Trabajo Final Del Máster: Implementación de Un SIEM

MÁSTER ONLINE EN CIBERSEGURIDAD
Trabajo Final del Máster:

Implementación de un SIEM
TFM elaborado por: Nafees Muhammad
Tutor/a de TFM: Manuel Carpio
- Valencia – 02/01/2022 –
IMF BUSINESS SCHOOL

INTRODUCCIÓN
1 OBJETO Y ENFOQUE DEL TRABAJO ....................................................................................... 3
2 EXPLICACIÓN DEL TRABAJO Y EL MOTIVO (INTRODUCCIÓN) ........................................... 4
2.1 RESUMEN ..................................................................................................................................... 4

2.2 PALABRAS CLAVE ........................................................................................................................ 6
2.3 ABSTRACT .................................................................................................................................... 7
3 MAPA DE RED ............................................................................................................................ 10
4 PRUEBAS DE INTRUSIÓN (CONCLUSIONES) ........................................................................ 11
4.1 ATAQUES DE FUERZA BRUTA ...................................................................................................... 11

4.2 INFECCIÓN DEL TROYANO QAKBOT ............................................................................................. 13
4.3 CREDENTIAL DUMPING................................................................................................................ 16
5 INSTALACIÓN E CONFIGURACIÓN DE THEHIVE .................................................................. 22
5.1 INSTALACIÓN .............................................................................................................................. 23

5.2 CONFIGURACIÓN ......................................................................................................................... 26
5.2.1 HABILITAR TLS................................................................................................................................... 26
6 INSTALACIÓN E CONFIGURACIÓN DE MISP ......................................................................... 29
6.1 INSTALACIÓN .............................................................................................................................. 29

6.2 CONFIGURACIÓN ......................................................................................................................... 32
6.2.1 AÑADIR UNA NUEVA ORGANIZACIÓN ................................................................................................. 32
6.2.2 HABILITAR FEEDS EN MISP .............................................................................................................. 33
7 INSTALACIÓN E CONFIGURACIÓN DE SURICATA ............................................................... 35
7.1 INSTALACIÓN .............................................................................................................................. 35

7.2 CONFIGURACIÓN ......................................................................................................................... 37
8 INSTALAR E CONFIGURAR QRADAR CE ............................................................................... 39
8.1 INSTALAR.................................................................................................................................... 39
8.1.1 CONFIGURAR RED ............................................................................................................................. 42
8.1.2 CONFIGURAR FQDN.......................................................................................................................... 44
8.1.3 INSTALAR QRADAR CE ...................................................................................................................... 45
8.2 CONFIGURAR .............................................................................................................................. 50
8.2.1 CONFIGURAR NTP SERVER .............................................................................................................. 50
P á g i n a 1 | 215
8.2.2 LICENCIA ............................................................................................................................................. 53

8.2.3 WINCOLLECT ...................................................................................................................................... 54
8.2.4 MONITORIZAR UN HOST LINUX .......................................................................................................... 68
9 ANEXO ......................................................................................................................................... 71
9.1 INSTALACIÓN E CONFIGURACIÓN DE CORTEX ANALYZER ............................................................................ 71

9.1.1 INSTALACIÓN ........................................................................................................................................... 71
9.1.2 CONFIGURACIÓN...................................................................................................................................... 74
9.1.3 INSTALAR E HABILITAR ANALIZADORES......................................................................................................... 81
9.2 INTEGRACIONES ............................................................................................................................... 92
9.2.1 INTEGRAR THEHIVE CON CORTEX ANALYZERS ............................................................................................... 92
9.2.2 INTEGRAR THEHIVE CON MISP .................................................................................................................. 98
9.2.3 INTEGRAR MISP CON CORTEX ANALYZER ................................................................................................... 101
9.2.4 INTEGRAR THEHIVE CON QRADAR............................................................................................................. 103
9.2.5 INTEGRAR SURICATA CON QRADAR ........................................................................................................... 106
9.3 INSTALACIÓN E CONFIGURACIÓN DE USE CASE MANAGER ....................................................... 194
9.3.1 INSTALACIÓN .................................................................................................................................... 194
9.3.2 CONFIGURACIÓN .............................................................................................................................. 198
9.4 INSTALACIÓN DE LOG SOURCE MANAGMENT ............................................................................ 203
9.4.1 INSTALACIÓN .................................................................................................................................... 203
9.5 INSTALACIÓN DE QRADAR DEPLOYMENT INTELLIGENCE............................................................ 208
9.5.1 INSTALACIÓN .................................................................................................................................... 208
9.6 INSTALAR QRADAR COMPLIANCE EXTENSION ........................................................................... 210
9.6.1 INSTALAR .......................................................................................................................................... 211
9.7 INSTALACIÓN DE CALDERA ....................................................................................................... 214
P á g i n a 2 | 215
1 Objeto y Enfoque del Trabajo
El presente informe tiene el objeto de presentar el proyecto final del Máster en

Ciberseguridad. Y el enfoque del trabajo consiste en implementar el SIEM IBM Qradar e
integrar dicho SIEM con herramientas de seguridad tales como Suricata, TheHive, Cortex
Analyzer y MISP.
P á g i n a 3 | 215
2 Explicación del trabajo y el motivo (Introducción)
2.1 Resumen
Se procede a comprobar herramientas Top de SIEM en el informe Gartner y se comprueba
que el IBM Qradar está en la posición de líderes:
Y es la herramienta en la que el alumno se ha mostrado su interés. En el presente

documento se procede a instalar y configurar Qradar Community Edition. El cuál es la
versión gratuita de dicho SIEM.
P á g i n a 4 | 215
Por otra parte, aparte de tener el SIEM se requiere de aumentar la seguridad de la

infraestructura. Para ello, se ha elegido el IDS/IPS Suricata. Suricata es un sistema de
detección de intrusos y un sistema de prevención de intrusiones basado en código abierto.
Se puede configurar en varios modos, estos son:
1. IDS (Intrusion Detection System)

2. IPS (Intrusion Prevention System)
3. IDS y IPS
En el presente trabajo Suricata únicamente va a monitorizar el tráfico entre la máquina

virtual y la máquina física. Ya que, para capturar todo el tráfico de red, se requiere de un
switch que permita realizar el reenvío de los flujos de red a través de Port-Mirroring. Por lo
que, se ha descartado dicha opción.
Como herramienta de ticketing, se procede a elegir TheHive. TheHive es una plataforma

de respuesta a incidentes de seguridad de código abierto y gratuita, estrechamente
integrada con MISP (Malware Information Sharing Platform), diseñada para facilitar la vida
de los SOC, CSIRT, CERT y cualquier profesional de seguridad de la información que se
ocupe de incidentes de seguridad que deben investigarse y actuar con rapidez.
También se ha decido utilizar Cortex Analyzers. Es una herramienta que contiene más de
100 analizadores, así como Virustotal, AnyRun, IBM Exchange Force, Cuckoo, etc. Que
permite analizar una dirección IP, URL, Hash, e otros indicadores, de forma centralizada y
rápida.
Esto quiere decir que, si queremos analizar una dirección IP, en caso de, no tener Cortex
Analyzers tendríamos que analizar en cada una de las páginas de analizadores. Esto influye
mucho en el tiempo de un analista.
Con Cortex Analyzers el analista lo tiene a un solo clic para analizar una dirección IP en
todos los analizadores. Además, esto permite integrar con TheHive. De forma que, desde
TheHive podamos realizar el análisis.
Por último, se procede a utilizar MISP (Malware Information Sharing Platform). MISP es
un software gratuito y de código abierto que ayuda a compartir información de threat
intelligence, incluidos los IOC. MISP también permite integración con TheHive.
P á g i n a 5 | 215
En la siguiente imagen se puede observar las herramientas que se van a utilizar:
Como conclusión en el presente informe se detalla todo el proceso de implementación de

un SIEM, como su integración con las herramientas de seguridad comentadas
anteriormente.
2.2 Palabras Clave

1. SIEM
2. TheHive
3. Suricata
4. Cortex
5. MISP
6. DSM
7. Qradar
8. Caldera
P á g i n a 6 | 215
2.3 Abstract
Top SIEM tools are checked in the Gartner report, and it is verified that IBM Qradar is in the
position of leaders:
And it is the tool in which the student has shown interest in it. This document proceeds to
install and configure Qradar Community Edition. Which is the free version of said SIEM.
On the other hand, apart from having the SIEM, it is necessary to increase the security of
the infrastructure. For this, the Suricata IDS/IPS has been chosen. Suricata is an open
source-based intrusion detection and intrusion prevention system. It can be configured in
various modes, these are:
1. IDS (Intrusion Detection System)

2. IPS (Intrusion Prevention System)
P á g i n a 7 | 215
3. IDS and IPS
In this work Suricata will only monitor the traffic between the virtual machine and the physical
machine. Since, to capture all network traffic, a switch is required that allows forwarding
network flows through Port-Mirroring. Therefore, this option has been discarded.
As a ticketing tool, TheHive is chosen. TheHive is a free and open-source security incident
response platform, tightly integrated with MISP (Malware Information Sharing Platform),
designed to make life easier for SOCs, CSIRTs, CERTs and any information security
professional dealing with of security incidents that must be investigated and acted upon
quickly.
It has also been decided to use Cortex Analyzers. It is a tool that contains more than 100
scanners, as well as Virustotal, AnyRun, IBM Exchange Force, Cuckoo, etc. That allows to
analyze an IP address, URL, Hash, and other indicators, in a centralized and fast way.
This means that, if we want to analyze an IP address, in case we do not have Cortex
Analyzers, we will have to analyze it in each of the analyzer pages. This greatly influences
an analyst's time.
With Cortex Analyzers the analyst is just one click away from analyzing an IP address on all
analyzers. Also, this allows you to integrate with TheHive. So that, from TheHive we can
carry out the analysis.
Finally, MISP (Malware Information Sharing Platform) is used. MISP is free and open-source
software that helps share threat intelligence information, including IOCs. MISP also allows
integration with TheHive.
P á g i n a 8 | 215
In the following image you can see the tools that will be used:
In conclusion, this report details the entire implementation process of a SIEM, such as its
integration with the security tools discussed above.
P á g i n a 9 | 215
3 Mapa de Red
La infraestructura del laboratorio es la siguiente:
1. Máquina virtual de Qradar que tiene la dirección IP 192.168.0.152.

2. Máquina virtual de Ubuntu que tiene la dirección IP 192.168.0.108. En esta máquina
se va a instalar:
a. Suricata
b. TheHive
c. Cortex Analyzers
d. MISP
3. Dos máquinas físico con Windows 10 que posteriormente se van a integrar en el
SIEM para monitorizar.
4. Por último, una máquina virtual que contiene Kali instalado para realizar las pruebas
de penetración.
NOTA: Las direcciones IP se han ido cambiando durante la realización del proyecto.
P á g i n a 10 | 215
4 Pruebas de Intrusión (Conclusiones)
Tras la implementación del SIEM y la configuración correspondiente de este y de las otras

herramientas. Se procede a realizar pruebas de penetración.
4.1 Ataques de fuerza bruta

A continuación, se procede a realizar un ataque de fuerza bruta desde la máquina Windows
10 192.168.0.21 hacía la máquina Ubuntu 192.168.0.108:
.\patator.exe ssh_login host=192.168.0.108 user=FILE0 password=FILE1

port=22 0=./users.txt 1=passwords.txt
En la siguiente imagen se puede observar que Qradar ha recibido eventos de inicio de

sesión:
P á g i n a 11 | 215
A continuación, se procede a revisar las ofensas y se comprueba que se ha creado la ofensa

correctamente:
Si revisamos TheHive, se puede comprobar que se ha creado la ofensa en esta plataforma:
NOTA: La ofensa que sobra es otra prueba que se ha estado realizando.
P á g i n a 12 | 215
4.2 Infección del troyano Qakbot

Ahora se va proceder realizar una prueba de infección en la máquina UBUNTU 192.168.0.108.
Para ello, se procede a descargar el paquete pcap desde la página web https://www.malware-
traffic-analysis.net/2020/09/16/2020-09-16-Qakbot-infection-traffic.pcap.zip
Una vez descargado descomprime y se procede a moverlo en /root. El siguiente paso es replicar
dichos paquetes en la máquina, para luego, detectarlo a través de Suricata.
Para replicar dichos paquetes en la máquina se procede a utilizar tcpreplay:
tcpreplay -i enp0s8 -tK --loop 5000 --unique-ip 2020-09-16-Qakbot-infection-
traffic.pcap
En la siguiente imagen se puede observer que se han creado varias ofensas en Qradar:
P á g i n a 13 | 215
Se procede a entrar en una de las alertas para su investigación:
Eventos de la alerta:
P á g i n a 14 | 215
Si entramos en dichos eventos, se puede observar que se muestran los campos personalizados
que se han creado:
A continuación, si entramos en TheHive podemos observar que se han creado las alertas:
P á g i n a 15 | 215
4.3 Credential Dumping

A continuación, se procede a realizar un ataque de lectura de credenciales en la máquina Windows
10 192.168.0.20 con Caldera.
Para ello, primero se procede a desplegar el agente de Caldera de tipo Manx para realizar pruebas
manuales.
A continuación, se procede a pegar el comando anterior en un powershell con persmisos de

administrador:
Como podemos observar, se ha creado la conexión entra la máquina y Caldera.
P á g i n a 16 | 215
A continuación, se procede a realizar Dumpeo de Credenciales:
Tras ejecutar el comando anterior se procede a entrar en Ofensas de Qradar:
El que aparezcan múltiples direcciones IP en destino, es debido a que en dicha ofensa hay varias
alertas. Esto se debe a que en las reglas de Qradar normalmente, se define que, en caso de detectar
eventos maliciosos, previo a crear la ofensa que compruebe si hay alguna otra ofensa por dirección
IP de origen. Un ejemplo, es la siguiente regla:
P á g i n a 17 | 215
P á g i n a 18 | 215
A continuación, se procede a investigar la alerta:
P á g i n a 19 | 215
En la siguiente imagen se muestra el evento generado por caldera.
P á g i n a 20 | 215
P á g i n a 21 | 215
5 Instalación e Configuración de TheHive
La instalación de TheHive se realiza en la máquina UBUNTU con la dirección IP

192.168.0.108.
Previamente hay que instalar OpenJDK y Elasticsearch que ya fueron instalados en el

despliegue de Cortex. Y la configuración del fichero "/etc/elasticsearch/elasticsearch.yml"
hay que dejarla como se realizó en el despliegue de Cortex.
TheHive y Cortex Analyzers son proyectos del mismo creador por lo que las dependencias
a instalar y configuraciones prácticamente son las mismas.
P á g i n a 22 | 215
5.1 Instalación
Se procede a instalar TheHive con las siguientes instrucciones:
cd /opt
wget https://dl.bintray.com/thehive-project/binary/thehive-latest.zip
unzip thehive-latest.zip
ln -s thehive-3.4.3-1/ thehive
Una vez que descargamos TheHive, hay que configurarlo para su posterior ejecución como
un servicio. Para ello, se ejecutan las siguientes instrucciones:
cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)
P á g i n a 23 | 215
El resultado del anterior comando copiar en el fichero de configuración

/opt/thehive/conf/application.conf y cambiar el valor de la variable play.http.secret.key:
Ahora ya podemos configurar TheHive como servicio del sistema:
sudo addgroup thehive

sudo adduser --system thehive
sudo cp /opt/thehive/package/thehive.service /usr/lib/systemd/system
sudo chown -R thehive:thehive /opt/thehive
sudo chgrp thehive /opt/thehive/conf/application.conf
sudo chmod 640 /opt/thehive/conf/application.conf
sudo systemctl enable thehive
sudo service thehive start
P á g i n a 24 | 215
Una vez terminado se accede a http://192.168.0.108:9000
Seleccionar “Update Database” y proceder a crear el usuario administrador:
De esta forma, ya tenemos instalado TheHive correctamente.
P á g i n a 25 | 215
5.2 Configuración
Una vez instalado TheHive hay que realizar la siguiente configuración:
5.2.1 Habilitar TLS

Se procede a habilitar TLS siguiendo el mismo procedimiento con el que se ha configurado
Cortex Analyzers.
Para habilitar TLS primero hay que crear un certificado con el siguiente comando:
openssl req -x509 -newkey rsa:4096 -keyout ../ssl/thehive_key.pem -out

../ssl/thehive_cert.pem -days 365 -nodes
Ahora crear un sitio en nginx en la ruta /etc/nginx/sites-availble/thehive que contenga el

siguiente contenido:
server {
listen 443 ssl;
server_name thehive.nafees.com;
ssl on;
ssl_certificate ssl/thehive_cert.pem;
ssl_certificate_key ssl/thehive_key.pem;
proxy_connect_timeout 600;
proxy_send_timeout 600;
proxy_read_timeout 600;
send_timeout 600;
client_max_body_size 2G;
P á g i n a 26 | 215
proxy_buffering off;
client_header_buffer_size 8k;
location / {
add_header Strict-Transport-Security "max-age=31536000;
includeSubDomains";
proxy_pass http://127.0.0.1:9000/;
proxy_http_version 1.1;
}
}
Habilitar dicho sitio web:
ln -s /etc/nginx/sites-available/thehive /etc/nginx/sites-enabled/
Recargar nginx sin reiniciar el servicio:
Ahora acceder a sitio web creado anteriormente:
P á g i n a 27 | 215
Para acceder con dicho nombre, previamente se ha modificado el fichero hosts de la

máquina 192.168.0.21:
Con esto ya hemos completado la instalación e configuración de TheHive.
P á g i n a 28 | 215
6 Instalación e Configuración de MISP
La instalación de MISP (Malware Information Shared Platform) se realiza en la máquina

UBUNTU con dirección IP 192.168.0.108.
6.1 Instalación
Se procede a instalar MISP con las siguientes instrucciones:
wget -O /tmp/INSTALL.sh
https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh
bash /tmp/INSTALL.sh -c
Después de completar la instalación de MISP hay que hacer unas configuraciones para que
funcione bien.
P á g i n a 29 | 215
Como MISP, por defecto se instala para apache hay que habilitar este servidor web en la
máquina con un puerto diferente al NGINX. Para eso primero, se procede a modificar el
fichero /etc/apache2/ports.conf.
En la imagen anterior se cambia el puerto HTTP y HTTPS para que no entren en conflicto
con NGINX.
Ahora se procede a modificar el fichero de configuración del sitio web de MISP. Dicho
fichero es /etc/apache2/sites-available/misp-ssl.conf.
Una vez realizado todos los cambios hay que reiniciar el servicio de apache.
P á g i n a 30 | 215
Ahora desde el navegador accedemos a la página web https://misp.local:8443/
Las credenciales por defecto son:
Usuario: admin@admin.test
Password: admin
Una vez logeado nos pide cambiar la contraseña obligatoriamente:
De esta forma ya tenemos instalado MISP. Ahora hay que proceder a configurarlo.
P á g i n a 31 | 215
6.2 Configuración
Tras la instalación hay que realizar ciertas configuraciones. Estas son:
6.2.1 Añadir una nueva organización

Crear una nueva organización en MISP:
P á g i n a 32 | 215
Con esto ya tenemos creada la organización para nuestro proyecto. Ahora hay que
proceder a crear el usuario administrador de dicha organización:
6.2.2 Habilitar Feeds en MISP

Ahora se procede a habilitar los Feeds de MISP:
Seleccionar un Feed, en este caso, se selecciona Feodo IP Blocklist y activarlo:
P á g i n a 33 | 215
En la siguiente imagen se puede verificar que se ha habilitado correctamente:
P á g i n a 34 | 215
7 Instalación e Configuración de Suricata
Se procede a instalar Suricata en la máquina UBUNTU 192.168.0.108.
7.1 Instalación
Para la instalación de Suricata hay que seguir las instrucciones de la página web oficial:
https://suricata.readthedocs.io/en/suricata-6.0.1/install.html
Instalar paquetes recomendados para un correcto funcionamiento de Suricata:
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential libpcap-dev \

libnet1-dev libyaml-0-2 libyaml-dev pkg-config zlib1g zlib1g-dev \
libcap-ng-dev libcap-ng0 libmagic-dev \
libnss3-dev libgeoip-dev liblua5.1-dev libhiredis-dev libevent-dev \
python-yaml rustc cargo
Una vez instaladas las dependencias, instalar Suricata con las siguientes instrucciones:
sudo add-apt-repository ppa:oisf/suricata-stable

sudo apt-get update
sudo apt-get install suricata
P á g i n a 35 | 215
Es recomendable instalar el paquete jq que permite mostrar la información en formato EVE

JSON.
sudo apt install jq
P á g i n a 36 | 215
7.2 Configuración
Una vez instalado Suricata hay que configurarlo correctamente para que empiece a
monitorizar la red. En este caso como Suricata está instalado en un entorno virtual,
únicamente podrá capturar los paquetes de la máquina física (192.168.0.20) y de otras
máquinas virtuales.
En un entorno real, la configuración correcta se realiza a través de Port-Mirroring en un

Switch. De forma que, todos los paquetes se reenvíen a un puerto específico del Switch y
en ese puerto conectar la máquina donde está instalado Suricata. Esto se puede realizar
también en los ESXi.
Ahora para que Suricata empiece a monitorizar la red. Para ello, hay que modificar el fichero
de configuración de Suricata /etc/suricata/suricata.yaml indicando la tarjeta de red que se
va a monitorizar:
Una vez configurado la tarjeta de red a monitorizar, se procede a comprobar que la

configuración de Suricata es correcta y si puede monitorizar correctamente. Esto se realiza
con el siguiente comando:
suricata -T -c /etc/suricata/suricata.yaml -vvvv -i enp0s9
P á g i n a 37 | 215
De esta forma, ya tenemos instalado y configurado Suricata correctamente. Ahora, hay que
iniciar Suricata con el siguiente comando:
service suricata start
P á g i n a 38 | 215
8 Instalar e Configurar Qradar CE
8.1 Instalar
Se procede a instalar Qradar CE en un entorno virtual (Vbox). Qradar Community Edition
es una versión gratuita con todas las funciones de QRadar que tiene poca memoria, poco
EPS e incluye una licencia perpetua. Esta versión está limitada a 50 eventos por segundo
y 5,000 flujos de red por minuto, admite aplicaciones, pero se basa en un espacio más
pequeño para uso no empresarial.
QRadar® Community Edition permite a los usuarios, estudiantes, profesionales de la

seguridad y desarrolladores de aplicaciones aprender y experimentar las funciones más
recientes de QRadar 7.3.3 sin vencimiento ni límite de tiempo.
Se puede descargar desde la página web https://www.ibm.com/community/qradar/ce/.
Se procede a descargar Qradar CE:
P á g i n a 39 | 215
Una vez completada la descarga del OVA, se importa en VBox. Tras la importación se
asignan las características físicas de la máquina:
16GB de RAM
P á g i n a 40 | 215
4CPU virtuales
La tarjeta de la máquina virtual se configura en “Adaptador Puente”, para que, esté en la

misma red que la máquina física:
P á g i n a 41 | 215
Una vez configurado las capacidades físicas, se inicia la máquina:
NOTA IMPORTANTE: La máquina virtual solamente debe tener una tarjeta de red hasta completar todo el
proceso de instalación de Qradar CE (Todavía no se ha terminado el proceso de instalación). En caso de
tener dos tarjetas de Red, no se podrá instalar el Qradar CE.
En el primer inicio nos permite establecer una contraseña para el usuario root:
8.1.1 Configurar Red

El siguiente paso es configurar la dirección IP estática de Qradar. Esto se realiza con las
siguientes instrucciones:
P á g i n a 42 | 215
Tras ejecutar el comando anterior se nos abrirá la siguiente ventana. Donde tendremos que
configurar la dirección IP de la tarjeta de red.
P á g i n a 43 | 215
En este caso, se configura la dirección IP 192.168.0.150. Sin embargo, durante la

instalación se observaron errores al tener dos tarjetas de Red. Por lo que, se volvió a instalar
varias veces hasta dar con el error y no se dispone de la captura de dicha configuración.
Actualmente, la máquina tiene configurada la dirección IP 192.168.0.152.
8.1.2 Configurar FQDN

Se procede a configurar el nombre del host:
P á g i n a 44 | 215
8.1.3 Instalar Qradar CE

Una vez realizada la configuración anterior, ya se puede empezar a instalar Qradar CE.
Para ello, se procede a ejecutar el script setup que se encuentra en el home del usuario
root:
P á g i n a 45 | 215
Aceptamos la licencia con “Enter”.
P á g i n a 46 | 215
Finalmente, ya podemos proceder a instalar:
Durante el proceso de instalación nos solicita la contraseña del usuario admin:
P á g i n a 47 | 215
Con esto ya hemos terminado la instalación de Qradar CE. Para comprobar probamos a
acceder vía web:
Si accedemos por primera vez nos solicita cambiar la contraseña del usuario admin:
P á g i n a 48 | 215
Aceptar los términos y condiciones de licencias:
Con esto ya hemos terminado todo el proceso de instalación de Qradar:
P á g i n a 49 | 215
8.2 Configurar
8.2.1 Configurar NTP Server
Se procede a configurar NTP Server en Qradar. Esto se realiza, debido a que a la hora de
revisión de eventos en Log Activity, la hora no coincidía con el evento real. Aún teniendo la
configuración de hora correcta en Qradar.
Para ello, primero se crea un servidor NTP. Dicho servidor se crea en la máquina UBUNTU
192.168.0.108.
8.2.1.1 Instalar NTP SERVER

Se procede a instalar NTP SERVER:
Tras la instalación, se verifica que se ha instalado correctamente:
8.2.1.2 Configurar NTP SERVER

Ahora se procede a configurar NTP SERVER para cambiar los servidores NTP más cercano
a nuestra geografía. Para ello, se edita el fichero /etc/ntp.conf.
Y cambiar a los siguientes servidores NTP:
P á g i n a 50 | 215
Ahora reiniciar el servicio de NTP:
Se procede a comprobar si el servicio está funcionando correctamente. Para ello, se

comprueba que el puerto 123 está abierto o no:
En la imagen anterior se puede comprobar que está abierto. Ahora habilitar el acceso a
dicho servicio desde el Firewall:
P á g i n a 51 | 215
8.2.1.3 Configurar Qradar

Ahora hay que configurar Qradar para que utilice dicho servidor NTP. Para ello, se accede
a los siguientes apartados:
Dentro de System Time utilizar la opción de Specify NTP Server y poner la dirección IP
del servidor NTP.
Nos pedirá que se reiniciarán los servicios del sistema.
Tras confirmarlo, ya tenemos el servidor NTP configurado.
P á g i n a 52 | 215
8.2.2 Licencia
Qradar CE no permite recibir eventos de los Log Sources hasta que se le active la licencia.
Para activar la licencia de Qradar CE hay que ejecutar las siguientes instrucciones:
if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs

Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" >
/opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-
ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs
/opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f
/opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n
"QRadar:Q1 Labs
/opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f
/opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n
"QRadar:Q1 Labs
/opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f
/usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs
/usr/eventgnosis/ecs/license.txt ; fi ; if [ -f
/opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs
/opt/qradar/conf/templates/ecs_license.txt ; fi
Dichas instrucciones se copian en un fichero para ejecutarlos como un script:
Como se puede observar ya están activados los puertos necesarios para la recepción de
eventos tanto de SYSLOG como de Wincollect.
P á g i n a 53 | 215
8.2.3 Wincollect
Wincollect, es un agente de Qradar que permite recoger los eventos de Windows y enviarlo
a Qradar. Para instalar Wincollect, previamente hay que realizar unas configuraciones e
instalaciones de paquetes en Qradar CE.
1. Primero de todo hay que instalar el paquete SFS de Wincollect
2. Una vez descargado hay que montar dicho paquete:
3. Tras montarlo hay que instalarlo:
Con esto, ya se ha instalado Wincollect en Qradar CE.
P á g i n a 54 | 215
4. Ahora hay que autorizar el servicio de Wincollect desde Qradar CE. Para ello, hay que
crear un servicio autorizado con el rol Wincollect, perfil admin y que no expire.
Esto nos sirve para que los agentes de Wincollect se puedan conectar en Qradar. Si no se
configura esto, los agentes no podrán enviar los eventos:
5. Tras crear hay el servicio autorizado hay que desplegar los cambios:
P á g i n a 55 | 215
6. Una vez creado el autorizado el servicio, hay que configurar un destino en Qradar CE
que se encargará de recibir todos los eventos de los agentes Wincollect. Dicho destino
tiene que tener la configuración como se muestra la siguiente imagen. En el campo Host
Name hay que poner la dirección IP del Qradar CE.
Este cambio no requiere desplegar los cambios en Qradar CE.
Con esto, ya se ha finalizado la instalación y configuración de Wincollect en Qradar CE.

Ahora hay que instalar el agente Wincollect en los equipos correspondientes.
P á g i n a 56 | 215
8.2.3.1 Instalar Wincollect en 192.168.0.20

8.2.3.1.1 Instalar Wincollect
Se procede a instalar el agente Wincollect en el host 192.168.0.20 que tiene instalado SO
Windows 10.
1. Para ello, se descarga el agente de Wincollect desde la página web:

https://www.ibm.com/community/qradar/home/wincollect/
P á g i n a 57 | 215
2. Una vez descargado el paquete, se procede a instalarlo:
P á g i n a 58 | 215
3. Se instala como Managed para administrarlo desde Qradar CE:
4. Aquí, se copia el token creado anteriormente y la dirección IP de Qradar CE. El puerto

8413 es el utilizado por Wincollect para comunicarse con Qradar e enviar los eventos.
P á g i n a 59 | 215
5. Ahora hay que poner nombre del LogSource que se creará en Qradar CE y el Destination
Name. En el Destination Name hay que poner también la dirección IP de Qradar (No
hay que poner wudp ya que si no, no funciona).
6. Esto lo dejamos por defecto:
P á g i n a 60 | 215
P á g i n a 61 | 215
En caso de tener una organización grande y varios equipos. Se puede desplegar Wincollect
a través de GPO copiando el comando de la imagen anterior.
Con esto la instalación del agente Wincollect se ha terminado. Ahora hay que entrar en
Qradar para desplegar los cambios.
Verificar si se ha creado el Log Source y el agente:
Agente
P á g i n a 62 | 215
Log Source
Para verificar que se reciben los eventos correctamente hay que entrar en Log Activity:
Como se puede observar en la imagen anterior, únicamente se están recibiendo eventos

del estado de Wincollect. No se están recibiendo eventos del sistema del equipo.
Para corregir esto, hay que crear otro Log Source que se explica en el siguiente apartado.
P á g i n a 63 | 215
8.2.3.1.2 Crear el Log Source

Para recibir los eventos del sistema hay que crear el Log Source indicando que Log Source
Type sea Microsoft Windows Security Event Log e otras configuraciones que se
muestran en la siguiente imagen:
P á g i n a 64 | 215
Ahora desplegar los cambios:
Verificar que se ha creado el Log Source correctamente:
En la siguiente imagen se puede observar que se reciben correctamente los logs.
8.2.3.2 Instalar Wincollect en 192.168.0.21

8.2.3.2.1 Instalar Wincollect
Se procede a instalar Wincollect en otro Windows 10 de diferente manera. Esta vez se
procede a instalarlo a través de comando (el mismo comando que salió en la instalación
anterior):
wincollect-7.3.0-41.x64.exe /s /v"/qn INSTALLDIR=\"C:\Program Files\IBM\WinCollect\"

AUTHTOKEN=1e69e1f8-d527-4e17-aa6b-656c09e1aa7b
FULLCONSOLEADDRESS=192.168.0.152:8413 HOSTNAME=49
P á g i n a 65 | 215
LOG_SOURCE_AUTO_CREATION_ENABLED=True
LOG_SOURCE_AUTO_CREATION_PARAMETERS=""Component1.AgentDevice=Devi
ceWindowsLog&Component1.Action=create&Component1.LogSourceName=49&Comp
onent1.LogSourceIdentifier=W10-
49&Component1.Log.Security=true&Component1.Log.System=true&Component1.Log.A
pplication=true&Component1.Log.DNS+Server=false&Component1.Log.File+Replicatio
n+Service=false&Component1.Log.Directory+Service=false&Component1.Destination.N
ame=wudp&Component1.RemoteMachinePollInterval=3000&Component1.EventRateTu
ningProfile=Default+(Endpoint)&Component1.MinLogsToProcessPerPass=100&Compo
nent1.MaxLogsToProcessPerPass=150"""
Para ejecutar el comando anterior hay que abrir un CMD o POWERSHELL con permisos
de administrador:
Este proceso tarda unos minutos y después se podrá desplegar en Qradar los cambios.
Tras desplegar los cambios
P á g i n a 66 | 215

Ahora se procede a crear el Log Source como antes:
P á g i n a 67 | 215
Una vez creado el Log Source desplegar los cambios y verificar que se están recibiendo los
eventos:
8.2.4 Monitorizar un host Linux

Para poder monitorizar un host Linux con Qradar no requiere instalar ningún agente. Para
ello, se ha utilizado un UBUNTU 18.04.
8.2.4.1 Configuración en Ubuntu

1. Primero hay que configurar el fichero /etc/rsyslog.conf y añadir la siguiente línea:
El *.* indica que mande todos tipos de logs al SIEM (192.168.0.152) al puerto 514. Ahora
hay que reiniciar el servicio rsyslog
2. Una vez configurado el fichero hay que reiniciar el servicio RSYSLOG:
service rsyslog restart
P á g i n a 68 | 215
8.2.4.2 Configuración en Qradar CE

Tras la configuración anterior, hay que crear un Log Source en Qradar como se muestra a
continuación:
Ahora desplegar los cambios:
P á g i n a 69 | 215
Verificar en Log Activity que se reciben los eventos correctamente:
P á g i n a 70 | 215
9 Anexo
9.1 Instalación e Configuración de Cortex Analyzer

La instalación se realiza en la máquina UBUNTU que tiene la dirección IP 192.168.0.108.
9.1.1 Instalación
Se procede a instalar Cortex Analyzer. Para ello, hay que seguir los siguientes pasos:
9.1.1.1 Instalar un JAVA VIRTUAL MACHINE

La instalación de Cortex Analyzer requiere que instalemos el JAVA VIRTUAL MACHINE.
Para ello, se procede a instalar en la máquina Ubuntu con las siguientes instrucciones
sudo add-apt-repository ppa:openjdk-r/ppa

sudo apt-get update
sudo apt-get install openjdk-11-jre-headless
Una vez instalado se puede comprobar con el siguiente comando si se ha instalado

correctamente. Para ello, se procede a ejecutar el siguiente que permite comprobar la
versión de JAVA que está utilizando la máquina:
P á g i n a 71 | 215
9.1.1.2 Instalar e Configurar Elasticsearch

9.1.1.2.1 Instalar
Se procede a instalar elasticsearch:
# PGP key installation

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-key
D88E42B4
# Alternative PGP key installation

# wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key
add -
# Debian repository configuration

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -
a /etc/apt/sources.list.d/elastic-7.x.list
# Install https support for apt

sudo apt install apt-transport-https
# Elasticsearch installation
sudo apt update && sudo apt install elasticsearch
Con esto ya hemos instalado Elasticsearch. Ahora hay que configurar Elasticsearch.
P á g i n a 72 | 215
9.1.1.2.2 Configurar
Para la configuración de Elasticsearch hay que editar el fichero
/etc/elasticsearch/elasticsearch.yml y configurar los siguientes valores:
Ahora se procede a habilitar el servicio de elasticsearch con los siguientes comandos:
sudo systemctl enable elasticsearch.service

sudo systemctl start elasticsearch.service
sudo systemctl status elasticsearch.service
9.1.1.3 Instalar Cortex

Una vez instaladas las dependencias de Cortex se procede a instalar. Para ello, se ejecutar
las siguientes instrucciones:
curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-
PUBLIC-KEY | sudo apt-key add –
echo 'deb https://deb.thehive-project.org release main' | sudo tee -a

/etc/apt/sources.list.d/thehive-project.list
apt-get update
apt install cortex

De esta forma, ya tenemos instalado Cortex en nuestro Ubuntu.
P á g i n a 73 | 215
9.1.2 Configuración
Una vez que instalamos Cortex, hay que configurarlo para su posterior ejecución como un
servicio. Para ello, se ejecutan las siguientes instrucciones:
cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)
El resultado del anterior comando copiar en el fichero de configuración

/etc/cortex/application.conf y cambiar el valor de la variable play.http.secret.key:
Ahora configurar Cortex como servicio del sistema:
sudo addgroup cortex

sudo adduser --system cortex
sudo chown -R cortex:cortex /opt/cortex
sudo chgrp cortex /etc/cortex/application.conf
sudo chmod 640 /etc/cortex/application.conf
sudo systemctl enable cortex
sudo service cortex start
De esta forma ya se ha instalado y configurado Cortex. Se procede a acceder vía web, para
ello, se accede a la siguiente URL http://192.168.0.107:9001/ y nos pedirá para crear un
usuario y contraseña.
P á g i n a 74 | 215
Una vez instalado correctamente, se va proceder a realizar más configuraciones.
9.1.2.1 Habilitar TLS

El TLS no se puede activar en Cortex, por lo que, hay que configurar un proxy inverso en
NGINX. Para eso hay que seguir la guía https://github.com/TheHive-
Project/CortexDocs/blob/master/admin/admin-guide.md
Hay dos formas de habilitar el TLS.
1. Creando un certificado con OpenSSL.

2. Creando un certificado de LetsEncrypt.
Se ha procedido a crear el certificado con OpenSSL. Para ello, se ejecutan las siguientes
instrucciones:
openssl req -x509 -newkey rsa:4096 -keyout cortex_key.pem -out

cortex_cert.pem -days 365 -nodes
P á g i n a 75 | 215
Mover dichos ficheros en la carpeta /etc/nginx/ssl/ (Si no está la carpeta ssl, crearla):
Crear el sitio con el siguiente contenido:
server {
listen 443 ssl;
server_name cortex.nafees.com;
ssl_certificate ssl/cortex_cert.pem;
ssl_certificate_key ssl/cortex_key.pem;
proxy_connect_timeout 600;
proxy_send_timeout 600;
proxy_read_timeout 600;
send_timeout 600;
client_max_body_size 2G;
proxy_buffering off;
client_header_buffer_size 8k;
location / {
add_header Strict-Transport-Security "max-
age=31536000; includeSubDomains";
proxy_pass http://127.0.0.1:9001/;
proxy_http_version 1.1;
proxy_set_header Connection "";
}
}
P á g i n a 76 | 215
Habilitar dicho sitio:
ln -s /etc/nginx/sites-available/cortex /etc/nginx/sites-enabled/
Una vez habilitado iniciar el servicio de NGINX (o reinciarlo):
service nginx start
Por último, se procede a acceder a Cortex desde la máquina 192.168.0.21:
P á g i n a 77 | 215
Para acceder con dicho nombre, previamente se ha modificado el fichero hosts de la

máquina 192.168.0.21:
9.1.2.2 Crear una organización

Para empezar a analizar en Cortex hay que crear una organización. Esto se crea de la
siguiente manera:
Ahora hay que crear el usuario administrador de dicha organización:
P á g i n a 78 | 215
Por último, se establece una contraseña para dicho usuario:
Ahora se procede a entrar con dicho usuario:
P á g i n a 79 | 215
P á g i n a 80 | 215
9.1.3 Instalar e Habilitar Analizadores

Una vez instalado e configurado Cortex hay que activar los analizadores. Como la
herramienta contiene más de 100 analizadores, para este informe únicamente se van a
habilitar algunos de ellos. Por su puesto, en un entorno real habría que activar todos.
9.1.3.1 Instalar analizadores

Previo a instalar los analizadores hay que instalar las dependencias de Cortex Analyzer:
apt-get install -y --no-install-recommends python-pip python2.7-dev python3-

pip python3-dev ssdeep libfuzzy-dev libfuzzy2 libimage-exiftool-perl libmagic1
build-essential git libssl-dev
pip install -U pip setuptools && sudo pip3 install -U pip setuptools
Una vez instaladas las dependencias hay que instalar los analizadores:
Cd /opt
git clone https://github.com/TheHive-Project/Cortex-Analyzers
for I in $(find Cortex-Analyzers -name 'requirements.txt'); do sudo -H pip2 install

-r $I; done && \
for I in $(find Cortex-Analyzers -name 'requirements.txt'); do sudo -H pip3 install
-r $I || true; done
P á g i n a 81 | 215
El siguiente paso es modificar el fichero /etc/cortex/application.conf y añadir la ruta absoluta

de los analizadores:
Una vez instalados los analizadores hay que reiniciar el servicio de cortex:
service cortex restart.
Ahora ya se puede proceder a habilitar los analizadores.
P á g i n a 82 | 215
9.1.3.2 Habilitar analizadores

9.1.3.2.1 VirusTotal_GetReport_3_0
Para activar este analizador, hay que crear una cuenta de VirusTotal y luego copiar la API
KEY en el ANALYZER:
Copiamos la API KEY en el analizador:
P á g i n a 83 | 215
Una vez habilitado, probar dicho analizador ejecutando un análisis:
9.1.3.2.2 VirusTotal_Scan_3_0
Se active de la misma manera que el anterior.
9.1.3.2.3 AbuseIPDB_1_0
Hay que crear una cuenta en https://www.abuseipdb.com/ y luego crear una clave de API.
P á g i n a 84 | 215
Una vez creada la clave hay que activar el analizador:
P á g i n a 85 | 215
Se procede a ejecutar dicho analizador:
A continuación, se puede observar los resultados de dicho analizador:
P á g i n a 86 | 215
9.1.3.2.4 Abuse_Finder_3_0
No requiere ninguna configuración para habilitarlo.
P á g i n a 87 | 215
Se procede a ejecutar dicho analizador:
P á g i n a 88 | 215
9.1.3.2.5 Censys_1_0
Hay que crear una cuenta en https://censys.io/account/api y luego copiar la clave api en
dicho analizador:
P á g i n a 89 | 215
9.1.3.2.6 Crt_sh_Transparency_Logs_1_0
No requiere ninguna configuración para habilitarlo.
Tras habilitarlo, se procede a ejecutarlo:
P á g i n a 90 | 215
P á g i n a 91 | 215
9.2 Integraciones
A continuación, se detalla las integraciones de cada una de las herramientas utilizadas,
entre ellas.
9.2.1 Integrar TheHive con Cortex Analyzers

Una vez instaladas ambas herramientas, hay que integrarlas. Esta integración, nos sirve
para realizar un análisis ya sea de una dirección IP u otro IOC desde la propio TheHive.
Esto ahorra el tiempo de un analista a la hora de analizar la incidencia.
Se ha seguido el procedimiento indicado en la página web

https://blog.agood.cloud/posts/2019/09/27/integrate-thehive-and-cortex/
Lo primero que hay que hacer es entrar en Cortex y crear un usuario a través de orgadmin
que únicamente tenga permisos de read y analyze. Este usuario se utilizará en TheHive
para realizar los análisis.
Establecer una contraseña y la API KEY para dicho usuario:
P á g i n a 92 | 215
Para copiar la clave de API, clicar en Reveal:
Una vez copiada la API KEY, hay que editar el fichero de configuración de thehive
/etc/thehive/application.conf y habilitar las siguientes líneas:
P á g i n a 93 | 215
Por último, reiniciar el servicio de TheHive:
9.2.1.1 Verificar la integración

Para comprobar la integración, entrar en TheHive y verificar que Cortex está habilitado:
Se procede a crear un nuevo caso en TheHive para comprobar que realmente funciona:
P á g i n a 94 | 215
P á g i n a 95 | 215
Crear un nuevo observable:
Y ejecutar el análisis con los analizadores de Cortex:
P á g i n a 96 | 215
Seleccionar el analizador y ejecutarlo:
Una vez terminado la ejecución, clicar sobre ella:
P á g i n a 97 | 215
Y podemos observar que se ha ejecutado correctamente:
9.2.2 Integrar TheHive con MISP

Para integrar ambas herramientas hay que tener un usuario de API en MISP que tenga
permisos de sync y copiar su AuthKey. Se procede a crear dicho usuario:
P á g i n a 98 | 215
Ahora se procede a modificar el fichero /etc/thehive/application.conf:
NOTA: Los pasos que se han seguido para la integración se describen en esta página web
https://blog.agood.cloud/posts/2019/04/29/building-misp/
Una vez realizado estos cambios hay que reiniciar el Hive. Tras reiniciar Thehive se accede
por web y comprobamos que está en rojo dicho icono.
P á g i n a 99 | 215
Para obtener más información sobre dicho error hay que ir a Admin->About
Es muy probable que dicho error se produzca porque el certificado no es de confianza:
P á g i n a 100 | 215
Dicho error se produce porque en la configuración de sitio web no está habilitado

SSLCertificateChainFile. Se puede resolver dicho error, instalando un certificado de Let’s
encrypt.
En el siguiente apartado se puede comprobar que hay otra alternativa para analizar los IOC
con MISP desde TheHive.
9.2.3 Integrar MISP con Cortex Analyzer

Esta integración es muy sencilla, simplemente hay que activar el analizador que incorpora
Cortex Analyzer y copiar la API Key del usuario que se ha creado para la sincronización.
P á g i n a 101 | 215
A continuación, se puede comprobar que se ha ejecutado correctamente su análisis:
De esta forma, podemos analizar desde TheHive los IOC que estén en MISP:
P á g i n a 102 | 215
9.2.4 Integrar TheHive con Qradar

Qradar2thehive se creó para utilizar TheHive como una plataforma de respuesta a
incidentes para IBM QRadar SIEM. La herramienta requiere que previamente instalemos
TheHive4py (https://thehive-project.github.io/TheHive4py/). Esto se realiza con la siguiente
instrucción:
Ahora proceder a instalar la herramienta. Para ello, se copia el proyecto de git desde
https://github.com/pierrebarlet/qradar2thehive
9.2.4.1 Configuración en TheHive

Proceder a crear un usuario de APIKEY en TheHive con los siguientes permisos:
P á g i n a 103 | 215
9.2.4.2 Configuración en Qradar

Proceder a crear un token de autorización en Qradar:
Y copiar dicho token:
9.2.4.3 Configuración en Qradar2TheHive

Ahora editar el fichero /opt/qradar2thehive/qradar2thehive.py y cambiar la configuración
correspondiente, como se muestra en la siguiente imagen:
P á g i n a 104 | 215
El fichero fileid se utiliza para los id de las ofensas. Hay que crearlo manualmente y tiene
que estar vacío si se ejecuta la primera vez.
9.2.4.4 Verificar la integración

Para verificar la integración ejecutar el fichero /opt/qradar2thehive/qradar2thehive.py
Tras la ejecución de dicho fichero, se comprueba desde TheHive que se han creado las
ofensas que habían en Qradar:
P á g i n a 105 | 215
9.2.4.5 Automatizar la ejecución

Para automatizarlo hay que ejecutarlo a través de Cron (/etc/crontab):
9.2.5 Integrar Suricata con Qradar

El objetivo de esta integración es, cuando se genere una alerta en Suricata, también se
genere en Qradar. Y así tener una única herramienta de seguridad para la visualización de
alertas.
Además, esta integración mejora la capacidad de detección de intrusos. Se procede a

integrar Suricata con Qradar. Para ello, se han seguido los siguientes pasos:
P á g i n a 106 | 215
9.2.5.1 Configuración en Suricata

Para que Suricata envíe los logs a Qradar hay que modificar el fichero
/etc/suricata/suricata.yaml. En el apartado de configuración de logs de EVE configurar
que el envío de SYSLOG y modificar los valores indicados en la imagen siguiente:
Una vez realizado el cambio hay que configurar para que envíe dichos logs al SIEM. Para
ello, modificar el fichero /etc/rsyslog.conf:
De esta forma, ya estamos enviando eventos al SIEM.
P á g i n a 107 | 215
9.2.5.2 Configuración en Qradar

Una vez realizada la configuración anterior, entramos en Qradar. Dentro de la pestaña Log
Activity podemos observar los eventos de Suricata que se han enviado:
Una vez que vemos que se reciben los eventos hay que crear un DSM de Suricata para
que Qradar sea capaz de entender dichos eventos.
9.2.5.2.1 Creación de DSM

Se procede a crear un nuevo DSM:
P á g i n a 108 | 215
Ahora se procede a crear/modificar los campos en dicho DSM:
9.2.5.2.1.1 Date_Time
El formato de los eventos que se envían al SIEM es JSON y Qradar permite normalizar los
eventos JSON. Para ello simplemente hay que seleccionar el campo que se quiere parsear,
en este caso Date_Time:
P á g i n a 109 | 215
Y en Expression Type seleccionar JSON e en Expression el campo que se va a utilizar el

campo RAW. En este caso, el campo es timestamp.
9.2.5.2.1.2 Event_type
Para el campo Event_type de Suricata, Qradar no posee un campo por defecto. Por lo que,
hay que crear un nuevo campo:
P á g i n a 110 | 215
Por último, seleccionar JSON y el escribir el valor correspondiente para que coja el Event
Type del evento.
P á g i n a 111 | 215
9.2.5.2.1.3 Source IP
En este campo hay que indicar la dirección IP de origen que está en el evento. Dicho campo
hay que configurar como la siguiente imagen:
9.2.5.2.1.4 Source Port

En este campo hay que indicar el puerto de origen que está en el evento. Dicho campo hay
que configurar como la siguiente imagen:
P á g i n a 112 | 215
9.2.5.2.1.5 Destination IP
En este campo hay que indicar la dirección IP de destino que está en el evento. Dicho
campo hay que configurar como la siguiente imagen:
9.2.5.2.1.6 Destination Port

En este campo hay que indicar el puerto de destino que está en el evento. Dicho campo
hay que configurar como la siguiente imagen:
P á g i n a 113 | 215
9.2.5.2.1.7 Protocol
En este campo hay que indicar el protocolo utilizado en el evento. Dicho campo hay que
configurar como la siguiente imagen:
9.2.5.2.1.8 Action
En este campo hay que indicar la acción realizado durante la comunicación. Si la petición
ha sido permitida o denegada. Para ello, hay que crear un nuevo campo. Como se muestra
a continuación:
P á g i n a 114 | 215
9.2.5.2.1.9 Signature
Este campo muestra una descripción de la alerta. Para que Qradar entienda dicho campo
hay que crear un nuevo campo en el DSM.
P á g i n a 115 | 215
A continuación, se muestra cómo hay que parsear dicho campo:
9.2.5.2.1.10 Event ID
El campo Event ID se ha decidido que siempre sea el mismo para que a la hora de mapear
los eventos no tengamos ningún problema. Se observa que los eventos de las alertas
contienen siempre el GID que es siempre un 1. Por lo que, para las alertas se ha utilizado
el GID como su Event ID.
Para los eventos que no tienen el GID o que no son de alertas se ha utilizado el valor 166
que viene al comienza de todos los eventos.
Se puede utilizar este valor tanto para los eventos que no son alertas como los eventos de
las alertas. En este caso se ha decidido usarlo un Event ID diferente para cada uno. La
configuración del campo tiene que ser como la siguiente:
P á g i n a 116 | 215
Estos Event ID se van a utilizar más tarde a la hora de mapear los QID.
9.2.5.2.1.11 Event Category

El campo Event Category de Suricata nos indica que tipo de alerta se ha generado. En este
caso, todas las categorías de las alertas de Suricata están definidas en el fichero
/etc/suricata/classification.config.
P á g i n a 117 | 215
Por lo tanto, se va a proceder a generar una alerta por cada categoría para que Suricata
pueda entender todas las alertas generadas. La regla de Suricata que se va a utilizar para
estas pruebas es la siguiente:
Para que se genere un evento de cada categoría, se ha realizado un ping para cada
classtype y se han obtenido los siguientes eventos:
<166>suricata[2123]: {"timestamp":"2021-05-
16T22:36:13.790309+0200","flow_id":413220988387510,"in_iface":"enp0s8","event_type":"alert","src_ip":"192.168.1.2","src_port":0,"
dest_ip":"192.168.0.20","dest_port":0,"proto":"ICMP","icmp_type":3,"icmp_code":1,"alert":{"action":"allowed","gid":1,"signature_id":0,"
rev":0,"signature":"Test ICMP","category":"Generic Protocol Command
Decode","severity":3},"flow":{"pkts_toserver":2,"pkts_toclient":1,"bytes_toserver":132,"bytes_toclient":94,"start":"2021-05-
16T22:36:10.786614+0200"}}
22T21:25:09.367201+0200","flow_id":1820721908390202,"in_iface":"enp0s8","event_type":"alert","src_ip":"192.168.0.1","src_port":0
,"dest_ip":"192.168.0.107","dest_port":0,"proto":"ICMP","icmp_type":0,"icmp_code":0,"alert":{"action":"allowed","gid":1,"signature_id":
0,"rev":0,"signature":"Test ICMP","category":"Not Suspicious
Traffic","severity":3},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T21:25:09.366906+0200"}}
dest_ip":"192.168.0.107","dest_port":0,"proto":"ICMP","icmp_type":0,"icmp_code":0,"alert":{"action":"allowed","gid":1,"signature_id":0,
"rev":0,"signature":"Test ICMP","category":"Unknown
22T21:28:18.729312+0200"}}
22T21:30:36.643316+0200","flow_id":925180446429428,"in_iface":"enp0s8","event_type":"alert","src_ip":"192.168.0.107","src_port":
0,"dest_ip":"192.168.0.1","dest_port":0,"proto":"ICMP","icmp_type":8,"icmp_code":0,"alert":{"action":"allowed","gid":1,"signature_id":0
,"rev":0,"signature":"Test ICMP","category":"Potentially Bad
22T21:30:36.643316+0200"}}
0,"rev":0,"signature":"Test ICMP","category":"Attempted Information
Leak","severity":2},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T21:32:16.568388+0200"}}
dest_ip":"192.168.0.20","dest_port":0,"proto":"ICMP","icmp_type":3,"icmp_code":1,"alert":{"action":"allowed","gid":1,"signature_id":0,"
rev":0,"signature":"Test ICMP","category":"Information
22T21:35:38.982983+0200"}}
0,"rev":0,"signature":"Test ICMP","category":"Large Scale Information
P á g i n a 118 | 215
22T21:38:17.655650+0200"}}
"rev":0,"signature":"Test ICMP","category":"Attempted Denial of
Service","severity":2},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T21:41:07.691706+0200"}}
"rev":0,"signature":"Test ICMP","category":"Denial of
Service","severity":2},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T21:44:15.986147+0200"}}
0,"rev":0,"signature":"Test ICMP","category":"Attempted User Privilege
Gain","severity":1},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T21:47:28.278334+0200"}}
"rev":0,"signature":"Test ICMP","category":"Unsuccessful User Privilege
22T21:49:25.611729+0200"}}
0,"rev":0,"signature":"Test ICMP","category":"Attempted Administrator Privilege
22T21:53:10.467345+0200"}}
0,"dest_ip":"8.8.8.8","dest_port":0,"proto":"ICMP","icmp_type":8,"icmp_code":0,"alert":{"action":"allowed","gid":1,"signature_id":0,"rev"
:0,"signature":"Test ICMP","category":"Successful Administrator Privilege
22T21:55:18.926093+0200"}}
22T21:57:40.120996+0200","flow_id":1793560663080953,"in_iface":"enp0s8","event_type":"alert","src_ip":"8.8.8.8","src_port":0,"des
t_ip":"192.168.0.107","dest_port":0,"proto":"ICMP","icmp_type":0,"icmp_code":0,"alert":{"action":"allowed","gid":1,"signature_id":0,"re
v":0,"signature":"Test ICMP","category":"Decode of an RPC
Query","severity":2},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T21:57:40.114681+0200
22T22:00:17.190119+0200","flow_id":301935711341872,"in_iface":"enp0s8","event_type":"alert","src_ip":"8.8.8.8","src_port":0,"dest
_ip":"192.168.0.107","dest_port":0,"proto":"ICMP","icmp_type":0,"icmp_code":0,"alert":{"action":"allowed","gid":1,"signature_id":0,"rev
":0,"signature":"Test ICMP","category":"Executable code was
detected","severity":1},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T22:00:17.183600+0200"}}
P á g i n a 119 | 215
":0,"signature":"Test ICMP","category":"A suspicious string was
22T22:02:29.645386+0200"}}
v":0,"signature":"Test ICMP","category":"A suspicious filename was
22T22:04:23.921366+0200"}}
v":0,"signature":"Test ICMP","category":"An attempted login using a suspicious username was
22T22:06:52.376116+0200"}}
v":0,"signature":"Test ICMP","category":"A system call was
22T22:08:11.593177+0200"}}
22T22:12:45.217542+0200","flow_id":1602189864554950,"in_iface":"enp0s8","event_type":"alert","src_ip":"192.168.0.107","src_port
":0,"dest_ip":"8.8.8.8","dest_port":0,"proto":"ICMP","icmp_type":8,"icmp_code":0,"alert":{"action":"allowed","gid":1,"signature_id":0,"re
v":0,"signature":"Test ICMP","category":"A TCP connection was
22T22:12:45.217542+0200"}}
v":0,"signature":"Test ICMP","category":"A Network Trojan was
22T22:16:47.619937+0200"}}
v":0,"signature":"Test ICMP","category":"A client was using an unusual
port","severity":2},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T22:33:29.775667+0200"}}
22T22:35:42.823479+0200","flow_id":82007755031581,"in_iface":"enp0s8","event_type":"alert","src_ip":"192.168.1.2","src_port":0,"d
est_ip":"192.168.0.20","dest_port":0,"proto":"ICMP","icmp_type":3,"icmp_code":1,"alert":{"action":"allowed","gid":1,"signature_id":0,"r
ev":0,"signature":"Test ICMP","category":"Detection of a Network
Scan","severity":3},"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":198,"bytes_toclient":94,"start":"2021-05-
22T22:35:39.820253+0200"}}
P á g i n a 120 | 215
v":0,"signature":"Test ICMP","category":"Detection of a Denial of Service
Attack","severity":2},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T22:37:27.396415+0200"}}
":0,"signature":"Test ICMP","category":"Detection of a non-standard protocol or
event","severity":2},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T22:39:11.909869+0200"}}
:0,"signature":"Test ICMP","category":"access to a potentially vulnerable web
application","severity":2},"flow":{"pkts_toserver":1,"pkts_toclient":0,"bytes_toserver":98,"bytes_toclient":0,"start":"2021-05-
22T22:42:37.051541+0200"}}
":0,"signature":"Test ICMP","category":"Web Application
22T22:44:12.371680+0200"}}
v":0,"signature":"Test ICMP","category":"Misc
activity","severity":3},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T22:46:24.858243+0200"}}
":0,"signature":"Test ICMP","category":"Misc
22T22:48:15.107917+0200"}}
":0,"signature":"Test ICMP","category":"Generic ICMP
event","severity":3},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T22:51:43.378520+0200"}}
v":0,"signature":"Test ICMP","category":"Inappropriate Content was
Detected","severity":1},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T22:53:07.231788+0200"}}
v":0,"signature":"Test ICMP","category":"Potential Corporate Privacy
Violation","severity":1},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T22:55:27.251366+0200"}}
P á g i n a 121 | 215
":0,"signature":"Test ICMP","category":"Attempt to login by a default username and
password","severity":2},"flow":{"pkts_toserver":1,"pkts_toclient":1,"bytes_toserver":98,"bytes_toclient":98,"start":"2021-05-
22T22:57:29.259043+0200"}}
v":0,"signature":"Test ICMP","category":"Targeted Malicious Activity was
22T22:59:10.921751+0200"}}
":0,"signature":"Test ICMP","category":"Exploit Kit Activity
22T23:00:49.768102+0200"}}
":0,"signature":"Test ICMP","category":"Device Retrieving External IP Address
22T23:02:57.760862+0200"}}
v":0,"signature":"Test ICMP","category":"Domain Observed Used for C2
22T23:04:23.420191+0200"}}
:0,"signature":"Test ICMP","category":"Possibly Unwanted Program
22T23:06:15.218790+0200"}}
v":0,"signature":"Test ICMP","category":"Successful Credential Theft
22T23:08:56.404147+0200"}}
22T23:10:10.331425+0200","flow_id":1037799175360161,"in_iface":"enp0s8","event_type":"alert","src_ip":"192.168.0.107","src_port
":0,"dest_ip":"8.8.8.8","dest_port":0,"proto":"ICMP","icmp_type":8,"icmp_code":0,"alert":{"action":"allowed","gid":1,"signature_id":0,"re
v":0,"signature":"Test ICMP","category":"Possible Social Engineering
Attempted","severity":2},"flow":{"pkts_toserver":1,"pkts_toclient":0,"bytes_toserver":98,"bytes_toclient":0,"start":"2021-05-
22T23:10:10.331425+0200"}}
P á g i n a 122 | 215
v":0,"signature":"Test ICMP","category":"Crypto Currency Mining Activity
22T23:12:56.728552+0200"}}
":0,"signature":"Test ICMP","category":"Malware Command and Control Activity
22T23:13:16.078857+0200"}}
Se copian dichos eventos en el DSM y se procede a parsear los eventos:
Como se puede observar ya se ha parseado correctamente los Event Category.
En el siguiente apartado, se va a explicar el porque se ha generado cada uno de estos

eventos.
9.2.5.2.1.12 Event Name

Para que los eventos se parseen correctamente con sus debidos valores, también hay que
mapearlos, lo que se llama en Qradar “Event Mapping”. El Event Mapping en Qradar
consiste en cada evento generado por un Log Source se categorice correctamente para
luego correlar con las reglas de Qradar. De esta forma, si un evento ocurre con las
condiciones que hay en una regla se genera una ofensa en Qradar.
Esto se configura, de manera que, cuando se genere una alerta en Suricata también se
genere en Qradar. Para ello, se ha procedido a mapear todas las categorías de las alertas
y cada una de ellas con su criticidad correspondiente.
P á g i n a 123 | 215
Por otra parte, los eventos que no pertenezcan a dichas categorías, es decir, los eventos
normales que no sean alertas, Qradar debe ser capaz de entenderlo. Esto también se
explica en los siguientes pasos como se ha realizado.
A continuación, se procede a crear el Event Mapping para cada una de las categorías:
9.2.5.2.1.12.1 Generic Protocol Command Decode

Se procede a mapear la categoría Generic Protocol Command Decode. Para ello, dentro
del DSM hay que entrar en la pestaña Event Mapping y crear un nuevo Event Mapping.
Es importante tener en cuenta que el Event ID tiene que coincidir con los eventos que se
van a parsear. En caso contrario no se va a mapear dicho evento. Lo mismo para el campo
Event Category. Por otra parte, a la hora de crear el Event Mapping hay que crear/utilizar
un QID para dicho mapeo:
P á g i n a 124 | 215
En la imagen anterior, se puede observar que se ha creado un QID únicamente para esa
categoría y que es únicamente para el Log Source Suricata. Y el dicho QID se ha
categorizado como MISC.
P á g i n a 125 | 215
Con esto ya hemos creado el Event Mapping para dicha categoría. En la siguiente imagen,
podemos observar que el campo Event Name se cambia automáticamente:
9.2.5.2.1.12.2 Unknow Event

Para crear el mapeo de esta categoría se siguen los mismos pasos que la categoría
anterior. Se crea un nuevo QID.
P á g i n a 126 | 215
En la imagen siguiente se puede observar que se ha creado el mapeo correctamente:
P á g i n a 127 | 215
9.2.5.2.1.12.3 Not Suspicious Traffic

P á g i n a 128 | 215
9.2.5.2.1.12.4 Potentially Bad Traffic

P á g i n a 129 | 215
P á g i n a 130 | 215
9.2.5.2.1.12.5 Attempted Information Leak

P á g i n a 131 | 215
P á g i n a 132 | 215
9.2.5.2.1.12.6 Information Leak

Para esta categoría se utiliza el mapeo creado anteriormente.
P á g i n a 133 | 215
9.2.5.2.1.12.7 Large Scale Information Leak

P á g i n a 134 | 215
P á g i n a 135 | 215
9.2.5.2.1.12.8 Denial of Service

P á g i n a 136 | 215
9.2.5.2.1.12.9 Attempted User Privilege Gain

P á g i n a 137 | 215
P á g i n a 138 | 215
9.2.5.2.1.12.10 Unsuccessful User Privilege Gain

P á g i n a 139 | 215
9.2.5.2.1.12.11 Attempted Administrator Privilege Gain

P á g i n a 140 | 215
9.2.5.2.1.12.12 Successful Administrator Privilege Gain

P á g i n a 141 | 215
9.2.5.2.1.12.13 Unknown
P á g i n a 142 | 215
9.2.5.2.1.12.14 Executable code was detected

P á g i n a 143 | 215
9.2.5.2.1.12.15 A suspicious string was detected

P á g i n a 144 | 215
P á g i n a 145 | 215
9.2.5.2.1.12.16 A suspicious filename was detected

P á g i n a 146 | 215
9.2.5.2.1.12.17 An attempted login using a suspicious username was detected

P á g i n a 147 | 215
P á g i n a 148 | 215
9.2.5.2.1.12.18 A system call was detected

Para esta categoría se utiliza el mismo QID que la categoría A suspicious string was
detected.
P á g i n a 149 | 215
9.2.5.2.1.12.19 A TCP connection was detected

P á g i n a 150 | 215
9.2.5.2.1.12.20 A Network Trojan was detected

P á g i n a 151 | 215
P á g i n a 152 | 215
9.2.5.2.1.12.21 A client was using an unusual port

P á g i n a 153 | 215
9.2.5.2.1.12.22 Detection of a Network Scan

P á g i n a 154 | 215
P á g i n a 155 | 215
9.2.5.2.1.12.23 Detection of a Denial of Service Attack

En esta categoría se procede a utilizar el mismo QID que la categoría Denial of Service.
P á g i n a 156 | 215
9.2.5.2.1.12.24 Detection of a non-standard protocol or event

P á g i n a 157 | 215
9.2.5.2.1.12.25 Access to a potentially vulnerable web application

P á g i n a 158 | 215
P á g i n a 159 | 215
9.2.5.2.1.12.26 Web Application Attack

P á g i n a 160 | 215
9.2.5.2.1.12.27 Misc activity

P á g i n a 161 | 215
P á g i n a 162 | 215
9.2.5.2.1.12.28 Generic ICMP evento

P á g i n a 163 | 215
9.2.5.2.1.12.29 Inappropriate Content was Detected

P á g i n a 164 | 215
P á g i n a 165 | 215
9.2.5.2.1.12.30 Potential Corporate Privacy Violation

P á g i n a 166 | 215
9.2.5.2.1.12.31 Attempt to login by a default username and password

P á g i n a 167 | 215
P á g i n a 168 | 215
9.2.5.2.1.12.32 Targeted Malicious Activity was Detected

P á g i n a 169 | 215
9.2.5.2.1.12.33 Exploit Kit Activity Detected

P á g i n a 170 | 215
P á g i n a 171 | 215
9.2.5.2.1.12.34 Device Retrieving External IP Address Detected

P á g i n a 172 | 215
9.2.5.2.1.12.35 Domain Observed Used for C2 Detected

P á g i n a 173 | 215
P á g i n a 174 | 215
9.2.5.2.1.12.36 Possibly Unwanted Program Detected

P á g i n a 175 | 215
9.2.5.2.1.12.37 Successful Credential Theft Detected

P á g i n a 176 | 215
P á g i n a 177 | 215
9.2.5.2.1.12.38 Possible Social Engineering Attempted

P á g i n a 178 | 215
9.2.5.2.1.12.39 Crypto Currency Mining Activity Detected

P á g i n a 179 | 215
P á g i n a 180 | 215
9.2.5.2.1.12.40 Malware Command and Control Activity Detected

P á g i n a 181 | 215
9.2.5.2.1.12.41 Suricata General Event

Esta categoria se va a utilizar para todos los eventos que no correspondan a las categorías
anteriores. Es decir, todos los eventos que no sean las alertas de Suricata.
Para ello, se crea un nuevo QID mapeando con el Event ID 166. Este valor lo tienen todos
los eventos de Suricata (Incluidos los de alertas). Solamente que en este caso se va a
aplicar cuando no corresponda a ninguna de las categorías anteriores.
P á g i n a 182 | 215
P á g i n a 183 | 215
9.2.5.2.1.13 Habilitar “Parse in advance for reports, rules and searches”

Esta opción a la hora de agregar los nuevos campos no lo hemos habilitado. Esto nos sirve
para utilizar dichos campos en las reglas, informes y en las busquedas de los eventos. Por
lo tanto, es importante activarlo.
A continuación, se precede a activar en los campos siguientes desde Custom Event

Properties:
9.2.5.2.1.13.1 Action
P á g i n a 184 | 215
9.2.5.2.1.13.2 Date_Time
9.2.5.2.1.13.3 Event Type
P á g i n a 185 | 215
9.2.5.2.1.13.4 Signature

Se procede a crear el Log Source de Suricata. La máquina donde está instalado Suricata
tiene dos tarjetas de Red. Y esas tarjetas de red tienen las direcciones IP:
1. 192.168.0.108
2. 192.168.0.107
Procedemos a crear el log source en Qradar para cada una de las direcciones IP:
P á g i n a 186 | 215
9.2.5.2.2.1 Log Source 192.168.0.107

Se procede a crear el LogSource indicando la dirección IP de la máquina desde Admin-
>Events ->Log Sources
Una vez configurado con los parámetros correctos hay que guardarlo y desplegar los
cambios.
P á g i n a 187 | 215
9.2.5.2.2.2 Log Source 192.168.0.108

Ahora se procede a crear otro Log Source para la otra dirección IP. Esta vez se ha decidido
usar la aplicación Log Source Management.
Seleccionar el DSM de Suricata creado previamente:
Ahora elegir el protocolo. En este caso se utiliza SYSLOG:
P á g i n a 188 | 215
Asignar el nombre del Log Source y habilitar las opciones seleccionadas mostradas en la
imagen siguiente:
P á g i n a 189 | 215
Indicar la dirección IP:
Con esto ya hemos finalizado el Log Source:
Por último, desplegar los cambios.
9.2.5.2.3 Resultados Finales

Una vez realizada la configuración anterior, se puede observar los eventos en Log Activity:
P á g i n a 190 | 215
En los eventos donde pone el origen 192.168.0.100 (Esta dirección anteriormente era
192.168.0.107) y el destino este mismo, indica que es un evento de IPv6 y el DSM no es
capaz de parsear dicho valor.
Aunque, en Qradar existen campos de SRCIPv6 y DSTIPv6, pero, esto no lo resuelve.
9.2.5.2.4 Crear regla en Qradar

En esta sección, se procede a crear una regla en Qradar para que cuando se genere una
alerta en Suricata, también, se genere en Qradar. La regla la podemos crear de dos formas:
1. Crear una regla por AQL

2. Crear una regla por QID
En este caso se elije la opción uno. A continuación, se explica como se ha creado dicha
regla:
1. Se procede a crear la consulta AQL que únicamente muestra las alertas generadas
de Suircata.
select "Event Type" from events where "event Type"='alert' and

LOGSOURCETYPENAME(devicetype)='Suricata'
Se puede observar en la imagen anterior que hay dos eventos de alertas Suricata en
Qradar.
P á g i n a 191 | 215
2. Se crea la regla:
Es importante tener en cuenta que en el AQL de las reglas únicamente hay que poner
el texto que va después de Where.
P á g i n a 192 | 215
3. Asignamos prioridad a dicha regla:
4. Se procede a generar la alarma (La regla de Suricata es la misma que se ha

mostrado anteriormente):
P á g i n a 193 | 215
Podemos observar en la imagen siguiente que se han recibido los eventos de alerta.
Además, podemos observar un icono en rojo que indica que hay una ofensa
relacionado a dicho evento.
5. Si entramos en Ofensas, podemos observar que se ha generado la ofensa:
9.3 Instalación e Configuración de Use Case Manager

9.3.1 Instalación
QRadar Use Case Manager incluye un explorador de casos de uso que ofrece informes
flexibles relacionados con las reglas. La aplicación también expone asignaciones de MITRE
predefinidas a las reglas del sistema y le ayuda a asignar sus propias reglas personalizadas
a las tácticas y técnicas de MITRE ATT&CK.
En la página web de Exchange Force se puede descargar Use Case Manager

https://exchange.xforce.ibmcloud.com/hub/extension/bf01ee398bde8e5866fe51d0e1ee68
4a
Una vez descargado, se importa desde Extension Management:
P á g i n a 194 | 215
Indicamos el fichero ZIP que se ha descargado y proceder a instalar:
P á g i n a 195 | 215
P á g i n a 196 | 215
Desplegar los cambios en Qradar:
P á g i n a 197 | 215
Una vez que finalice el proceso del despliegue, habremos finalizado la instalación.
9.3.2 Configuración
Tras finalizar nos habrá aparecido otra pestaña en Qradar con el nombre “Use Case
Manager”. Accedemos a dicha pestaña y nos aparecerá la siguiente ventana de que la
aplicación no está configurada:
P á g i n a 198 | 215
P á g i n a 199 | 215
Para configurar la aplicación hay que seguir los siguientes pasos:
1. Crear un token de autorización desde “Managed Authorized Services”:
Creamos un token con la siguiente configuración:
2. Copiar dicho token:
P á g i n a 200 | 215
3. Desplegar los cambios:
4. Una vez desplegado los cambios, volver a acceder a Use Case Manager y pegar el
token:
P á g i n a 201 | 215
5. Elegir una de las siguientes opciones:
6. Por último, ya podremos utilizar la aplicación:
NOTA: En caso de que dé un error de permisos, hay que borrar la cache del navegador.
P á g i n a 202 | 215
9.4 Instalación de Log Source Managment

IBM Security QRadar Log Source Management es una nueva interfaz completamente
rediseñada para ver, crear, editar y eliminar Log Sources.
9.4.1 Instalación
En la página web de Exchange Force se puede descargar Use Case Manager
https://exchange.xforce.ibmcloud.com/hub/extension/8169c48dc992961acb8f963cdcf56fa
a
Una vez descargado, se importa desde Extension Management:
P á g i n a 203 | 215
Indicamos el fichero ZIP que se ha descargado y proceder a instalar:
P á g i n a 204 | 215
P á g i n a 205 | 215
Con esto ya hemos finalizado el proceso de instalación. Esta aplicación no requiere

desplegar los cambios tras su instalación.
P á g i n a 206 | 215
Para acceder a la aplicación, hay que ir a la sección de Qradar Log Source Management
dentro de admin.
P á g i n a 207 | 215
9.5 Instalación de Qradar Deployment Intelligence

QRadar Deployment Intelligence es una potente aplicación de supervisión creada para
ofrecer a los usuarios una visión general del estado de su implementación de QRadar.
La aplicación consolida datos históricos por host de: estado, tiempo de actividad,
notificaciones, eventos y tasas de flujo, métricas de rendimiento del sistema, métricas
específicas de QRadar y más.
Es completamente interactivo: al principio muestra una descripción general de todos los

hosts, y luego el usuario puede profundizar e investigar hosts específicos para ver
información detallada sobre el estado y la salud.
9.5.1 Instalación
Se puede descargar la aplicación desde el siguiente enlace
https://exchange.xforce.ibmcloud.com/hub/extension/a154264f905e4d407d8d2dbf20737c
09
P á g i n a 208 | 215
Una vez descargado, se importa desde Extension Management con la siguiente

configuración:
Con esto ya hemos instalado Qradar Deployment Intelligence.

P á g i n a 209 | 215
9.6 Instalar Qradar Compliance Extension

El paquete de contenido de Cumplimiento proporciona contenido de reglas e informes para
implementar controles generales de cumplimiento y políticas.
Se puede descargar desde el enlace

https://exchange.xforce.ibmcloud.com/hub/extension/IBMQRadar:IBMContentPackageInte
rnalCompliance
P á g i n a 210 | 215
9.6.1 Instalar
Una vez descargado, hay que instalar desde Extension Managment:
P á g i n a 211 | 215
P á g i n a 212 | 215
Con esto ya hemos finalizado la instalación.
P á g i n a 213 | 215
9.7 Instalación de Caldera

Caldera es un framework diseñado para automatizar fácilmente la emulación de adversarios,
ayudar a los Red Team y automatizar la respuesta a incidentes.
Para la instalación de Caldera se han seguido los pasos descritos en la documentación oficial
https://caldera.readthedocs.io/en/latest/Installing-CALDERA.html :
Para ejecutar Caldera se ha ejecuta el último comando de Docker de la anterior imagen:
P á g i n a 214 | 215
Con esto ya se puede acceder a Caldera vía web con el usuario red:
P á g i n a 215 | 215

Trabajo Final Del Máster: Implementación de Un SIEM

Cargado por

Copyright:

Formatos disponibles

Trabajo Final Del Máster: Implementación de Un SIEM

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trabajo Final Del Máster: Implementación de Un SIEM

Cargado por

Copyright:

Formatos disponibles

MÁSTER ONLINE EN CIBERSEGURIDAD

Trabajo Final del Máster:

TFM elaborado por: Nafees Muhammad

Tutor/a de TFM: Manuel Carpio

IMF BUSINESS SCHOOL

1 OBJETO Y ENFOQUE DEL TRABAJO ....................................................................................... 3

2 EXPLICACIÓN DEL TRABAJO Y EL MOTIVO (INTRODUCCIÓN) ........................................... 4

2.1 RESUMEN ..................................................................................................................................... 4

3 MAPA DE RED ............................................................................................................................ 10

4 PRUEBAS DE INTRUSIÓN (CONCLUSIONES) ........................................................................ 11

4.1 ATAQUES DE FUERZA BRUTA ...................................................................................................... 11

5 INSTALACIÓN E CONFIGURACIÓN DE THEHIVE .................................................................. 22

5.1 INSTALACIÓN .............................................................................................................................. 23

6 INSTALACIÓN E CONFIGURACIÓN DE MISP ......................................................................... 29

6.1 INSTALACIÓN .............................................................................................................................. 29

7 INSTALACIÓN E CONFIGURACIÓN DE SURICATA ............................................................... 35

7.1 INSTALACIÓN .............................................................................................................................. 35

8 INSTALAR E CONFIGURAR QRADAR CE ............................................................................... 39

8.2.2 LICENCIA ............................................................................................................................................. 53

9.1 INSTALACIÓN E CONFIGURACIÓN DE CORTEX ANALYZER ............................................................................ 71

1 Objeto y Enfoque del Trabajo

El presente informe tiene el objeto de presentar el proyecto final del Máster en

2 Explicación del trabajo y el motivo (Introducción)

Y es la herramienta en la que el alumno se ha mostrado su interés. En el presente

Por otra parte, aparte de tener el SIEM se requiere de aumentar la seguridad de la

1. IDS (Intrusion Detection System)

En el presente trabajo Suricata únicamente va a monitorizar el tráfico entre la máquina

Como herramienta de ticketing, se procede a elegir TheHive. TheHive es una plataforma

En la siguiente imagen se puede observar las herramientas que se van a utilizar:

Como conclusión en el presente informe se detalla todo el proceso de implementación de

2.2 Palabras Clave

1. IDS (Intrusion Detection System)

3. IDS and IPS

La infraestructura del laboratorio es la siguiente:

1. Máquina virtual de Qradar que tiene la dirección IP 192.168.0.152.

4 Pruebas de Intrusión (Conclusiones)

Tras la implementación del SIEM y la configuración correspondiente de este y de las otras

4.1 Ataques de fuerza bruta

.\patator.exe ssh_login host=192.168.0.108 user=FILE0 password=FILE1

En la siguiente imagen se puede observar que Qradar ha recibido eventos de inicio de

A continuación, se procede a revisar las ofensas y se comprueba que se ha creado la ofensa

Si revisamos TheHive, se puede comprobar que se ha creado la ofensa en esta plataforma:

NOTA: La ofensa que sobra es otra prueba que se ha estado realizando.

4.2 Infección del troyano Qakbot

Se procede a entrar en una de las alertas para su investigación:

4.3 Credential Dumping

A continuación, se procede a pegar el comando anterior en un powershell con persmisos de

Como podemos observar, se ha creado la conexión entra la máquina y Caldera.

A continuación, se procede a realizar Dumpeo de Credenciales:

Tras ejecutar el comando anterior se procede a entrar en Ofensas de Qradar:

A continuación, se procede a investigar la alerta:

En la siguiente imagen se muestra el evento generado por caldera.

5 Instalación e Configuración de TheHive

La instalación de TheHive se realiza en la máquina UBUNTU con la dirección IP

Previamente hay que instalar OpenJDK y Elasticsearch que ya fueron instalados en el

cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)

El resultado del anterior comando copiar en el fichero de configuración

Ahora ya podemos configurar TheHive como servicio del sistema:

sudo addgroup thehive