· 🛡️ Sistema de monitorización e IR 🛡 ·

Implementación de un sistema de monitorización e IR con herramientas open source

Descripción

En este proyecto, implementé un sistema de monitorización y respuesta ante incidentes con Grafana, Elasticsearch y Fail2ban.

🎯 Objetivo 🎯

El objetivo fue diseñar una arquitectura capaz de:

  • Centralizar logs del sistema
  • Monitorizar intentos de acceso no autorizados
  • Aplicar medidas de hardening
  • Visualizar eventos de seguridad en tiempo real

💻 MVs utilizadas 💻

Para este proyecto creé estas MVs:

  • Ubuntu Server 24.04 (Monitor): Contiene Grafana y Elasticsearch para recibir los datos y métricas de la víctima y visualizarlos.
  • Ubuntu Server 24.04 (Víctima): Contiene Filebeat, Metricbeat y Fail2ban.
  • Kali Linux (Atacante): Realiza los ataques a la máquina víctima.

🛠️ Herramientas usadas 🛠️

  • Grafana: Herramienta para la monitorización y análisis interactivo de métricas y datos en tiempo real.
    Permite crear dashboards dinámicos y personalizables a partir de diversas fuentes de datos con el fin de monitorizar
    infraestructuras, aplicaciones y servicios de forma clara.
  • Elasticsearch: Motor de búsqueda y analíticas de código abierto que permite almacenar, buscar y analizar
    grandes volúmenes de datos de forma rápida y escalable usando una API RESTful, siendo ideal para logs, búsqueda de texto completo,
    analíticas en tiempo real y búsqueda empresarial.
  • Filebeat y Metricbeat: Dos agentes ligeros parte de Elastic Stack que se instalan normalmente en servidores
    para enviar datos a sistemas como Elasticsearch para su indexación. Filebeat se centra en recopilar y reenviar archivos de registro,
    y Metricbeat se centra en recopilar métricas del sistema operativo y de los servicios que se ejecutan.
  • Fail2ban: Herramienta de seguridad capaz de proteger el servidor frente intrusos y accesos no autorizados.
    Monitoriza los archivos de registro de servicios y bloquea las IPs sospechosas.

✔️ Conclusiones ✔️

Se logró construir un sistema funcional que permite:

  • Detectar intentos de acceso sospechosos
  • Visualizar eventos de seguridad en tiempo real
  • Mantener separación estructurada de logs de seguridad
  • Aplicar respuesta automática ante intrusiones

Este proyecto demuestra cómo la integración de Grafana con Elasticsearch, junto con agentes como Filebeat y Metricbeat,
es posible crear un sistema de monitorización centralizado y orientado a la seguridad, funcionando como una alternativa ligera
a un SIEM para supervisar eventos y métricas relevantes del sistema.

Ver documentación en GitHub
Ir al inicio