
eventos de seguridad (logs) de sus tecnologías de seguridad, servidores y
cajeros automáticos que le permitiera tener un mayor control, visibilidad
holística, detectar con precisión, análisis en tiempo real, priorizar las
amenazas y permita al área de seguridad tomar medidas ofensivas más
rápidamente ante ataques y vulnerabilidades.
Otro de los factores era la realización de configuraciones manuales, a pesar de
que son personas expertas en la ciberseguridad dejaban muchas brechas, y
cuando estaban siendo atacados, al SOC le tomaba mucho tiempo poder
detectar por donde están logrando ingresar los hackers, debido a que cuentan
con distintas tecnologías de seguridad (Firewall, EDS, IPS, EDR, DLP y AV)
14
que tienen que monitorear individualmente mientras que los hackers
actuaban en cuestión de segundos.
Se realizó la técnica del árbol de problemas, que se muestra a continuación:
Tabla 1: Árbol de problemas
Fuente: Elaboración Propia
15
Adicionalmente se muestra la tabla de problemas:
Tabla 1: Tabla de problemas
Cuadro de problemas
Descripción del problema: Deficiente control de seguridad de las plataformas
informáticas y redes que administra la entidad financiera.
Causas Efectos
1. Descentralización de alertas de Poca visibilidad holística y en tiempo real
las plataformas informáticas y de todos los eventos de seguridad.
redes de la entidad financiera.
2. Proceso de monitoreo de eventos Demora en la identificación de la causa o
de seguridad aislado. en solucionar un incidente de seguridad.
3. Las tecnologías de seguridad Sobrecarga laborar de monitoreo de eventos
generan demasiados eventos de de seguridad del SOC.
seguridad para monitorizar.
Tabla 2: Tabla de Problemas

Formulación del Problema
➢
General:
¿Cómo el control de seguridad de las plataformas informáticas y redes que administra
la entidad financiera dejaría de ser deficiente?
16
➢
Específicos:
- ¿De qué manera se puede mejorar la descentralización de alertas de las
plataformas de seguridad de la entidad financiera para obtener una
visibilidad holística?
- ¿Cómo el proceso de monitoreo de eventos de seguridad dejará de impactar
en el retraso de identificación de las causas de incidentes?
- ¿Cómo la gran cantidad de eventos recibidos a monitorear ya no provocará
sobrecarga laboral?
1.2. Definición de objetivos
1.2.1 Objetivo general
Implementar una solución Security Information and Event Management
(SIEM) para detectar vulnerabilidades y amenazas expuestas expuestas en
las plataformas informáticas y redes de una entidad financiera.
1.2.2 Objetivos específicos
• Integrar todas las plataformas de seguridad, cajeros automáticos,
servidores y redes a la tecnología SIEM para obtener una visibilidad
holística de todos los eventos y alertas de seguridad.
• Optimizar el tiempo de análisis de monitoreo de eventos de seguridad
para identificar rápidamente la causa de un incidente de seguridad.
• Disminuir la carga laboral de monitoreo de eventos de seguridad del SOC
identificando oportunamente vulnerabilidades y amenazas de seguridad.
17
1.3 Alcances y limitaciones
1.3.1 Alcances
Para la implementación de SIEM en la entidad financiera se ha considerado
los siguiente:
• Se definió los activos de información que se integrarán con el SIEM
(activos críticos) entre ellos cajeros automáticos.
• Se definió que sólo los eventos de seguridad
• Se definió las acciones de notificación de las alertas de acuerdo al
requerimiento de la entidad financiera.
• Se creó 11 reglas (casos de uso) customizados de acuerdo con solicitud
de la entidad.
• Desde Qradar sólo se monitorea eventos de seguridad.
• Se visualiza reportes y dashboard predefinidos.
1.3.2 Limitaciones:
Se cuenta con las siguientes limitaciones:
• El acceso a la plataforma SIEM solo es posible mediante navegadores
web y CLI.
• No se realizó la integración con dispositivos finales (endpoints) de la
entidad.
• Los reportes del SIEM solo se visualizan de manera gráfica.
• No se integró soluciones o sistemas operativos que no cuenten con
soporte del fabricante.
• No se generó propiedades personalizadas.
18
• No se generó reportes customizados.
• No se incluye la arquitectura de la infraestructura de la entidad por
motivos de privacidad y confidencialidad.
1.4 Justificación:
La tecnología y la digitalización de la información convierten a los datos en un
activo muy importante y sensible para todas las empresas, siendo necesarios
protegerlos ante vulnerabilidades y amenazas internas y externas de la
organización. A pesar de que hoy en día las técnicas de seguridad hacia los datos
y hacia la infraestructura de las comunicaciones están en auge, tales como
tecnologías de seguridad que permiten prevenir los ataques informáticos no son
absolutamente confiables y no son integrados, además, todos los equipos generan
una gran cantidad de eventos de seguridad y los administradores no cuentan con el
tiempo suficiente para monitorear evento por evento, es por esa razón que las
organizaciones necesitan una solución que realicen este monitoreo.
Hoy en día, las entidades financieras necesitan que la información que manejan
cumpla con los 3 pilares de la información: integridad, disponibilidad y
confidencialidad, por lo que es necesario tener una visibilidad y un control general
de todo lo eventos de seguridad que ocurren en la entidad financiera, para
salvaguardar data sensible tanto de la entidad como la de sus clientes.
Con la implementación de la solución SIEM, se logró mitigar consideradamente las
vulnerabilidades y amenazas de seguridad expuestos en las plataformas informáticas
y redes de la entidad financiera, además que ayuda a cumplir con los estándares de
seguridad PCI DSS (Estándar de Seguridad de Datos para la Industria
19
de Tarjeta de Pago) y la norma ISO7IEC 27001: Sistemas de gestión de seguridad
de la información, proporciona un estándar de calidad; entre otros.
20
CAPITULO 2
FUNDAMENTO TEÓRICO
2.1 Antecedentes
2.1.1 Tesinas Nacionales
2.1.1.1 Tesina Nacional N° 1
Antonio Inoguchi, Erika Macha (2017), Gestión de la ciberseguridad y
prevención de los ataques cibernéticos en las pymes el Perú, Lima, Perú.
❖
Objetivos
Objetivo General
21
Síntesis de la situación problemática planteada
Metodología
Para el desarrollo de este trabajo se aplicaron las siguientes fases:
➢
Definición del Alcance.
➢
Relevamiento.
➢
Planificación.
➢
Implantación.
➢
Conclusiones
22
2.1.1.2 Tesina Nacional N° 2
Goyo Guzmán (2015), Metodología para la seguridad de tecnologías de
información y comunicaciones en la clínica ortega, Huancayo, Perú.
❖
Objetivos
Objetivo General
Determinar el nivel de importancia de la metodología de seguridad de
tecnologías de información y comunicaciones que permita la continuidad de
procesos de la clínica Ortega cuyos servicios principales dependen de la
tecnología.
Metodología
La metodología se desarrolla en las siguientes fases:
➢
Definición del Alcance.
23
➢
Relevamiento.
➢
Planificación.
➢
Implantación.
Conclusiones
- Se logró la mejora del nivel de seguridad que es medido a través de la
asignación de valores, obteniéndose un valor inicial de 16 y final de 50.
- Para el desarrollo del modelo de seguridad de tecnologías de
información y comunicaciones se tuvo en cuenta Normas técnicas y las
recomendaciones del modelo ISO.
2.1.2 Internacional
Jorge Fernández, Juan Herrera, Juan Camilo (2019), Implementación de un
Security Information and Event Management (SIEM) en el comando de la
armada nacional, tesis presentada para obtener Especialización en Seguridad
Informática. Universidad Piloto de Colombia, Bogotá, Colombia.
Objetivos:
24
Síntesis de la situación problemática planteada
La Armada Nacional por medio de la implementación buscan monitorear, revisar,
prevenir y contrarrestar amenazas y/o vulnerabilidades que puedan atentar contra
la integridad, confidencialidad y disponibilidad de la información.
Metodología
Utilizaron una metodología a criterio de los autores, que cuenta con
las siguientes fases:
➢
Fase de descubrimiento
➢
Fase de diseño y análisis
➢
Fase de implementación
➢
Fase de pruebas
➢
Fase de documentación
25
Conclusiones
2.2 Marco Teórico
2.2.1 Seguridad Informática
Es la práctica de proteger la información mitigando los riesgos de la información.
Es parte de la gestión de riesgos de la información . Por lo general, implica
prevenir o al menos reducir la probabilidad de ataques cibernéticos
La seguridad informática debe garantizar:
➢
La Disponibilidad de los sistemas de información.
➢
La Integridad de la información.
➢
La Confidencialidad de la información.
Tipos de Seguridad
A) Seguridad de red
Este tipo de seguridad es necesario para evitar que un hacker acceda a datos
dentro de la red. También evita que afecten negativamente la capacidad de
sus usuarios para acceder o usar la red. Los más comunes incluyen:
26
• Virus, gusanos y troyanos
• Software espía y publicitario
• Ataques de hackers
• Ataques de denegación de servicio
• Intercepción o robo de datos
• Robo de identidad
B) Seguridad de Software
La seguridad de software se utiliza para proteger el software contra ataques
maliciosos de hackers y otros riesgos, las buenas prácticas de ingeniería de
software implican pensar en la seguridad al principio del ciclo de vida del
desarrollo de software, conocer y comprender las amenazas comunes,
diseñar para la seguridad y someter todos los artefactos de software a
análisis de riesgo objetivos exhaustivos y pruebas
C) Seguridad de Hardware
Garantizan la confianza, integridad y autenticidad de los circuitos integrados
(IC) y los sistemas electrónicos. Las soluciones de seguridad de hardware
pueden venir en forma de dispositivos de red: los cortafuegos, enrutadores e
incluso conmutadores pueden funcionar para proporcionar un cierto nivel de
seguridad. En general, estos dispositivos son computadoras dedicadas que
ejecutan software propietario.
27
2.2.2 Riesgos Informáticos
Los riesgos pueden ser definidos como una función de la probabilidad de que una
amenaza aproveche o explote una potencial vulnerabilidad en un activo de
información, y de la magnitud del daño resultante de tal evento adverso en la
organización.
2.2.3 Gestión de datos de registro
La administración de datos de registro es un componente central de cualquier
sistema SIEM a escala empresarial que permite:
✓
agrupar datos de registro de una variedad de fuentes diferentes, cada uno con su
propia forma de categorizar y registrar datos.
✓
reconocer patrones de comportamiento malicioso y generar notificaciones para alertar
al usuario para que tome medidas.
Ilustración 1: Gestión de datos de registro
28
2.2.4 Plataforma SIEM – Security Information and Event Management
El acrónimo inglés de SIEM corresponde a Security Information and Event
Management, es decir, un sistema de gestión de eventos y seguridad de la
información, son plataformas que proveen análisis en tiempo real de los eventos
de seguridad generados por los equipos de comunicación, servidores y todo lo que
estemos monitoreando.
Ilustración 2: Anatomía de un sistema SIEM
Tabla 3: Características y Ventajas SIEM

2.2.5 Proveedores SIEM
Existe una variedad de soluciones SIEM en el mercado tecnológico.
29
A) ArcSight Enterprise Security Manage
Esta plataforma proporciona análisis de seguridad de información y software
de inteligencia para la información de seguridad y la gestión de eventos
(SIEM) y la gestión de registros. Está diseñado para apoyar a los clientes a
detectar y priorizar las amenazas de seguridad, organizar y rastrear las
actividades de respuesta a incidentes y simplificar las actividades de auditoría
y cumplimiento. ArcSight se convirtió en una subsidiaria de Hewlett-Packard
en 2010.
Características
- Potente correlación de datos en tiempo real
- Automatización del flujo de trabajo y orquestación de la seguridad
- Matriz de permisos unificada y para múltiples usuarios
- Contenido de seguridad impulsado por la comunidad.
- Compatibilidad con ArcSight Data Platform y ArcSight Investigate
- Datos enriquecidos de eventos de seguridad
B) SolarWinds SIEM
Esta plataforma obtiene el analizador de registro de eventos y el consolidador
de gestión de forma gratuita como prueba. Los sistemas SolarWinds SIEM le
permiten ver registros en más de un sistema Windows. Puede filtrar sus
registros y patrones. Security Events Manager le brinda la capacidad de
evaluar y almacenar sus datos de registro históricos.
Es una herramienta excelente para aquellos que buscan explotar los registros
de eventos de Windows debido a la respuesta detallada a los incidentes y es
30
adecuada para aquellos que desean administrar activamente su infraestructura
de red contra futuras amenazas.
C) QRadar SIEM de IBM
Ventajas
- Visibilidad Completa y centralizado de registros, flujo y eventos
- Detección de amenazas en tiempo real
- Eliminar los procesos de seguimiento manual y permite a los analistas
enfocarse en la investigación y en la respuesta.
- Gestiona fácilmente la conformidad con las normas.
- Arquitectura escalable para soportar grandes implementaciones.
31
Ilustración 3: Plataforma Qradar
Principales características
- Aplica analítica integrada para detectar con precisión a las amenazas.
- Recopila eventos y flujos de red.
- Correlaciona actividades relacionadas para priorizar incidentes.
- Analiza y normaliza automáticamente los registros.
- Se integra inmediatamente con 450 tipos de soluciones.
- La arquitectura flexible puede implementarse on-premise o en la nube.
- Base de datos escalable, autogestionable y autosintonizable.
- Captura de carga útil de capa 7 hasta un número configurable de bytes
del tráfico sin cifrar.
- Amplias capacidades de búsqueda.
- Notificación por correo electrónico, entre otros.
32
- Supervise los cambios en el comportamiento del host y de la red que
podrían indicar un ataque o incumplimiento de políticas, por ejemplo:
o Fuera de horario o uso excesivo de una aplicación o patrones de
actividad de red inconsistentes con los perfiles históricos
o Priorización de presuntos ataques e infracciones de políticas
Arquitectura
Es una plataforma de inteligencia de seguridad que facilita una arquitectura
unificada para recolectar, almacenar, analizar y consultar datos de registro,
flujos de red, amenazas, vulnerabilidades y riesgos. Como resultado, los
operadores, analistas y auditores que utilizan cualquiera de los módulos de la
Plataforma de Inteligencia de Seguridad se benefician de:
• Arquitectura unificada de colección, agregación y análisis para eventos

de seguridad, datos de vulnerabilidad, datos de gestión de identidad y
acceso, archivos de configuración y telemetría de flujo de red; una
plataforma común para todas las funciones de búsqueda, filtrado,
escritura de reglas y generación de informes.
• Una interfaz de usuario única para toda la gestión de registros,

telemetría de flujo de red, modelado de riesgos, prioridades de
vulnerabilidad, detección de incidentes y tareas de análisis de impacto.
• La arquitectura flexible de IBM Security QRadar, que incluye la

colección, análisis y exposición de información de seguridad y de red,
33
permite a las organizaciones implementar una solución que se adapte a
sus requisitos específicos de gestión de seguridad de red.
Ilustración 4: Arquitectura QRadar All In One
IBM Security QRadar 3129
IBM Security QRadar 3129 es una plataforma todo en uno que utiliza capacidades
integradas de recopilación y correlación de flujos y eventos. Asimismo, son sistemas
cuyas características permiten ampliarse con procesadores de eventos, procesadores de
flujo, dispositivos de procesamiento de flujos y eventos combinados.
34
Estos sistemas pueden recopilar directamente datos de NetFlow, J-Flow, sFlow e
IPFIX. Asimismo, pueden utilizar QRadar QFlow Collector para la captura de
contenido y el análisis de datos de red.
El siguiente diagrama muestra un dispositivo todo en uno, que recopila datos de
orígenes de eventos y flujo, procesa los datos y proporciona una aplicación web
donde puede buscar, monitorear y responder a amenazas de seguridad.
Ilustración 5: Arquitectura de Implementación QRadar 3129
2.2.6 Monitoreo de Seguridad
Es la supervisión de la seguridad en un proceso automatizado de recopilación y
análisis constante de indicadores de posibles amenazas de seguridad, y luego evalúa
35
estas amenazas para la acción adecuada y así estar un paso por delante de las
amenazas cibernéticas.
2.2.7 Marcos de trabajo
I. Framework SCRUM
Tabla 4: Roles, características y actividades Scrum
36
Ilustración 6: Scrum Framework
Fuente: https://www.scrum.org/
II. PMBOK GUIDE
2.3 Marco Metodológico
La gestión de proyectos es la mejor práctica para el desarrollo progresivo, pero
para lograrlo debe contar con las herramientas, los recursos y el apoyo necesarios
para cumplir con los objetivos principales de la entidad. Actualmente se
consideran dos marcos principales para los cuales se hace referencia a las mejores
prácticas en la promoción de la gestión de proyectos, el PMBOK y SCRUM.
Proponen desarrollar una metodología para la gestión de proyectos basada en las
mejores prácticas de SCRUM y PMBOK, para proporcionar orientación a la
gestión del proyecto y así reducir la probabilidad de falla del proyecto.
La esquematización del método para una mejor comprensión del método
propuesto se realizó un diseño del método a manera de esquema tomando como
referencia el ciclo de vida del proyecto del PMBOK, SCRUM y la guía de
implementación de IBM, de tal manera que pueda ser entendido de manera
conceptual, como se aprecia en la siguiente ilustración:

Ilustración 7: Esquema de la metodología
2.4 Marco conceptual
Términos Clave
A. Activos
Los activos son los recursos del Sistema de Seguridad de la Información
ISO 27001, necesarios para que la empresa funciones y consiga los
objetivos que se ha propuesto la alta dirección.
B. Amenaza
Cualquier labor que es capaz de aprovechar alguna brecha y perjudicar un
sistema de información. Probabilidad de ocurrencia de un evento en un
periodo de tiempo.
C. Checker ATM Security
Checker es un S.O. desarrollado para los cajeros automáticos financieros,
siendo su principal objetivo proteger los procesos de transacciones financiera.
D. Confidencialidad
Implica proteger la información de tal forma que sólo sea conocida por las
personas autorizadas y se la resguarde del acceso de terceros.
E. Consola QRadar
La consola de QRadar proporciona la interfaz de usuario de QRadar y vistas de
eventos y flujos en tiempo real, informes, delitos, información de activos y
funciones administrativas. En las implementaciones distribuidas de QRadar

se usa la Consola QRadar para administrar hosts que incluyan otros
componentes.
F. Event Collector
El recopilador de sucesos recopila eventos de registro de fuentes locales y
remotas, y normaliza los eventos fuente del registro primas para darles
formato para su uso por QRadar. El Collector Evento haces o coalesce
eventos idénticos a el uso del sistema conserve y envía los datos al
procesador de eventos.
G. EPS
Eventos por segundo, los EPS es una medida que se utiliza para transmitir la
rapidez con que una red genera datos a partir de los dispositivos de
seguridad y/o qué tan rápido un producto SIEM puede correlacionar datos
de estos dispositivos.
H. Impacto
Probabilidad de impacto, si al presentarse el vector de amenaza es exitoso.
I. Integridad
Se refiere a los métodos para garantizar que los datos sean reales, precisos y
protegidos de modificaciones no autorizadas por el usuario.
41
J. Disponibilidad
La disponibilidad, en el contexto de un sistema informático, se refiere a la
capacidad de un usuario para acceder a información o recursos en una
ubicación específica y en el formato correcto.
K. Datos Sensibles
Son los datos privados que revelan opiniones políticas, convicciones
religiosas, economía e información referente a la salud o a la vida sexual
(Art.2°, de la ley peruana 29733 de protección de datos personales).
L. Logs
Un mensaje de log o registro es lo que genera un sistema de computadora,
dispositivo, software, etc. en respuesta a cualquier tipo de registro. El término
logs o registros realmente se usa para indicar una colección de mensajes que se
usarán colectivamente para “pintar una imagen” de alguna ocurrencia. Esta es
la base de información de todos los sistemas SIEM, estos logs van a ser
utilizados para extraer información útil, analizando y categorizando.
M. Log Source
Son las fuentes de registro de los dispositivos que son integrados a la
consola IBM Security QRadar, estos pueden ser equipos de red, de
seguridad, servidores Linux y windows, entre otros.
42
N. Riesgo
Es el potencial de que una amenaza dada aproveche las brechas de los
activos y, por lo tanto, cause daños a la empresa. Se mide en términos de
una combinación de la probabilidad de ocurrencia de un evento y su
consecuencia. Contingencia o proximidad a un daño.
O. SIEM
Las soluciones SIEM proporcionan una visión holística de lo que sucede en
una red en tiempo real y ayudan a los equipos de TI a ser más proactivos en
la lucha contra las amenazas de seguridad.
P. Vulnerabilidad
Es la falla en un sistema que puede dejarlo abierto a ataques.
Q. Wincollect
Es una función escalable de IBM Security QRadar que recopila eventos
basados en Windows utilizando su API del registro de eventos de sistema
para recopilar eventos y, a continuación, WinCollect envía los eventos a
QRadar mediante el protocolo syslog.
43
CAPITULO 3
DESARROLLO DE LA SOLUCIÓN
3.1 Desarrollo
La presente tesis está dividida por 5 fases según la propuesta metodológica basada
en Scrum, PMBOK y la Guía de implementación de IBM, las fases y actividades a
realizar son las siguientes:
Tabla 5: Fases de la Metodología
44
3.2 FASE DE INICIO DEL PROYECTO
3.2.1 Identificación de Recursos del Proyecto
3.2.1.1 Identificación de Stakeholders y Roles
Los Stakeholders son todas las personas que se han visto involucradas durante
la elaboración del proyecto.
STAKEHOLDERS
PUESTO NOMBRE ROL
Gerente de Operaciones Javier O. Product Owner
Jefe de Proyectos Alf F. Scrum Master
Especialista y Líder Joel C. ScrumTeam
(Implementing team)
(Monitoring team)
Analista de Seguridad I Mariella E. ScrumTeam
(Implementing team)
(Monitoring team)
Analista de Seguridad I Fernando P. ScrumTeam
(Monitoring team)
Cliente Entidad Financiera Business Owner
Tabla 6: Stakeholders
3.2.1.2 Identificación de Equipos
Dispositivo IBM Security QRadar 3129 (todo en uno) es un sistema QRadar
todo en uno que puede perfilar el comportamiento de la red e identificar las
amenazas de seguridad de la red.
45
Tabla 7: Características QRadar 3129
Ilustración 8:Servidor QRadar 3129
46
ETIQUETA DESCRIPCIÓN
1 Almacenamiento de datos de eventos
2 Puerto IMM (TX 1GbE)
3 Puertos de administración (10 GbE SFP +)
4 Puertos de canal de fibra (8 Gb SFP +)
5 Puertos de gestión (1 GbE TX)
Tabla 8:Descripción Servidor 3129
Licencias
CANTIDAD DESCRIPCIÓN
1 Licencia de instalación del software IBM QRadar +
Suscripción SW y soporte 12 meses
1 IBM QRadar Capacidad de eventos 2.5K Eventos por
segundo Licencia + Suscripción SW y soporte 12
meses
Tabla 9: Licencia QRadar 3129
47
3.2.2 Acta de Constitución del Proyecto
48
49
Ilustración 9: Acta de Constitución del Proyecto
50
3.3 FASE DE PLANIFICACIÓN DEL PROYECTO
3.3.1 Definición de alcance y limitaciones
3.3.1.1 Alcance
Para la implementación de SIEM en la entidad financiera se ha considerado
los siguientes puntos:
✓
Instalación y configuración del SIEM.
✓
Rackeo del equipo SIEM Qradar.
✓
Activación de licencias.
✓
Integración de 134 dispositivos a correlacionar en el SIEM del listado
de tecnologías por integrar.
✓
Se definió que la correlación es solo de eventos de seguridad.
✓
Se definió las acciones de notificación de las alertas de acuerdo con el
requerimiento de la entidad financiera.
✓
Se definió la creación de 11 reglas personalizadas.
✓
La visualización de reportes es predefinida por parte del equipo SIEM.
✓
Se hizo entrega de informes de configuración, reglas.
✓
Se hizo entrega del manual de uso.
✓
Se realizó la capacitación de 20 hrs.
3.3.1.2 Limitaciones
A continuación, se describe las limitaciones de la presente tesis:
▪
Se definió que el cliente es el encargado de realizar las configuraciones
a cada activo según el manual de integración de IBM.
51
▪
El acceso a la plataforma SIEM solo es posible a través de navegadores
web (Microsoft Internet Explorer, Google Chrome y Mozilla Firefox)
▪
Solo se integró activos propuestos por el cliente.
▪ Los dashboard son del propio SIEM solo se visualizan de manera gráfica.
▪
No se integró soluciones o sistemas operativos que no cuenten con
soporte del fabricante.
▪
No se generó propiedades personalizadas.
▪
No se generó reportes customizados.
▪
No se incluye la arquitectura de red por privacidad de la entidad
financiera.
3.3.2 Requisitos Pre-Implementación
La arquitectura de IBM Security QRadar admite implementaciones de diversos
tamaños y topologías, desde una implementación de host único, donde todos los
componentes de software se ejecutan en un solo sistema, hasta múltiples hosts,
donde dispositivos tales como Event Collectors y Flow Collectors, Data Nodes,
Event Los procesadores y los procesadores de flujo tienen roles específicos.
El objetivo principal del primer ejemplo de implementación es describir una única
implementación de dispositivo todo en uno para una empresa, dicho ejemplo que
será utilizado en el presente proyecto. Los ejemplos posteriores describen las
opciones de implementación a medida que la empresa se expande.
Los requisitos para su implementación de QRadar dependen de la capacidad de su
implementación elegida para procesar y almacenar todos los datos que desea
analizar en su red.
52
Antes de planificar su implementación, se consideró las siguientes preguntas al
cliente:
a) ¿Cómo usa su empresa Internet?
b) ¿Subes tanto como descargas? (Un mayor uso puede aumentar su exposición
a posibles problemas de seguridad.)
c) ¿Cuántos eventos por segundo (EPS) y flujos por minuto (FPM) necesita
monitorear? (Los requisitos de capacidad de licencia de EPS y FPM
aumentan a medida que crece la implementación.)
d) ¿Cuánta información necesita almacenar y por cuánto tiempo?
e) ¿Conoces las zonas más vulnerables de la infraestructura T.I.?
f) ¿Las búsquedas de información específicas son sencillas?
En una implementación de QRadar de host único, tiene un dispositivo QRadar todo
en uno que es un servidor único que recopila datos, como registros de datos de
eventos de syslog y eventos de Windows, y también datos de flujo, desde su red.
Las implementaciones de servidor único son adecuadas para empresas que
supervisan la actividad de la red y los eventos, como los servicios de autenticación
y la actividad del firewall.
Consideraciones:
Para que la funcionalidad del SIEM funcionen correctamente, se debe utilizar un
web compatible navegador.
La siguiente tabla enumera las versiones compatibles de los navegadores web:
53
Tabla 10: Navegadores soportadas por Qradar
3.3.3 Diagrama de Arquitectura
3.3.3.1 La empresa fabricante despliega un único servidor QRadar
El siguiente diagrama muestra un dispositivo Todo en Uno, que recopila datos
de orígenes de eventos y flujos, procesa los datos y proporciona una aplicación
web donde puede buscar, monitorear y responder a amenazas de seguridad.
Ilustración 10: Despliegue todo en uno
54
El dispositivo QRadar All-in-One realiza las siguientes tareas:
➢
Recopila datos de eventos y flujo de red, y luego normaliza los datos en
un formato de datos que QRadar puede usar.
➢
Analiza y almacena los datos e identifica las amenazas de seguridad.
➢
Proporciona acceso a la aplicación web QRadar.
➢
A medida que crecen sus fuentes de datos, o aumentan sus necesidades
de procesamiento o almacenamiento, puede agregar dispositivos para
expandir su implementación.
3.3.4 Cronograma de Actividades
La duración del proyecto duró 90 días laborales, a continuación, se muestra
el cronograma con las actividades realizadas en los días definidos.
NOMBRE DE TAREA DURACIÓN COMIENZO FIN
PROYECTO: Implementación de un
Security Information and Event 90 días lun 03/06/19 vie 04/10/19
Management (SIEM)
1. FASE DE INICIO 4 días lun 03/06/19 jue 06/06/19
1.1. Identificación de Recursos del

4 días lun 03/06/19 jue 06/06/19
Proyecto
1.1.1. Identificación de stakeholder 1 día lun 03/06/19 lun 03/06/19
1.1.2. Identificación de equipos 1 día mar 04/06/19 mar 04/06/19
1.2. Acta de constitución del proyecto 1 día mié 05/06/19 mié 05/06/19
2. FASE DE PLANIFICACIÓN 6 días vie 07/06/19 vie 14/06/19
2.1. Definición de alcance y limitaciones 1 día vie 07/06/19 vie 07/06/19
2.2. Requisitos pre-implementación 1 día vie 07/06/19 vie 07/06/19
2.3 Diagrama de Arquitectura 1 día lun 10/06/19 lun 10/06/19
2.4 Cronograma de actividades 1 día mar 11/06/19 mar 11/06/19
2.5 Identificación de Riesgos 1 día mié 12/06/19 mié 12/06/19
55
2.6 Costo de proyecto 1 día jue 13/06/19 jue 13/06/19
3. FASE IMPLEMENTACIÓN Y
52 días lun 17/06/19 mar 27/08/19
CONFIGURACIÓN
3.1 SPRINT 1: Implementación SIEM y

7 días lun 17/06/19 mar 25/06/19
Configuración
3.1.1 Implementación del SIEM 3 días lun 17/06/19 mié 19/06/19
3.2.2 Instalación de licencias 1 día jue 20/06/19 jue 20/06/19
3.2.3 Configuración en consola Qradar 1 día vie 21/06/19 vie 21/06/19
3.2.4 Rackeo de equipo 1 día lun 24/06/19 lun 24/06/19
3.2.5 Pruebas de configuración 1 día mar 25/06/19 mar 25/06/19
3.2 SPRINT 2: Integració n de equipos al 45 días mié 26/06/19 mar 27/08/19

SIEM
3.2.1 Planeamiento 2 días mié 26/06/19 jue 27/06/19
3.2.2 Procedimiento de integración 22 días lun 01/07/19 mar 30/07/19
3.3 SPRINT 3: Configuración de reglas 14 días jue 01/08/19 mar 20/08/19
3.3.1 Planeamiento 2 días jue 01/08/19 vie 02/08/19
3.3.2 Configuración de reglas 10 días lun 05/08/19 vie 16/08/19
3.3.3 Pruebas 2 días lun 19/08/19 mar 20/08/19
4. FASE Monitoreo y Control 15 días lun 26/08/19 vie 13/09/19
Monitoreo de eventos 15 días lun 26/08/19 vie 13/09/19
4.1 Monitoreo de eventos 7 días lun 26/08/19 Mar 03/09/19
4.2 Monitoreo de alertas 8 días mie 04/09/19 vie 13/09/19
5. FASE CIERRE 19 días lun 23/09/19 vie 04/10/19
5.1 Capacitación 5 días lun 23/09/19 vie 27/09/19
5.2 Acta de conformidad 3 días mié 02/10/19 vie 04/10/19
Tabla 11: Cronograma de actividades

56
3.3.5 Identificación de Riesgos
3.3.5.1 Impacto y Probabilidad
Los riesgos se calcularán multiplicando la cuantificación del impacto por la
cuantificación de la probabilidad de aparición. Tanto la cuantificación del
impacto como la de probabilidad de aparición, pueden tomar valores del 1 al
3 (bajo, medio y alto respectivamente). En consecuencia, la ponderación final
del riesgo puede tomar valores de 1 a 9.
Tabla 12: Impacto y Probabilidad

3.3.5.2 Ponderación de Riesgo
Tabla 13: Ponderación de Riesgo

57
3.3.5.3 Identificación de Riesgos
Tabla 14: Riesgos durante del proyecto

3.3.5.4 Matriz de Riesgo
Tabla 15: Matriz de Riesgo

58
Una vez definidos los riesgos del proyecto y la categoría a la que pertenecen
por el tipo de impacto que causan, se creó la matriz de riesgos donde se puede
apreciar el nivel de impacto, la importancia y el nivel de riesgo.
3.3.5.5 Plan de Contingencia
A continuación, se define el plan de contingencia que describe las acciones
que permiten mitigar el riesgo.
Tabla 16: Plan de Contingencia

59
3.3.6 Costo del Proyecto
Para poder definir el flujo de caja es fundamental detallar en primer lugar el
costo de los recursos que se utilizarán en el proyecto como:
➢
Materiales y equipos
➢
Servicios de Recursos Humanos
➢
Equipo SIEM
3.3.6.1 Costos en Materiales y Equipos
A continuación, se detallan los materiales, insumos y equipos que se
utilizaron durante el tiempo de la implementación.
Tabla 17: Costos en Materiales y Equipos

3.3.6.2 Costo de Recursos Humanos
A continuación, se detallan los gastos de recursos humanos para el proyecto:

➢
Las semanas de esfuerzo.
➢
El costo semanal.
➢
El sueldo total.
60
Tabla 18: Costo de Recursos Humanos
3.3.6.3 Costo en Equipo
A continuación, se detallan el gasto del equipo SIEM para el proyecto:
Tabla 19 Costo en Equipo

3.3.7 Planificación de SPRINT’s
Para el desarrollo de cada Sprint se han planificado revisiones y entregables
para validar los avances logrados y así generar de manera retrospectiva las
acciones de mejora para los siguientes sprints.
61
SPRINT N° 1
Tabla 20: Planificación del Sprint N° 1

SPRINT N° 2
Tabla 21: Planificación del Sprint N° 2

62
SPRINT N° 3
Tabla 22: Planificación del Sprint N°3

3.3.7.1 Definición de TaskBoard
TaskBoard Inicial
Se presenta el Taskboard de desarrollo inicial del proyecto con todas las historias
y la condición inicial de cada uno de los Sprint.
INICIO: 17/06/2019
FIN: 25/06/2019
Sprint's Historia de Usuario Pendiente En Curso Hecho
Sprint 1 Definición de Requisitos Pre- ✓
Implementación
Implementación del SIEM ✓
Instalación de licencias ✓
Configuración en consola ✓
QRadar
Rackeo del equipo ✓
Pruebas de configuración ✓
Sprint 2 Validaciones de recepción de ✓
paquetes de logsource
Integración de activos al ✓
QRadar
63
Sprint 3 Análisis de 11 reglas ✓
Configuración de 11 reglas ✓
Tabla 23: TaskBoard Inicial

3.3.7.2 Pruebas de Sprint’s
Se definió pruebas al finalizar cada Sprint completando el siguiente formulario,
para asegurar la calidad de cada sprint.
Tabla 24: Formato de Pruebas de Sprint’s

64
3.4 FASE IMPLEMENTACIÓN Y CONFIGURACIÓN
3.4.1 SPRINT 1: Implementación y Configuración de SIEM
3.4.1.1 Implementación SIEM
I. Backlog
Tabla 25: Backlog

II. Historia de Usuario
Tabla 26:Historia de Usuario 01

65
III. Daily Scrum 1
Ilustración 11: Daily Scrum 1 - Sprint 1

IV. Proceso de Instalación SIEM
1. Seleccionar Instalar Red Hat Enterprise Linux 7.3 cuando se le presente un
menú de opciones, como en la siguiente imagen:
Ilustración 12: Instalando Red Hat Enterprise Linux 7.3
66
2. Seleccionar el tipo de instalación, el hardware y el software que vienen de
IBM (comprado como un dispositivo).
Ilustración 13: Appliance Install
3. Luego seleccione el tipo de configuración, en este caso es una instalación

normal
Ilustración 14: Tipo de instalación
67
4. Luego, se configura la fecha y la hora manualmente. También puede
configurar el servidor horario, ya sea por hostname o IP.
Ilustración 15: Configuración de fecha, hora e IP
5. Luego se configura la zona horaria del dispositivo
Ilustración 16: Selección de zona horaria
68
6. Luego se configura la interfaz de red
Ilustración 17: Interfaz de red
7. Luego, se selecciona la interfaz de administración. En este caso, solo

tenemos una NIC,
Ilustración 18: Configuración de la interfaz de administración
69
8. Se ingresa la información de red (como la dirección IP, el nombre de
host, la máscara de red, etc.), se debe completar el dominio.
Ilustración 19: Configuración de Red
9. Se ingresa la contraseña de administrador, que es la contraseña para el

administrador del usuario y se utiliza para iniciar sesión a través del
acceso web. Luego se configura la contraseña de root. Esta contraseña
raíz es el usuario para el acceso SSH (CLI)
Ilustración 20: Configuración de credencial
70
10. En este punto, el instalador continúa su proceso automáticamente.
Ilustración 21: Carga de configuración
11. Cuando se completa el proceso de instalación, recibe la notificación que

se muestra en la Figura.
Ilustración 22: Proceso de instalación completa
71
V. Daily Scrum 2
3.4.1.2 Instalación de Licencias
Una vez que se completa el proceso de instalación, debe aplicar la licencia.
Procedimiento para aplicar la licencia:
1. Se inició sesión en la consola web de QRadar. Usamos la IP que
configuró en la consola de QRadar:
https: // <dirección IP de la consola>
2. Luego, se inicia sesión con el administrador de usuario y las
credenciales establecidas durante la instalación.
Ilustración 24: Pagina de Logueo
72
3. Ingresamos a la pestaña administrador y entramos a “System and License
Managment”
Ilustración 25: Pestaña Administrador Qradar
4. Desde la ventana emergente, hacemos clic en el menú Cargar licencia.
Ilustración 26: System and License Managment
5. Examinamos para seleccionar el archivo de licencia para el dispositivo
deseado, en este caso es para una consola. Después de seleccionar, damos
clic en el botón “Cargar licencia”.
Ilustración 27: Integración de equipos al SIEM
73
6. Después de cargar la licencia en la consola, debe asignarla al dispositivo
correcto. En el menú Sistema y Administración de licencias,
seleccionamos la pantalla de licencias, haga clic en la licencia y luego
haga clic en Asignar licencia al sistema.
Ilustración 28: Carga de Licencia
7. Después de aplicar y asignar la licencia al dispositivo correcto, haga
clic en Implementar cambios de licencia y luego en Continuar.
Ilustración 29: Activación de Licencia
74
8. En este punto, el dispositivo ya está listo para comenzar a funcionar.
Aparece el mensaje "No hay cambios para implementar" desde la pestaña
Administrador.
Ilustración 30: Licencia activada
VI. Daily Scrum 2
Ilustración 31:Daily Scrum 3 - Sprint 1

3.4.1.3 Configuración en Consola Qradar
Se realizó el siguiente procedimiento para realizar la configuración de la

consola QRadar.
75
1) Ingresar a la consola de QRadar e ir al Menu y seleccionar Admi
Ilustración 32: Ingreso a consola de Qradar

2) Ingresar en Tenant Management para crear o editar algún Tenant.
Ilustración 33: Panel de Administración para agregar Tenant

3) En la ventana, hacer click en “Add”, llenar con los datos del cliente
como Nombre y Descripción, y finalizar con Crear.
Ilustración 34: Ventana para configurar Tenant
4) Luego, se debe crear un Log Source, ingresando donde indica la
imagen.
Ilustración 35: Panel de Administración para agregar Log Source

5) Hacer click en “New Group” y nuevamente llenar con los datos del
cliente, Nombre y Descripción. Click en Ok.
Ilustración 36: Ventana para configurar Log Source
6) Volver al panel de administración e ingresar en el Gestor de Dominios.
Ilustración 37: Panel de Administración para agregar Dominio
79
7) Crear un nuevo dominio ingresando en “Add”, completar con el
nombre del cliente y descripción, ir a la pestaña “Events” y luego a
“Log Sources”, seleccionar la carpeta asociada al cliente y click en
“Add”. Finalizar con “Create”.
Ilustración 38: Ventana para asociar Log Source al dominio del Cliente
80
8) Finalmente, se asocia el Tenant creado al dominio del cliente. Seleccionar
el cliente específico en la lista de dominios e ingresar en “Assign Tenant”.
Seleccionar el Tenant correspondiente y Guardar.
Ilustración 39: Ventana para asociar Tenant a Cliente
VII. Daily Scrum

81
3.4.1.4 Rackeo del Equipo
Para realizar el rackeo correctamente y evitar lesiones personales o daños al
equipo se tomó las siguientes consideraciones:
1) La instalación se realizó entre 2 personas con implementos adecuados de
seguridad (Botas punta de acero, Cascos y guantes) y las herramientas
para el rackeo (Destornillador, Tuercas y Tornillos).
2) Las personas se aseguraron de que el equipo de QRadar se coloque
sobre una superficie estable antes de la instalación de montaje en rack.
3) Se revisó que el tipo de Rack que posee el cliente (debe ser un rack de
comunicaciones).
4) Se colocó las cuatro tuercas de soporte en la unidad de Rack asignada,
dejando un espacio de por medio.
Ilustración 41: Colocación de tuercas
5) Se Fijó los soportes de montaje del SIEM a los lados de la unidad con
los tornillos suministrados. Los mangos deben estar alineados con la
parte frontal de la unidad.
82
Ilustración 42: Soporte de montajes
6) Se colocó el equipo SIEM en el Rack. asegurándonos de que haya
suficiente espacio en torno al equipo para permitir el flujo de aire
suficiente.
7) Se alineó el equipo con los orificios del soporte en el rack y
asegurándonos de que el equipo este nivelado.
Ilustración 43: Rackeo de equipo
8) Se apretó los cuatro tornillos de montaje en rack para conectar la unidad.
9) Con el cable de alimentación suministrado, se conectó el cable en la
parte trasera del equipo y luego a una toma eléctrica.
83
10) Se validó el tipo de conector de energía eléctrica que posee el Rack, los
equipos SIEM de QRadar viene con el conector siguiente:
Ilustración 44: Conector de energía eléctrica
11) El equipo SIEM tiene una fuente de alimentación redundante, cada cable
de alimentación se conectó a una fuente de alimentación diferente. De
esta forma, si una fuente de poder falla, la otra puede seguir siendo
operativa y el equipo no se apaga.
12) Se encendió la unidad con el interruptor “on” en la parte posterior del
dispositivo.
3.4.1.5 Pruebas de Configuración del ECM
Se ejecutan los siguientes comandos para comprobar la correcta instalación
de NRPE, SNMP y Firewall.
Antes de iniciar las pruebas, es necesario reiniciar el equipo.
84
1. Qradar Deploy status
Loguearse en la consola Qradar, ir a la opción QDI y seleccionar el
ECM a validar. El recuadro debe estar en color verde.
Ilustración 45: Estado del ECM
2. Conectividad al iniciar ECM
Revisar que al iniciar el ECM, la interfaz de red levante
automáticamente y se pueda generar conectividad hacia el ECM. Desde
otra máquina generar ping al ECM.
3. SNMP
Ejecutar el siguiente comando:
snmpwalk -v 2c -c neo-cp <IP MAQUINA>
Si el script funciona, se asume que está bien instalado.
85
4. Firewall
Se debe validar que exista la regla para el NAT de salida con la VPN,
que esté permitido el ping y el acceso SSH.
→
Donde “X” Octeto del site [ 187(TMX) | 186 (TIC)
→
] Donde “Y” Octeto del cliente
En el archivo:
cat /opt/qradar/conf/iptables-nat.post
Debe existir la regla:
-A OUTPUT -p tcp -d 10.4.0.68 --dport 22 -j DNAT --to-destination
10.X.Y.68:22
En el archivo:
cat /opt/qradar/conf/iptables.pre
Debe existir la regla
Validar que dichas reglas estén aplicadas en el iptables:
Iptables –nL –t nat
86
5. Backup
Ejecutar los siguientes scripts en el ECM:
/backup/backup-in-rcm-fisico.sh
/backup/backup-in-rcm-virtual.sh
De operar correctamente, se creará un archivo en la ruta /backup/ si el
ecm es físico o /store/backup/ecm si el ecm es virtual con el siguiente
nombre backup.HOSTNAME.FECHA.tar.gz
6. Llave SSH NAS
Validar que esté el archivo con llave de conexión desde el
NAS. less /root/.ssh/authorized_keys
7. RSYNC
Validar que el RSYNC esté instalado.

rsync
8. TELNET
Validar que el TELNET esté
instalado. telnet
9. TCPDUMP
Validar que el TCPDUMP esté instalado.
Tcpdump
87
10. Editor de Texto
Validar que los editores de texto estén instalados.
Nano y luego vim
11. Traceroute
Validar que el TRACEROUTE esté
instalado. traceroute
12. NTP
Validar que el NTP esté
instalado. ntpd
13. Zona horaria
Validar que la hora y zona horaria esté configurada correctamente
Date
VIII. Daily Scrum
88
3.4.1.5.1 Informe de Prueba Funcional
Ilustración 47: Informe de Prueba Funcional

89
3.4.1.6 Revisión de Sprint – Semana 1
Tabla 27: Revisión de Sprint S1
3.4.2 SPRINT 2: Integración de equipos SIEM
3.4.2.1 Planeamiento de Integración
I. Backlog
Tabla 28: Backlog Sprint 2
90
II. Historia de Usuario
Ilustración 48: Historia de Usuario 02
III. TaskBoard
Tabla 29: TaskBoard 02
91
IV. Daily Scrum 1

3.4.2.2.1 Definición de Requisitos Pre-Integración
Requisitos técnicos para el inicio de integración a producción
En la definición de las fuentes a integrar se considera que el log source tiene
las siguientes características:
El log source está incluido en el listado de la guía de configuración DSM,
disponible en el siguiente sitio web:
http://public.dhe.ibm.com/software/security/products/qradar/documents/i
T
eam_addendum/b_dsm_guide.pdf
El log contiene los datos que se requieren y mensajes que permiten
identificar las entradas y/o secuencias para el desarrollo de casos de uso, por
ejemplo, códigos; para mayor información consulte el diccionario de datos
del fabricante del log Source.
Lista de Log Source
En la siguiente tabla se muestran los dispositivos log source a integrar en
IBM Security QRadar y la referencia al capítulo en donde se encuentran los
requisitos y procedimientos sugeridos para la configuración de la fuente.
92
Ilustración 50: Lista de Log Source
V. Daily Scrum 2
3.4.2.2.2 Manual de procedimiento de configuración de equipos
Con este manual los administradores de los equipos y servidores
podrán guiarse para realizar las configuraciones siguiendo los pasos
de acuerdo con cada tecnología
93
A) Cisco Firepower Management Center
Ilustración 52: Logo Cisco
Se debe generar certificados en la interfaz Firepower y agregarlos en
Qradar:
1. Inicie sesión en su interfaz de Cisco Firepower Management Center.
a. Si está utilizando la versión 5.x, seleccione Sistema> Local>
Registro.
b. si. Si está utilizando la versión 6.x, seleccione Sistema>
Integración.
2. Click en el botón eStreamer. 3. Seleccionar los tipos de eventos que
desea que Cisco Firepower Management Center envíe a QRadar y luego
haga clic en Guardar. La siguiente imagen enumera los tipos de eventos
que Cisco Firepower Management Center envía a QRadar.
94
Ilustración 53: Cisco Firepower Management Center Event Configuration
4. Click en crear cliente en la parte superior derecha de la ventana.
5. En el Hostname field, tipear la IP o el nombre, dependiendo de
cuál de las siguientes condiciones se aplica a sus entornos.
• Si usa una Consola QRadar o usa un dispositivo Todo en
Uno QRadar para recopilar eventos de eStreamer, escriba la
dirección IP o el nombre de host de su Consola QRadar.
• Si utiliza un QRadar Event Collector para recopilar eventos
de eStreamer, escriba la dirección IP o el nombre de host del
Event Collector.
• Si usa QRadar High Availability (HA), escriba la dirección
IP virtual.6.
95
En el campo Contraseña, escriba una contraseña para su certificado.
Si elige proporcionar una contraseña, se requiere la contraseña para
importar el certificado.
7. Clic en Guardar. El nuevo cliente se agrega a la lista de clientes de
eStreamer y el host puede comunicarse con la API de eStreamer en
el puerto 8302.
8. Haga clic en Descargar certificado para su host para guardar el
certificado pkcs12 en una ubicación de archivo.
9. Haga clic en Aceptar para descargar el archivo.
96
B) Cisco Catalyst
1. Inicie sesión en su interfaz de usuario de Cisco CatOS.
2. Escriba el siguiente comando para acceder al modo EXEC
privilegiado: habilitar
3. Configure el sistema para los mensajes de marca de
tiempo: establecer la marca de tiempo de registro habilitar
4. Escriba el siguiente comando con la dirección IP de IBM QRadar:
configurar el servidor de registro <dirección IP>
5. Limite los mensajes que se registran seleccionando un nivel de
gravedad:
establecer la gravedad del servidor de registro <nivel de gravedad del
servidor>
6. Configure el nivel de instalación que se utilizará en el mensaje. El
valor predeterminado es local7.
establecer la instalación del servidor de registro <parámetro de la
instalación del servidor>
7. Active el interruptor para enviar mensajes de syslog al
QRadar. configurar el servidor de registro habilitar
97
C) Linux
Ilustración 54: Logo Linux
1. Ingresar al equipo Linux OS, como usuario root.
2. Editar el archivo /etc/syslog.conf.
3. Agregar la siguiente información: authpriv.* @{ ip del ecm}
4. Guardar el archivo.
5. Reiniciar el proceso de syslog con el siguiente comando: service
syslog restart.
D) Windows
Ilustración 55: Logo Windows
Se deben tener las siguientes consideraciones:
98
Se debe contar con las credenciales de un usuario que pertenezca al
grupo de “Lectores del registro de eventos”. Para agregar al usuario en
el grupo requerido:
1. Ejecutar desde cmd el comando: lusrmgr.msc
2. Click en “grupos”.
3. Click derecho en “Lectores del registro de eventos”. Click en
“propiedades”.
4. Click en “agregar” y escoger el usuario.
5. Click en “Aplicar”.
6. Click en “Aceptar”.
✓
Habilitar la Opción “Administración remota de registro de
eventos”, check en dominio y doméstica.
1. Dirigirse a “Panel de control”.
2. Click en “Sistema y seguridad”.
3. En el apartado de “Firewall de Windows” dar click en
“Permitir un programa a través de Firewall de Windows”.
4. Check en “Administración remota de registro de eventos”,
5. Check en las columnas “Dominio” y “Doméstica/Trabajo”.
6. Click en “Aceptar”
✓
Validar que no existan reglas de bloqueo del Firewall entre el host y el
WinCollect. (Validarlo con el administrador)
Se detalla en el Anexo 01 el manual de configuración de envío de syslog de
las demás tecnologías que fueron integradas al SIEM.
99
3.4.2.2 Procedimiento de integración
QRadar SIEM puede descubrir automáticamente Log Sources en su
implementación cuando envían mensajes solo de syslog a una dirección IP
del Event Collector.
Nos dirigimos a la pestaña “Admin”, buszamos la zona de “Data Sources” y
entramos a la opción “Log Sources”
Ilustración 56: Configuración Log Source
1. Nos mostrará una ventana emergente donde se registran todos los logsource de
acuerdo con el tipo de tecnología, para agregar un logsource hacemos clic en
“Add”
Ilustración 57: Añadir Log Source
2. Nos mostrará la siguiente ventana, donde procederemos a registrar el logsource,

de acuerdo con el manual de configuraciones de tecnologías a integrar en
Qradar de IBM se completa los campos.
100
Ilustración 58: Configuración ventana Log Source
3. Una vez completados los campos, guardamos.
Ilustración 59: Configuración completada de Log Source
101
4. Seleccionamos el logsource y deshabilitamos y volvemos a habilitarlo.
Ilustración 60: Habilitar Log Source
5. Cerramos la pestaña emergente, y nos dirigimos a la pestaña “admin” de la consola web y damos clic en “Deploy Changes” para
implementar los cambios configurados.
Ilustración 61: Deployar cambios

6. Nos dirigimos a la pestaña “Log Activity” para visualizar los eventos que recepciona el SIEM en tiempo real.
Ilustración 62: Sector Log Activity
103
3.4.2.3 Informe de Prueba Funcional
Ilustración 63: Informe de Prueba Funcional
VI. Daily Scrum

3.4.2.4 Revisión de Sprint – Semana 2
Tabla 30: Revisión de Sprint S2
3.4.3 Configuración de Reglas
3.4.3.1 Planeamiento
I. TaskBoard
Tabla 31: TaskBoard 2
105
VII. Daily Scrum

3.4.3.1.1 Definición de Requisitos Pre-Configuración
1. Para iniciar con la configuración de reglas primero se debe definir
los casos de uso en una lista, en conjunto con el sponsor de
acuerdo a las necesidades prioritarias que tengan.
Tabla 32: Pre Requisitos de Configuración
106
3.4.3.2 Configuración de reglas
Las reglas, a veces llamadas reglas de correlación, se aplican a eventos,
flujos u ofensas para buscar o detectar anomalías. Si se cumplen todas las
condiciones de una prueba, la regla genera respuesta.
Las reglas personalizadas prueban eventos, flujos y delitos para detectar
actividades inusuales en la red. Se puede crear nuevas reglas utilizando
combinaciones AND y OR de pruebas de reglas existentes. Las reglas de
detección de anomalías prueban los resultados de búsquedas guardadas de
flujo o eventos para detectar cuándo ocurren patrones de tráfico inusuales en
su red. Las reglas de detección de anomalías requieren una búsqueda
guardada que se agrupa alrededor de un parámetro común.
Las reglas recopilan eventos de fuentes locales y remotas, normalizan esto
normalizan estos eventos y los clasifican en categorías de bajo y alto nivel.
El motor de reglas (CRE) procesa eventos y los compara con reglas
definidas para buscar anomalías. Cuando se cumple una condición de regla,
el procesador de eventos genera una acción que se define en la respuesta de
la regla. La CRE rastrea los sistemas que están involucrados en incidentes,
contribuye eventos a ofensas y genera notificaciones.
QRadar crea un delito cuando los eventos, los flujos o ambos cumplen con
los criterios de prueba que se especifican en las reglas.
107
QRadar analiza la siguiente información:
• Eventos y flujos entrantes
• Información de activos
• Vulnerabilidades conocidas
La regla que creó el delito determina el tipo de delito.
El magistrado prioriza los delitos y asigna el valor de magnitud en función
de varios factores,
incluyendo número de eventos, severidad, relevancia y credibilidad.
Bulding Blocks
Un bloque de construcción es una colección de pruebas que no dan como
resultado una respuesta o una acción.
Un bloque de construcción agrupa las pruebas de uso común para construir
una lógica compleja para que pueda reutilizarse en las reglas.
VIII. Daily Scrum

108
3.4.3.3.1 Procedimiento de creación de reglas
1. Para la configuración de reglas, nos ubicamos en la pestaña
“Ofensas” de la plataforma y entramos al segmento “Reglas”
Ilustración 67: Pestaña reglas del SIEM
2. En la lista Acciones, seleccione un tipo de regla.
Cada tipo de regla prueba contra datos entrantes de diferentes
fuentes en tiempo real. Por ejemplo, evento
las reglas prueban los datos de origen de registro entrantes y las
reglas de delito prueban los parámetros de un delito para
desencadenar.
Por defecto el SIEM viene configurado más de 400 reglas que
ayudan para identificar vulnerabilidades, comportamiento
sospechoso de usuarios y amenazas de seguridad, de la cual se
deben afinar de acuerdo al entorno de la entidad financiar.
109
3. En la página Editor de pila de prueba de reglas, en el panel
Regla, escriba un nombre único al que desee asignar esta regla en
el cuadro de texto Aplicar.
4. En el cuadro de lista, seleccionar Local o Global.
5. Si las pruebas de una regla coinciden, la regla genera las
acciones y respuestas configuradas, como estos ejemplos:
o Crear una ofensa
o Agregar una anotación
o Enviando un correo electrónico
o Generando notificaciones del sistema que se muestran en el
dashboard.
110
Ilustración 68: Lista de reglas predeterminadas
Ilustración 69: Asistente de regla
Ilustración 70: Configuración de acción de regla

3.4.3.3.2 Lista de reglas configuradas
Se detalla las 11 reglas que fueron configuradas.
1) Múltiples fallas de inicio de sesión en el mismo destino.
Informa cuando ocurre un evento de falla de autenticación al menos 10
veces en la misma dirección IP de destino desde una dirección IP y un
nombre de usuario diferentes en 5 minutos.
Ilustración 71: Reglas 1
113
2) Cargar ISO2700 Bulding Blocks
Esta regla carga los componentes básicos necesarios para completar los
informes ISO 27001: 2013
114
3) Correo electrónico que contiene archivos confidenciales enviados a
un host potencialmente hostil.
Esta regla se activa cuando se envía un correo electrónico que contiene un archivo
confidencial a un host que es conocido por actividades hostiles, como phishing,
spam, malware, botnet command and control, o cryptocurrency mining. El conjunto
de referencia archivos en directorios confidenciales se completa con la regla
archivos en directorios de archivos confidenciales.
115
4) Detectar ataques DDoS
Informa sobre ataques denegados del servicio (DoS) de red en un sistema.
116
5) Fuente de ataque de múltiples vectores
Esta regla detecta cuando un host de origen intenta múltiples vectores de
ataque, esto puede indicar que el host de origen se dirige específicamente
a un activo.
117
6) Denegaciones excesivas en el firewall desde un localhost
Reporta intentos excesivos desde un host local, a través de múltiples hosts,
para acceder al firewall y se deniega el acceso. Se detectan más de 40
intentos en al menos 40 direcciones IP de destino en 5 minutos.
118
7) Limpieza fallida de Malware o Virus
El sistema detectó un virus y no pudo limpiarlo o alejarlo
Ilustración 77:Reglas 7
119
8) Usuario de alto privilegio que realiza acciones sospechosas
Esta regla se activa cuando un rol de usuario cambia en un privilegio
superior (por ejemplo, Administrador), seguido de actividades sospechosas.
Esta acción puede indicar que un usuario cambia los permisos para realizar
acciones maliciosas o accede a máquinas no autorizadas.
120
9) Informa un inicio de sesión exitoso en un host después de que se haya
realizado el reconocimiento en la red.
Informa un inicio de sesión exitoso en un host después de que se haya realizado el
reconocimiento en la red.
121
10) Fuente vulnerable a cualquier exploit.
Informa un ataque desde un host local donde la fuente tiene al menos una
vulnerabilidad. Es posible que la fuente haya sido atacada en un delito
anterior.
122
11) Comportamiento de Ransomware de los registros de eventos de
seguridad de Microsoft Windows
Esta regla se activa cuando los eventos de acceso / modificación de archivos que
provienen del sistema Microsoft Windows se observan a una velocidad muy alta en
un corto período de tiempo. La activación de esta regla indica un posible
comportamiento de ransomware en el sistema
123
3.4.3.3 Pruebas
Tabla 33: Prueba de Funcionalidad 03
IX. Daily Scrum

124
3.5 FASE MONITOREO Y CONTROL
3.5.1 Monitoreo de Eventos
El análisis realizado de los eventos genéricos de los logs Source en el SIEM, ayuda
a que varios eventos puedan ser agrupados y analizados como uno solo, esto debido
a que representan diferentes tipos de acciones que pueden llegar a generar un
evento en común, cada evento maneja un ID único.
El modo de transmisión le permitirá ver los datos de eventos que ingresan a su
sistema. Este modo te proporciona una vista en tiempo real de la actividad de su
evento actual al mostrar los últimos 50 eventos.
La correlación de eventos permite diseñar alarmas que puedan aumentar el análisis
del riesgo, esto debido a que al relacionar dos eventos se puede llegar a disminuir
en gran medida los falsos positivos, como es el caso puntual de un login fallido, por
si sólo no representa un riesgo alto a no ser que después de varios intentos fallido o
de fuerza bruta se logre ingresar al sistema operativo, por lo que al realizar la
correlación con un evento de login exitoso se asegura que hay un riesgo crítico.
Si aplica algún filtro en la pestaña Actividad de registro o en sus criterios de
búsqueda antes de habilitar el modo de transmisión, Los filtros se mantienen en
modo de transmisión.
Sin embargo, el modo de transmisión no admite búsquedas que incluyen eventos
agrupados. Si habilita el modo de transmisión en eventos agrupados o criterios de
125
búsqueda agrupados, la pestaña Actividad de registro muestra los eventos
normalizados.
Procedimiento
1. Haga clic en la pestaña Actividad de registro.
2. En el cuadro de lista Ver, seleccione Tiempo real (transmisión).
3. Opcional. Pausa o reproduce los eventos de transmisión. Elige una de las
siguientes opciones:
• Para seleccionar un registro de evento, hacer clic en el icono “stop” para detener
la transmisión.
• Para reiniciar el modo de transmisión, haga clic en el icono Reproducir.
La normalización implica analizar datos de eventos sin procesar y preparar los
datos para mostrar información legible sobre la pestaña. Cuando los eventos se
normalizan, el sistema también normaliza los nombres. Por lo tanto, el nombre que
se muestra en la pestaña Actividad de registro podría no coincidir con el nombre
que se muestra en el evento.
Con la pestaña Actividad de registro, puede ver los eventos agrupados por varias
opciones de la lista de “Display” puede seleccionar el parámetro por el que desea
agrupar eventos.
A continuación, se muestra los eventos de seguridad que llegan de las tecnologías
integradas al SIEM en la pestaña “Log Activity”.
126
Ilustración 83: Log Activity
Ilustración 84: Log Activity 1
128
129
130
Cuando desee seleccionar un evento para ver detalles o realizar una acción, debe pausar la transmisión antes de hacer doble clic en un
evento, luego de dar doble clic se visualizará la siguiente ventana, donde detalla toda la información de los eventos.
131
132
133
134
Se puede evidenciar que durante el tiempo que se realizó el monitoreo de eventos después de realizar la integración al SIEM, se está
recibiendo eventos de seguridad satisfactoriamente y sin ninguna pérdida de información de eventos.
135
3.5.2 Monitoreo de Alertas
3.5.2.1 Dashboard
QRadar SIEM muestra la pestaña Dashboard cuando inicia sesión, para monitorear
el comportamiento de su evento de seguridad. Proporciona un entorno de espacio
de trabajo que admite múltiples paneles en los que puede mostrar las vistas de
seguridad de red, actividad o datos que se recopilan. Los dashboard permiten
organizar los elementos de panel de control en vistas funcionales, que le permiten
enfocarse en áreas específicas de su red. Dentro de esta sección se visualiza 8
dashboards puede, también se puede crear múltiples dashboard, cada Dashboard
puede contener elementos que proporcionan información resumida y detallada.
Ilustración 92: Dashboard

Ilustración 93: Dashboard Checker
Ilustración 94: Dashboard Monitoreo de Infraestructura
Ilustración 95: Dashboard Threat and Security Monitoriing
Ilustración 96: Dashboard Vulnerability Management
3.5.2.2 Reporte
La pestaña de reportes o también llamados informes permite crear, distribuir y
gestionar informes para los datos en QRadar.
➢
Características:
• Permite crear informes personalizados para uso operativo y ejecutivo. Para
crear un informe, puede combinar la información (por ejemplo, seguridad o
red) en un único informe.
• Permite utilizar plantillas de informe preinstaladas que se incluyen con
QRadar.
• Permite marcar los informes con logotipos personalizados. Esta
personalización es beneficiosa para distribuir informes a diferentes públicos.
• Unas opciones de creación de informes detalladas y flexibles satisfacen
diversos estándares normativos como, por ejemplo, la conformidad con PCI.
• Un informe puede constar de varios elementos de datos y puede representar
datos de red y de seguridad en diversos estilos, tales como tablas, gráficos
de línea, gráficos circulares y gráficos de barras. Al seleccionar el diseño de
un informe, tenga en cuenta el tipo de informe que desea crear. Por ejemplo,
no elija un contenedor de gráfico pequeño para un contenido de gráfico que
muestra muchos objetos.

➢
Tipos de Gráfico
Cuando se crea un informe, se debe elegir un tipo de gráfico para cada gráfico
que incluya en el informe. El tipo de gráfico determina cómo aparecen en el
informe generado los datos y objetos de red. Se puede utilizar cualquiera de los
siguientes tipos de gráficos:
142
Ilustración 97: Tipos de gráficos de reportes
Fuente: Guía de IBM
➢
Proceso de visualización de reporte:
1) Una vez ubicados en la pestaña reportes se puede buscar y ordenar los
reportes de manera similar a los eventos y flujos, como se puede ver en la
(IBM, 2019)siguiente imagen.
143
Ilustración 98: Ventana de reportes
2) Verificar reportes en la distribución de grupos.
Ilustración 99: Grupo de reportes
144
3) Ejecutar un reporte, para poder visualizar la información.
Ilustración 100: Ejecución de reporte
4) Seleccionar el reporte generado.
Ilustración 101: Generación de reporte
145
5) Ver el informe generado
Ilustración 102: Visualización de reporte
➢
Mejores prácticas al crear informes
✓
Para comparación y revisión, presente diagramas de tráfico de red y tablas
de eventos juntos.
✓
Considerar el propósito del informe y elija el menor número de
contenedores de páginas que sea necesario para comunicar los datos.
✓
No elegir una división de página pequeña para un gráfico que pueda
contener una gran cantidad de objetos.
✓
Los informes de resumen ejecutivo utilizan divisiones de una o dos páginas
para simplificar el enfoque del informe.
146
3.6 FASE CIERRE
3.6.1 Capacitación
3.6.1.1 Temario
A continuación, se detalla el temario de la capacitación realizada a los usuarios
que usarán la plataforma SIEM.
147
Ilustración 103: Temario de Capacitación
148
3.6.2 Acta de conformidad del proyecto
149
Ilustración 104: Acta de conformidad del proyecto
150
CAPITULO 4
RESULTADOS
4.1 RESULTADOS
Después de haber realizado la integración de todas las tecnologías brindadas por el
cliente se ha realizado una encuesta a 10 usuarios para evaluar si se ha logrado
cumplir con los objetivos para el presente proyecto.
151
Tabla 34: Cuestionario de Resultados
152
El resumen de los resultados fueron los siguientes, considerando que 5 es un alto nivel de satisfacción y 0 es un bajo nivel de satisfacción.
Ilustración 105: Logro de resultados

Gracias a los resultados obtenidos en la evaluación de la implementación del SIEM
QRadar, ayudaron a mitigar vulnerabilidades y riesgos cibernéticos expuestas en las
plataformas informáticas y redes de una entidad financiera entre los siguientes
resultados:
✓
La plataforma SIEM centraliza el almacenamiento y la interpretación de los
eventos y permite un análisis casi en tiempo real que permite al SOC tomar
medidas defensivas más rápidamente.
✓
Visibilidad en tiempo real de las tecnologías integradas, que facilitan la
detección y priorización de las amenazas.
✓
Reducción y priorización de alertas, logrando que las investigaciones del analista
de seguridad se focalicen en una lista procesable de incidentes sospechosos de
alta probabilidad.
✓
Se integró correctamente toda la lista de activos críticos definidos por la
entidad financiera.
✓
La plataforma SIEM notifica brechas de seguridad dentro de las plataformas
informáticas y redes.
✓
La plataforma SIEM informa sobre amenazas potenciales y eventos
sospechosos en la red.
✓
Se puede monitorear la actividad de red y gestión de riesgo de una manera
optimizada.
✓
Se obtuvo, se analizó y se preparó reportes de eventos de los activos integrados.
Se visualiza que la plataforma se encuentra activo y en funcionamiento, en la siguiente ventana que se muestra.
Ilustración 106: Ventana Administrador de la plataforma SIEM

4.1.1 Estado General De La Plataforma
4.1.1.1 Salud
A continuación, se presenta el dashboard de Monitoreo del sistema
Ilustración 107: Dashboard
A nivel de deployment la plataforma se encuentra correctamente funcionando.
Tabla 35: Deploymentt

4.1.1.2 DashBoards QRadar Deployment Intelligence (QDI)
Se ha implementado una aplicación de monitoreo de Salud desarrollado por IBM, el cual entrega una vista completa de la salud de todas las
componentes del Qradar (consola y colectores). Navegando por la aplicación se puede obtener una vista general de la arquitectura completa
o revisar por componente individual, sólo basta con seleccionar la vista a revisar, tal como muestra la imagen abajo.
Ilustración 108: DashBoards QRadar Deployment Intelligence
4.1.1.3 Alertas
A nivel de alertas del SIEM se presenta la siguiente tabla:
Ilustración 109: Informe de alertas
4.1.1.4 Políticas de retención de datos
Se realizó la configuración de retención de eventos por 3 meses. Esta
configuración no asegura que los eventos se almacenarán 3 meses, esto depende de
la cantidad de logs que generen los equipos y/o servidores del cliente.
Ilustración 110: Políticas de retención de datos
4.2 PRESUPUESTO
4.2.1 Costo de la Implementación
Tabla 36: Costo de implementación

4.2.2 Costos Variables
Tabla 37: Costos Variables
Costo total del proyecto: S/ 328,802.00
4.3 ANÁLIS DE RIESGO
El riesgo puede ser definido como una probabilidad de que una amenaza explote
una brecha en un activo informático, y de la magnitud del daño resultante de tal
evento adverso en la entidad.
Debido a que el monitoreo tiene como objetivo aquellos dispositivos cuyo ataque
represente un alto nivel de riesgo para la entidad, inicialmente se realiza un análisis
de riesgo completo para los activos.
Cuando la amenaza es real, el contador del coste puede ponerse en marcha en cualquier
momento. Gastos asociados a la investigación, la paliación, la notificación, la
reparación o el abono de sanciones y multas. Costes generados por el tiempo de
interrupción causado por la brecha de seguridad y el negocio perdido como
consecuencia de sus efectos. Y, por supuesto, también esos otros gastos más difíciles
160
de calcular, pero igual de reales, como son la repercusión del evento en términos de
reputación, la pérdida de posicionamiento o los derivados de demandas colectivas.
4.3.1 Identificación de los activos de información
En esta etapa, se definen los límites del sistema en estudio a la vez que se
detallan los recursos y la información que constituyen el sistema, que se
denominarán activos de información
4.3.2 Clasificación de activos
Para la evaluación de riesgos en seguridad de la información un insumo
vital es la clasificación de activos de información.
Tabla 38: Escala de clasificación de confidencialidad
161
Tabla 39: Escala de clasificación de Integridad
Tabla 40: Escala de clasificación de Disponibilidad
4.3.3 Identificación de vulnerabilidades y amenazas
En esta sección se pretenden identificar las diferentes vulnerabilidades y sus
respectivas
amenazas potenciales que son aplicables al sistema en el activo evaluado.
Se entiende por vulnerabilidad toda debilidad presente en un activo de
información, dada comúnmente por la inexistencia o ineficacia de un
control, por otro lado.
162
Tabla 41: Identificación de vulnerabilidades y amenazas
4.3.4 Valoración de amenazas y determinación del impacto
4.3.5 Evaluación del riesgo
La evaluación del riesgo se hace de manera cualitativa generando una
comparación en la cual se presenta el análisis de la probabilidad de ocurrencia
del riesgo versus el impacto del mismo, obteniendo al final la matriz
163
denominada “Matriz de Calificación, Evaluación y respuesta a los Riesgos”,
con la cual se presenta la forma de calificar los riesgos con los niveles de
impacto y probabilidad establecidos anteriormente, así como las zonas de
riesgo presentando la posibles formas de tratamiento que se le puede dar a
ese riesgo, tal como se muestra en la siguiente imagen:
Tabla 42: Ejemplo Matriz de Calificación, Evaluación y respuesta a los Riesgos
Donde:
Bajo: Zona de riesgo baja: Asumir riesgo.
Medio: Zona de riesgo moderado: Asumir el riesgo, reducir el riesgo.
Alto: Zona de riesgo alto: Reducir el riesgo, evitar, compartir o transferir.
Crítico: Zona de riesgo crítico: Reducir el riesgo, evitar, compartir o transferir.
Una vez identificados los activos de información, de acuerdo a las tablas de
confidencialidad, integridad y disponibilidad se determina su respectiva criticidad.
Para desarrollar el monitoreo son seleccionados aquellos con más alto nivel de riesgo.
164
Tabla 43: Tecnologías críticos
Un ataque de ciberseguridad a nivel de criticidad 3 puede generar grandes pérdidas
económicas, las empresas tardan aproximadamente 46 días en corregir las
consecuencias de un ataque cibernético y gastan un promedio de US$ 32,000 por día".
Según la empresa Prey Project, empresa que brinda servicios web freemium, elaboró
estadísticas de riesgos de seguridad informática del año 2019:
165
Estadísticas en Seguridad Informática
Tabla 44: Estadísticas en Seguridad Informática
Costos de la Seguridad Informática
Tabla 45: Costos de la Seguridad Informática
166
Ataques Ransomware
Tabla 46: Ataques Ransomware
Ataques Phishing
Tabla 47: Ataques Phishing
167
4.4 ANÁLISIS DE BENEFICIO
4.4.1 Beneficios Tangibles
Se definen como beneficios tangibles a todo lo que se puede medir en valor monetario, los cuales se producen tras la
implementación del proyecto. La tabla que se muestra a continuación señala los beneficios tangibles de mayor relevancia del
proyecto:
BENEFICIOS SIN SISTEMA CON SISTEMA TOTAL

TANGIBLES BENEFICIO
Descripción Tiempo RRHH Costo Tiempo RRHH Costo Total
trabajado trabajado
Monitoreo de alertas de
seguridad 160 hrs 6 S/10,800.00 160 hrs 3 S/ 5,400.00 S/ 5,400.00
Proceso de análisis de
eventos 160 hrs 4 S/ 7,200.00 160 hrs 2 S/ 3,600.00 S/ 3,600.00
Elaboración de reportes
35 hrs 4 S/ 1,440.00 35 hrs 1 S/ 360.00 S/ 1080.00
TOTAL S/10,080.00
Tabla 48: Relación de beneficios tangibles del proyecto

4.4.2 Beneficios intangibles
Se denominan beneficios intangibles a todo lo que no se puede medir en valor
monetario, sin embargo, otorgan mejoras a la empresa y son producidas tras la
implementación del proyecto. En consecuencia, se indican a continuación los
beneficios intangibles de mayor importancia del proyecto.
Tabla 49: Beneficios Intangibles

4.5 ANALISIS DE FLUJO DE CAJA, VAN Y TIR
4.5.1 FLUJO DE CAJA
En el periodo cero se están considerando los gastos que están relacionados
directamente con la implementación de la solución SIEM QRadar, a partir
del primer mes en cuál ya se encuentra implementado el software se realiza
el cálculo de la cantidad de costos y beneficios que este generará a la
entidad financiera.
Meses 0 1 2 3
Costo de
implementación S/ 327,140.00
Costo de personal S/ - S/ - S/ -
Costo variables S/ 554.00 S/ 554.00 S/ 554.00
Costos acumulados S/ 327,140.00 S/ 327,694.00 S/ 328,248.00 S/ 328,802.00
Beneficios Tangibles S/ 3,360.00 S/ 3,360.00 S/ 3,360.00
Beneficios Prevención S/ 5,032,000.00 S/ 32,000.00

Beneficios
Acumulados S/ 5,035,360.00 S/ 10,070,720.00
Flujo de caja (ingreso
neto) -S/ 327,140.00 -S/ 554.00 S/ 5,034,806.00 S/ 10,070,166.00
Costo - Beneficio S/ 327,140.00 -S/ 327,694.00 S/ 4,707,112.00 S/ 9,741,918.00
Tabla 50: Flujo de caja del proyecto

La tabla expone el flujo de caja, el cual se proyecta para 3 meses. Además, se puede notar
que durante el segundo mes se está previendo pérdidas económicas ante un ataque de
ciberseguridad.
170
CONCLUSIONES
- La integración de las distintas tecnologías de seguridad y cumplimiento de normativas
es más eficaz que el funcionamiento aislado de cada tecnología, además de que la falta
de integración genera complejidades. Esta complejidad es la causa por la que la
seguridad a menudo es una cuestión táctica, en lugar de estratégica y alineada con las
prioridades de la entidad financiera.
- La entidad financiera llegó a la conclusión de que mediante el empleo de la plataforma
SIEM junto con controles de endpoints, redes y checkers, podía mitigar los riesgos de
forma más eficaz y evitar pérdidas económicas y de información.
- La solución SIEM es una herramienta de gran importancia para la seguridad, capaz de
demostrar el cumplimiento de las normativas, garantizar la disponibilidad de los activos
y, en definitiva, asegurar la continuidad del servicio y velar por la por la
confidencialidad, integridad y disponibilidad de los diferentes activos de la información
- La entidad financiera redujo carga laboral, costos empresariales mensuales y logró
economías de escala.
- Gracias a la implementación del SIEM Qradar se priorizó las alertas de seguridad,
logrando que las investigaciones del SOC se focalicen en los incidentes sospechosos de
alta probabilidad.
171
RECOMENDACIONES
- Se recomienda contratar un servicio gestionado de monitoreo de disponibilidad y
seguridad 24x7 para una mejor gestión de eventos de seguridad debido a la alta
experiencia que cuentan.
- Para un mejor aprovechamiento de la plataforma Qradar, se recomienda implementar la
solución de análisis de comportamiento del usuario (IBM Qradar UBA).
- Se sugiere integrar los activos crítico-faltantes y también lo activos no críticos para un
mejor control y monitoreo de seguridad.
- Se sugiere agregar reglas customizados para afinar el monitoreo de seguridad.
- Se recomienda integrar al SIEM una tecnología de monitoreo de base de datos para
tener un mayor control de seguridad de data sensible que se maneja en la entidad.
172
BIBLIOGRAFÍA
Antonio Inoguchi, E. M. (2017). Gestión de la ciberseguridad y prevención de los ataques

cibernéticos en las pymes en el Perú. Lima.
Fernandez, J. (2019). Implementación de un Security Information and Event Management
(SIEM) en el comando de la armada nacional, tesis presentada para obtener
Especialización en Seguridad Informática. Bogotá.
GMV. (26 de 05 de 2016). checker ATM Security. Obtenido de
https://www.gmv.com/DocumentosPDF/checker/Checker_ESP_26_05_2016.pdf
Guzmán, G. (2015). Metodología para la seguridad de tecnologías de información y
comunicaciones en la clínica Ortega. Huancayo.
IBM. (2019). Installation Guide. Obtenido de IBM Security QRadar:
https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.2/com.ibm.qradar.doc
/b_siem_inst.pdf
PMI. (2017). La Guía del PMBOK 6ta Edición. Obtenido de https://www.pmi.org.pe/
Scrum. (2020). Scrum.org. Obtenido de La guía de Scrum: https://www.scrum.org/
173

Marianella Profesional 2020 Re

Cargado por

Copyright:

Formatos disponibles

Marianella Profesional 2020 Re

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Marianella Profesional 2020 Re

Cargado por

Copyright:

Formatos disponibles

Facultad de Ingeniería

Ingeniería de Sistemas e Informática

Programa Especial de Titulación:

Autor: Mariella Anabel, Estela Campos

Para optar el Título Profesional de

Asesor: Pedro Ángel, Molina Velarde

Lima, febrero 2020

Este trabajo y esfuerzo le dedico especialmente a

A mi hermano quien se preocupó por mi

Agradezco infinitamente a mi madre y a mi

A la universidad, a mis profesores y a mi asesor

A mis amigos quienes nos apoyamos

INDICE DE TABLAS ......................................................................................................... 8

Tabla 1: Árbol de problemas............................................................................................................ 15

Ilustración 1: Gestión de datos de registro ....................................................................................... 28

En el presente proyecto se desarrolló bajo la necesidad de la implementación de una

plataforma de gestión de información y eventos de seguridad (SIEM) para detectar

vulnerabilidades y amenazas expuestas en las plataformas informáticas y redes de la

En el primer capítulo, se analiza la problemática que atravesaba la entidad financiera,

teniendo como principal problema la deficiencia en el control de seguridad de las

plataformas que administra la entidad financiera, y de acuerdo a ello se plasma los

objetivos, se plantea los alcances, limitaciones y justificación de dicho proyecto.

En el segundo capítulo, se desarrolla el marco teórico donde se brindará los conceptos

define la metodología a usar en el que se detalla el procedimiento para la elaboración del

presente proyecto y por último el marco conceptual.

En el tercer capítulo, comprende el desarrollo del proyecto utilizando la metodología

configuración, monitoreo y control y por último la fase de cierre.

análisis económico de la inversión para llevar a cabo el proyecto.

1.1. Definición del Problema

Descripción del Problema

Debido a los constantes ciberataques a las plataformas informáticas, cajeros

y a las redes a las entidades financieras, en muchas ocasiones ha sido

burlado la seguridad por atacantes de grandes bandas criminales que se

aprovechan de las brechas de las plataformas de seguridad, el cual se han

visto afectados perdiendo la disponibilidad de sus recursos en la red,

información confidencial y sensible y grandes pérdidas económicas que ha

perjudicado tanto a las entidades financieras como a los clientes de estos.

La entidad financiera que abordaré en la presente tesis no contaba con una

plataforma SIEM, una centralizadora de almacenamiento e interpretación de

eventos de seguridad (logs) de sus tecnologías de seguridad, servidores y

cajeros automáticos que le permitiera tener un mayor control, visibilidad

holística, detectar con precisión, análisis en tiempo real, priorizar las

amenazas y permita al área de seguridad tomar medidas ofensivas más

rápidamente ante ataques y vulnerabilidades.

Otro de los factores era la realización de configuraciones manuales, a pesar de

que son personas expertas en la ciberseguridad dejaban muchas brechas, y

cuando estaban siendo atacados, al SOC le tomaba mucho tiempo poder

actuaban en cuestión de segundos.

Se realizó la técnica del árbol de problemas, que se muestra a continuación:

Tabla 1: Árbol de problemas

Fuente: Elaboración Propia

Tabla 1: Tabla de problemas

Descripción del problema: Deficiente control de seguridad de las plataformas

informáticas y redes que administra la entidad financiera.

1. Descentralización de alertas de Poca visibilidad holística y en tiempo real

las plataformas informáticas y de todos los eventos de seguridad.

redes de la entidad financiera.

2. Proceso de monitoreo de eventos Demora en la identificación de la causa o

de seguridad aislado. en solucionar un incidente de seguridad.