Desde que empecé a estudiar ciberseguridad, escuchaba constantemente la palabra SIEM, y en cuanto conocí Splunk, decidí que la mejor manera de entenderlo era montando un laboratorio real en la nube de AWS para aprender mientras practicaba.
Este laboratorio lo monté mientras estudiaba para la certificación CompTIA Security+ y preparaba mi perfil para roles de Cloud Security.
Un SIEM (Security Information and Event Management) nos permite recolectar logs de diferentes servidores, sistemas operativos y servicios para centralizarlos en un mismo lugar de forma organizada y normalizada. Al montar este laboratorio en AWS, no solo puedo recolectar métricas de servicios convencionales como un servidor web Apache, sino también de la propia actividad de la infraestructura en la nube, haciendo que la monitorización sea mucho más eficiente y segura.
En este laboratorio, los logs se recogen principalmente desde dos fuentes distintas:
A nivel de infraestructura: Mediante AWS CloudTrail.
A nivel de aplicación: Desde un servidor Apache gestionado junto a Fluent Bit.
Si queréis replicar este lab, podéis hacerlo yendo a mi github donde he subido un tutorial en el que explico:
- Como crear una infraestructura en AWS (VPC, subredes, Security Groups)
- Activar y configurar servicios para logs y almacenarlos (CloudTrail y S3)
- Levantar Splunk con Docker
- Simular ataques reales y detectarlos con SPL en Splunk
- Crear dashboards personalizados
Puedes acceder al repositorio completo aquí:
No hay comentarios:
Publicar un comentario