Implementacion de un Soc Automatizado

Bases del Proyecto de Integración
1. Visibilidad Total
Objetivo: Monitorizar en tiempo real todas las máquinas virtuales de la infraestructura.
Alcance:
Host:
Windows Server 2022
Linux Ubuntu
Linux SUSE
Implementación:
Wazuh se desplegará en cada host para recolectar logs, eventos de seguridad y otros indicadores relevantes.
SELKS se encargará del análisis del tráfico de red, complementando la visibilidad con datos sobre conexiones y anomalías.
2. Control y Prevención de Ransomware
Objetivo: Implementar medidas de detección temprana y protocolos de respuesta ante amenazas de ransomware.
Estrategia:
Detección:
SELKS analiza el tráfico en busca de comportamientos sospechosos.
Wazuh correlaciona estos eventos con información de los hosts para identificar patrones de ransomware.
Prevención y Respuesta Automatizada:
Mediante herramientas SOAR, se definirán playbooks que, ante la detección de indicios de ransomware, activen respuestas automáticas y coordinadas (por ejemplo, aislamiento de sistemas afectados o desconexión de la red).
3. Integración de Consola Antivirus
Objetivo: Centralizar la gestión de alertas y eventos de seguridad provenientes de la consola antivirus.
Estrategia:
Evaluar la conexión de la consola antivirus a la solución SIEM (Wazuh) para que sus logs se integren junto con otros eventos.
Esto permitirá una correlación más completa de incidentes, facilitando la toma de decisiones automatizada a través del SOAR.
4. Gestión de VLANs y Respuesta Ante Amenazas
Contexto: Cada VLAN de la infraestructura agrupa de 2 a 4 máquinas virtuales.

Protocolo de Respuesta ante Sospecha de Ransomware en una VLAN:

Acción inmediata:
Apagar todos los equipos de respaldo TRUENAS que realizan copias de seguridad de máquinas virtuales y archivos, evitando que se contaminen los respaldos.
En máquinas virtuales afectadas:
Apagar todas las VMs en la VLAN específica de forma automatizada.
Consideraciones Específicas para SUSE:
En caso de detectar amenazas en equipos SUSE, en lugar de apagarlos abruptamente, se deberá desconectar la red desde VMware para evitar daños o pérdida de integridad en el sistema.
Implementación en la Arquitectura:

Wazuh recibirá y correlacionará alertas de los hosts y SELKS.
Ante la detección de un incidente, el SOAR ejecutará el playbook correspondiente que incluye:
Notificación y análisis inmediato.
Ejecución de acciones (apagar respaldos TRUENAS, apagar VMs o, en el caso de SUSE, desconectar la red).
5. Visibilidad General del Tráfico de Red
Objetivo: Vigilar de manera continua las conexiones de red, detectando tráfico anómalo o proveniente de fuentes externas sospechosas.
Estrategia:
SELKS monitorea el tráfico de red y genera alertas en tiempo real.
Reglas Específicas:
Poner especial atención al tráfico que no corresponda al perfil geográfico de Ecuador.
Generar alertas para todo tráfico externo proveniente de direcciones IP no regulares o consideradas sospechosas.
Integración:
Los eventos de SELKS se envían a Wazuh para su correlación con otros eventos, y luego, el SOAR automatiza respuestas en caso de detección de amenazas relevantes.
Arquitectura de Integración
Detección y Monitoreo:

SELKS analiza el tráfico de red, identificando actividades sospechosas.
Wazuh recopila logs de host y eventos del antivirus integrado, proporcionando una visión unificada del entorno.
Correlación y Análisis:

Wazuh correlaciona la información proveniente de SELKS, la consola antivirus y otras fuentes, generando alertas con contexto enriquecido.
Automatización y Respuesta:

La herramienta SOAR recibe alertas de Wazuh y ejecuta playbooks predefinidos que:
Aíslan sistemas comprometidos.
Ejecutan protocolos de apagado y desconexión en función de la vlan y tipo de host (considerando el tratamiento especial para suse).
Notifican al equipo de seguridad para intervenciones adicionales si es necesario.