SOW – Proyecto Implementación SIEM SGC

Versión 1.0 – 24-11-2017

SOFTSECURITY S.A.S. Colombia, Carrera 49 No. 94 – 76 Ofc. 304 Bogotá D.C. COLOMBIA T. +57 (1) 309 95 33 M. +57 300 352 81 21 M. +57 318 715 93 50

Statement of Work (SOW)

Proyecto: Implementación SIEM SGC

Preparado por:
SOFTSECURITY

Colombia, 4 Diciembre de 2017

Versión 1.0

Documento Confidencial
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

DERECHOS DE USO

La presente documentación tiene carácter de confidencial y no podrá ser objeto de reproducción total o
parcial, tratamiento informático ni transmisión de ninguna forma o por cualquier medio, ya sea
electrónico, mecánico, por fotocopia, registro o cualquiera otro. Asimismo, tampoco podrá ser objeto de
préstamo, alquiler o cualquier forma de cesión de uso sin el permiso previo y escrito de SOFTSECURITY.
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

Contenido

1. INTRODUCCIÓN ................................................................................................................................... 4
2. ALCANCE DEL TRABAJO ....................................................................................................................... 5
3. PERIODO DE EJECUCIÓN ...................................................................................................................... 7
4. LUGAR DE EJECUCIÓN .......................................................................................................................12
5. REQUERIMIENTOS DE TRABAJO ........................................................................................................13
6. CRONOGRAMA DE HITOS PRINCIPALES ............................................................................................14
7. ENTREGABLES Y CRITERIOS DE ACEPTACIÓN ....................................................................................15
8. PREMISAS Y RESTRICCIONES .............................................................................................................16
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

1. INTRODUCCIÓN

El siguiente proyecto contempla la implementación de Splunk Enterprise Security, una solución

tipo SIEM (Security información and event management), en la infraestructura del Servicio
Geológico colombiano, para el monitoreo de incidentes de seguridad relacionados con los
activos y usuarios de la entidad.

Splunk Enterprise Security (ES) es una solución de seguridad premium que proporciona
información acerca de los datos de máquina generados por tecnologías de seguridad, como por
ejemplo la información de identidad, redes, endpoint, accesos, malware y vulnerabilidades.
Ayuda a que los equipos de seguridad rápidamente detecten y actúen contra ataques internos y
externos, lo que simplifica la gestión de las amenazas a la vez que reduce el riesgo y protege su
negocio. Splunk Enterprise Security dinamiza todos los aspectos de las operaciones de
seguridad y es perfecta para entidades de todos los tamaños y ámbitos.

Tanto si se implementa para la supervisión en tiempo real y continua, para una respuesta
rápida a un incidente, o para un centro de operaciones de seguridad (SOC), como si se dirige
para los ejecutivos que necesitan una visión de los riesgos comerciales; Spunk ES ofrece la
flexibilidad necesaria para personalizar búsquedas de correlaciones. alertas, informes y paneles
que encajen dentro de las necesidades del negocio.

Splunk Enterprise Security ayuda a las organizaciones a abordar lo siguiente:

• Supervisión en tiempo real: obtenga una imagen visual clara de la estrategia de

seguridad de la organización, personalice de forma sencilla las visualizaciones y desglose
los eventos hasta sus orígenes.

• De prioridad y actúe: obtenga una visión específica de la seguridad de sus datos para
incrementar la capacidad de detección y optimizar la respuesta a incidentes.

• Investigaciones rápidas: utilice búsquedas ad hoc y correlaciones estáticas, dinámicas y

visuales para identificar actividades malintencionadas.

• Gestione investigaciones multipaso: lleve a cabo análisis de ataques e investigaciones

para encontrar las actividades dinámicas asociadas a amenazas avanzadas
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

2. ALCANCE DEL TRABAJO

Como resultado de este proyecto se esperan ejecutar en un plazo máximo de 12 semanas las
siguientes actividades:

1. Instalación y configuración de 3 servidores con los siguientes roles:

1.1 Splunk Search head: Este componente es el encargado de generar la correlación de los
eventos, generar las alarmas, reportes y representar gráficamente la información a través
de Dashboards.
1.2 Splunk Indexer: Este componente es el encargado del almacenamiento de los eventos en
buckets que manejan diferentes estados: Hot/Warm para los eventos más recientes
(generalmente los últimos 5 días), Cold para eventos de 1mes de antigüedad y Frozen para
los eventos superiores a un mes.
1.3 Splunk Heavy Forwarder: Es el responsable de colectar la información y enviarla por
protocolo TCP al Indexer para su almacenamiento. Su funciona principal es centralizar la
colección de la organización, especialmente util cuando existe más de un datacenter.

2. Integración de 11 fuentes de información que generen máximo hasta 25GB diarios de

información

2.1 IMPERVA Database Activity Monitor

2.2 IMPERVA File Activity Monitor
2.3 IMPERVA Web Application Firewall
2.4 FORESCOUT Network Access Control
2.5 GIGAMON TAP
2.6 HP Wireless Lan Controler
2.7 McAfee IPS
2.8 Firewall Checkpoint
2.9 McAfee Vulnerability Manager
2.10 HP Switches
2.11 3COM Switches

3. Dashboard para métricas de TI: Métricas que permitan medir el rendimiento de los
servidores del SGC.

4. Desarrollo de casos de uso

5. Monitoreo
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

LIMITACIONES

Las actividades de optimización del rendimiento estarán limitadas al cumplimiento de los

requisitos de hardware y configuración del sistema de virtualización definidos por el fabricante
en el siguiente enlace:

http://docs.splunk.com/Documentation/ES/4.7.4/Install/DeploymentPlanning

Las aplicaciones y add-ons que se instalen sobre el Search Head deben ser compatibles con la
última versión de CIM. Si este requerimiento no se cumple, esto afectada la visualización de
eventos y el proceso de normalización en Splunk.

Es responsabilidad del cliente, configurar el servidor, dispositivo o tecnología que enviara los
eventos de seguridad a Slunk Enterprise Security.

Las fuentes a integrar no pueden superar el licenciamiento adquirido por el SGC, de máximo
25GB.
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

3. PERIODO DE EJECUCIÓN

Fch_Inicio Días
Actividad Descripción Responsable
Fch_Fin hábiles
Definir los requerimientos de hardware y software de solución,
así como los requisitos de conectividad
Definición de
Softsecurity
arquitectura de la
Nivel 3
solución
01-12-2017
Alistamiento de las 3 máquinas virtuales con los recursos (CPU, 01-12-2017 1
RAM, Disco) solicitados.
Aprovisionamiento SGC

Direccionamiento Asignación de IP/Mascara/Gateway para los 3 servidores

SGC
Conectividad VPN client-to-site con acceso a los 3 tres servidores
SGC
Monitoreo
Acceso a Internet para repositorios, actualizaciones de
seguridad, actualizaciones del Threat Intelligence

*.ubuntu.com
*.canonical.com
*.splunk.com
rules.emergingthreats.net
hailataxii.com
Conectividad
iblocklist.com SGC
Internet
mirror1.malwaredomains.com
phishtank.com
isc.sans.edu
zeustracker.abuse.ch
alexa.com
publicsuffix.org
iana.org

Permisos de acceso a servicios internos

04-12-2017
4
08-12-2017
SERVIDOR Search Head con acceso a:
- Servidor DNS
- Servidor NTP
- WebProxy

SERVIDOR Indexer con acceso a:

- Servidor DNS
- Servidor NTP
Conectividad - WebProxy
SGC
LAN
SERVIDOR Heavy Forwarder con acceso a:
- Servidor DNS
- Servidor NTP
- WebProxy

Fase de implementación (4 fuentes)

SERVIDOR IMPERVA WAF con acceso a:

- Splunk Heavy Forwarder por el Puerto UDP 514 Syslog
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

SERVIDOR McAfee IPS con acceso a:

- Splunk Heavy Forwarder por el Puerto UDP 514 Syslog

SERVIDOR FW Checkpoint con acceso a:

- Splunk Heavy Forwarder por el puerto TCP/18184

SERVIDOR Splunk Heavy forwarder con acceso a:

- Mcafee VM: Puerto y usuario de BD de Mcafee

Fase de afinamiento (7 fuentes)

SERVIDOR IMPERVA DAM con acceso a:
- Splunk Heavy Forwarder por el Puerto UDP 514 Syslog

SERVIDOR IMPERVA FAM con acceso a:

- Splunk Heavy Forwarder por el Puerto UDP 514 Syslog

SERVIDOR FORESCOUT NAC con acceso a:

- Splunk Heavy Forwarder por el Puerto UDP 514 Syslog

SERVIDOR GIGAMON TAP con acceso a:

- Splunk Heavy Forwarder por el Puerto UDP 514 Syslog

SERVIDOR HP WLC con acceso a:

- Splunk Heavy Forwarder por el Puerto UDP 514 Syslog

SERVIDOR HP SW con acceso a:

- Splunk Heavy Forwarder por el Puerto UDP 514 Syslog

SERVIDOR 3COM SW con acceso a:

- Splunk Heavy Forwarder por el Puerto UDP 514 Syslog
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

IMPERVA WAF

McAfee IPS
Configuración de fuentes para
SGC
fase de implementación FW Checkpoint

McAfee VM

IMPERVA DAM
04-12-2017
4
FORESCOUT NAC 08-12-2017

GIGAMON TAP
Configuración de fuentes para
SGC
fase de afinamiento HP WLC

HP SW

3COM SW

El cliente debe suministrar la documentación de

los casos de uso que serán desarrollados por
Softsecurity y deben contener como mínimo la
siguiente información:

- Descripción: Cuál es el tipo de comportamiento

que se quiere detectar.
Ej: Usuarios creados en el sistema fuera de
horario laboral con privilegio de administradores
de dominio.
04-12-2017
Documentación de casos de uso SGC 14
- Fuentes de datos: De donde se puede obtener 18-12-2017
la información para ver este tipo de incidentes.
Ej: Directorio activo.

- Acciones: Que se espera como resultado de la

detección de un incidente de ese tipo.
Ej: Notificación de alerta por correo, un reporte
o una gráfica.

Security and Fraud Use Cases

- Instalación de Ubuntu 16
- Actualizaciones de seguridad
Instalación, Configuración y - Configuración de usuarios
Softsecurity 04-12-2017
Optimización - Configuración de NTP (NTP Interno) 5
Nivel 2 08-12-2017
Sistema Operativo - Ulimit
- Deshablitar THP
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

- Instalacion de add-ons

- Configuracion y depliegue de indices

- Configuracion de usuarios y roles

- Configuracion de datamodels

- Autenticacion con LDAP

- Hard NFS Mount

- NFSv3 VS NFSv4

Instalación, Configuración y - Enable Attribute Caching

Softsecurity 04-12-2017
Optimización 5
Nivel 2 08-12-2017
Splunk ES - Paralelizacion de Indexador

- Enrich data asset and identity

- Verify that your asset and identity data was

added

- Configure adaptive response actions for a

correlation search in Splunk Enterprise Security

- Configurar proxy para threat intelligence

- Verify that you have added threat intelligence

successfully

Configuración de Splunk para recibir eventos

Integración de fuentes fase - IMPERVA WAF Softsecurity 12-12-2017

5
Implementación - McAfee IPS Nivel 2 15-12-2017
- FW Checkpoint
- McAfee EPO
Desarrollo de add-ons para integración de las
siguientes fuentes de información

- IMPERVA DAM
- FORESCOUT NAC
- GIGAMON TAP
- HP WLC
- HP SW
- 3COM SW
Softsecurity 18-12-2017
Afinamiento 40
Nivel 1 09-02-2018
Desarrollo de cuadros de mando para el área de
IT para visualización de indicadores de
operación y salud de la infraestructura y
elementos de TIC con los que cuenta en el SGC.

- Monitoreo de rendimiento
- Monitoreo de active directory
- Monitoreo de red

Se desarrollarán sobre la herramienta los casos

de uso solicitados por el cliente y que estén Softsecurity 12-02-2018
Desarrollo de casos de uso 8
dentro del alcance de las horas destinadas para Nivel 2 19-02-2018
esta actividad.
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

- Entrega de documentación de administración y

manuales de usuario del fabricante sobre
Splunk Enterprise Security.
- Sesiones técnicas sobre el manejo de la Softsecurity 20-02-2018
Transferencia de conocimiento solución. 4
Nivel 2 23-02-2018
- Memoria técnica de implementación.

- Monitoreo de incidentes 5x8, L-V

- Informes mensuales de incidentes

Softsecurity 12-02-2018
Monitoreo 12 meses
Nivel 1 12-02-2019
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

4. LUGAR DE EJECUCIÓN

Para ejecutar las labores asociadas al proyecto se asignará a Alejandro Agudelo como consultor
en sitio, encargado de las labores de implementación del proyecto. Es necesario que este
consultor cuente con un punto de red donde pueda conectar su equipo personal, y que se
asigne una dirección IP/mascara/Gateway/dns que tenga acceso a Internet, y que pueda
alcanzar a los 3 servidores que hacen parte de la arquitectura de Splunk.

Adicionalmente se requiere de una conexión VPN Client-to-site asignada al consultor Victor

Mendez quien estará ejecutando algunas actividades remotamente.
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

5. REQUERIMIENTOS DE TRABAJO

Como parte del proyecto de implementación de la solución SIEM, Splunk Enterprise Security,
SOFTSECURITY y el cliente serán responsables por ejecutar tareas a lo largo del proyecto y en
sus diversas etapas. La siguiente es una lista de esas tareas que resultarán en la finalización
exitosa del proyecto:

Etapa Actividad Tarea Responsable

Inicio Kickoff Proveedor presentará un Softsecurity
plan detallado de proyecto
Implementacion - Instalación Implementar la solucion Softsecurity
- Configuracion Splunk ES
- Afinamiento
Operacion - Monitoreo de Reportar los incidents de Softsecurity
Incidentes seguridad identificados a SGC
- Soporte de traves de las herramientas
Splunk de monitoreo o reportados
- Comites por el cliente.
Mensuales de
Cyberseguridad
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

6. CRONOGRAMA DE HITOS PRINCIPALES

`
 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

7. ENTREGABLES Y CRITERIOS DE ACEPTACIÓN

Entregables:

- Guías en medio magnético de administración de la plataforma y de usuario final para la

operación de la plataforma Splunk Enterprise Security.

- Memoria técnica de implementación de la solución.

- Transferencia de conocimiento a 2 personas que el SGC designe.

Criterios de aceptación:

- Implementación de la solución de acuerdo a lo establecido en el plan de trabajo y la

arquitectura definida.

- Pruebas funcionales de la solución exitosas y aprobadas por el SGC.

- Pruebas funcionales sobre los desarrollos realizados por SOFTSECURITY para la

personalización de la solución.

- Monitoreo de 11 fuentes de datos dentro de la solución.

 SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017

8. PREMISAS Y RESTRICCIONES

- El servicio de monitoreo de incidentes y soporte técnico sobre la solución Enterprise

security estará condicionado a el acceso y disponibilidad que se tenga sobre la
plataforma suministrada por el SGC.

- La administración y soporte de la aplicación y el sistema operativo solución estará a

cargo de SOFTSECURITY por lo tanto los usuarios de acceso a la plataforma
suministrados para el cliente serán de solo consulta.

- Los prerrequisitos establecidos para cada una de las fases del proyecto deben cumplirse
a cabalidad para poder ejecutar el proyecto dentro de los tiempos y con el alcance
definido.

- La inasistencia a los comités de seguridad puede afectar seriamente los objetivos

trazados en el servicio, ya que desde estas reuniones se dan a conocer los problemas
más importantes que tiene la organización a nivel de seguridad y gestión de los
incidentes.

- La organización es responsable de implementar las recomendaciones dadas por el

servicio de monitoreo de SOFTSECURITY, en ningún momento ninguno de nuestros
analistas tendrá acceso o intervendrá en temas de configuración sobre la plataforma del
cliente.