Un SOC es un Centro de Operaciones de Seguridad que sirve para monitorizar y gestionar incidentes de seguridad. Cuanto más se tenga todo bajo control, mucho mejor ya que hay labores de detección, gestión, monitorización y análisis que deben estar bien engrasadas para que el trabajo sea lo más eficaz posible.
En la comunidad Hack&Beers Valencia, Mauro Lorenzo explicó paso a paso cómo se puede montar un SOC con herramientas Open Source (software distribuido y desarrollado libremente). Todas las charlas de Hack&Beers disponibles en Palabra de hacker están reunidas en esta lista de reproducción.
Mauro Lorenzo (@mouloren) es Ingeniero de Telecomunicaciones. Un analista de Ciberseguridad apasionado de las redes, la seguridad y todo lo que lleve algo de tecnología. Actualmente está trabajando en Flyware.
¿Qué necesito para montar un SOC con herramientas Open Source?
En la charla, disponible tanto en vídeo como en podcast al final del artículo, Mauro expone el siguiente esquema a seguir a la hora de construir un SOC con herramientas open source:
- Detección.
- Suricata. Se trata de un motor de red de código abierto y multiplataforma de alto rendimiento para la detección de intrusos en tiempo real (IDS), la prevención de intrusiones en línea (IPS) y monitorización de seguridad de red (NSM). seguridad de red.
- Gestión.
- Evebox. Es una herramienta de gestión de alertas y eventos basada en la web para los eventos generados por el motor de detección de amenazas Suricata.
- Repositorios.
- Gitea. Repositorio de código gestionado por la comunidad que está programado en Go.
- Monitorización.
- Docker. Contenedores de Dockers para llevar a cabo la monitorización de todo.
- Análisis.
- Cortex. Software de código abierto y gratuito desarrollado por TheHive Project que funciona como un motor de análisis ya que concentra 101 analizadores distintos entre ellos AbuseFinder, Cybercrime-Trackers, Yara, Shodan, VirusTotal, GoogleDNS, PassiveTotal, Nessus, EmlParser, HybridAnalysis, OTXQuery, UrlScan.io, IBM X-Force, MISP, CuckooSandbox o Fortiguard.
- MISP Threat Sharing. Plataforma para el intercambio, almacenamiento y correlación de IOC de ataques dirigidos que permite a las organizaciones compartir información sobre un determinado malware y sus IOC de tal forma que los usuarios se benefician del conocimiento colaborativo existente sobre amenazas o malware.
- PatrOWL. Plataforma avanzada para organizar operaciones de seguridad como pruebas de penetración, evaluación de vulnerabilidades, revisión de códigos, verificaciones de cumplimiento, Compliance checks, Cyber-Threat Intelligence / Hunting y operaciones SOC y DFIR.
Como complemento a esta charla recomiendo echar un vistazo a las charlas ‘Cómo montar un SOC en casa‘, ‘Análisis de un incidente de seguridad‘, ‘Cómo defenderse de los malos con Cyber Threat Intelligence‘ y el ciberdebate ‘Equipos de respuesta a incidentes: qué son y cómo trabajan‘.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!