Documente Academic
Documente Profesional
Documente Cultură
Preparado por:
SOFTSECURITY
Documento Confidencial
SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017
DERECHOS DE USO
La presente documentación tiene carácter de confidencial y no podrá ser objeto de reproducción total o
parcial, tratamiento informático ni transmisión de ninguna forma o por cualquier medio, ya sea
electrónico, mecánico, por fotocopia, registro o cualquiera otro. Asimismo, tampoco podrá ser objeto de
préstamo, alquiler o cualquier forma de cesión de uso sin el permiso previo y escrito de SOFTSECURITY.
SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017
Contenido
1. INTRODUCCIÓN ................................................................................................................................... 4
2. ALCANCE DEL TRABAJO ....................................................................................................................... 5
3. PERIODO DE EJECUCIÓN ...................................................................................................................... 7
4. LUGAR DE EJECUCIÓN .......................................................................................................................12
5. REQUERIMIENTOS DE TRABAJO ........................................................................................................13
6. CRONOGRAMA DE HITOS PRINCIPALES ............................................................................................14
7. ENTREGABLES Y CRITERIOS DE ACEPTACIÓN ....................................................................................15
8. PREMISAS Y RESTRICCIONES .............................................................................................................16
SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017
1. INTRODUCCIÓN
Splunk Enterprise Security (ES) es una solución de seguridad premium que proporciona
información acerca de los datos de máquina generados por tecnologías de seguridad, como por
ejemplo la información de identidad, redes, endpoint, accesos, malware y vulnerabilidades.
Ayuda a que los equipos de seguridad rápidamente detecten y actúen contra ataques internos y
externos, lo que simplifica la gestión de las amenazas a la vez que reduce el riesgo y protege su
negocio. Splunk Enterprise Security dinamiza todos los aspectos de las operaciones de
seguridad y es perfecta para entidades de todos los tamaños y ámbitos.
Tanto si se implementa para la supervisión en tiempo real y continua, para una respuesta
rápida a un incidente, o para un centro de operaciones de seguridad (SOC), como si se dirige
para los ejecutivos que necesitan una visión de los riesgos comerciales; Spunk ES ofrece la
flexibilidad necesaria para personalizar búsquedas de correlaciones. alertas, informes y paneles
que encajen dentro de las necesidades del negocio.
• De prioridad y actúe: obtenga una visión específica de la seguridad de sus datos para
incrementar la capacidad de detección y optimizar la respuesta a incidentes.
Como resultado de este proyecto se esperan ejecutar en un plazo máximo de 12 semanas las
siguientes actividades:
1.1 Splunk Search head: Este componente es el encargado de generar la correlación de los
eventos, generar las alarmas, reportes y representar gráficamente la información a través
de Dashboards.
1.2 Splunk Indexer: Este componente es el encargado del almacenamiento de los eventos en
buckets que manejan diferentes estados: Hot/Warm para los eventos más recientes
(generalmente los últimos 5 días), Cold para eventos de 1mes de antigüedad y Frozen para
los eventos superiores a un mes.
1.3 Splunk Heavy Forwarder: Es el responsable de colectar la información y enviarla por
protocolo TCP al Indexer para su almacenamiento. Su funciona principal es centralizar la
colección de la organización, especialmente util cuando existe más de un datacenter.
3. Dashboard para métricas de TI: Métricas que permitan medir el rendimiento de los
servidores del SGC.
5. Monitoreo
SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017
LIMITACIONES
http://docs.splunk.com/Documentation/ES/4.7.4/Install/DeploymentPlanning
Las aplicaciones y add-ons que se instalen sobre el Search Head deben ser compatibles con la
última versión de CIM. Si este requerimiento no se cumple, esto afectada la visualización de
eventos y el proceso de normalización en Splunk.
Es responsabilidad del cliente, configurar el servidor, dispositivo o tecnología que enviara los
eventos de seguridad a Slunk Enterprise Security.
Las fuentes a integrar no pueden superar el licenciamiento adquirido por el SGC, de máximo
25GB.
SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017
3. PERIODO DE EJECUCIÓN
Fch_Inicio Días
Actividad Descripción Responsable
Fch_Fin hábiles
Definir los requerimientos de hardware y software de solución,
así como los requisitos de conectividad
Definición de
Softsecurity
arquitectura de la
Nivel 3
solución
01-12-2017
Alistamiento de las 3 máquinas virtuales con los recursos (CPU, 01-12-2017 1
RAM, Disco) solicitados.
Aprovisionamiento SGC
*.ubuntu.com
*.canonical.com
*.splunk.com
rules.emergingthreats.net
hailataxii.com
Conectividad
iblocklist.com SGC
Internet
mirror1.malwaredomains.com
phishtank.com
isc.sans.edu
zeustracker.abuse.ch
alexa.com
publicsuffix.org
iana.org
IMPERVA WAF
McAfee IPS
Configuración de fuentes para
SGC
fase de implementación FW Checkpoint
McAfee VM
IMPERVA DAM
04-12-2017
4
FORESCOUT NAC 08-12-2017
GIGAMON TAP
Configuración de fuentes para
SGC
fase de afinamiento HP WLC
HP SW
3COM SW
- Instalación de Ubuntu 16
- Actualizaciones de seguridad
Instalación, Configuración y - Configuración de usuarios
Softsecurity 04-12-2017
Optimización - Configuración de NTP (NTP Interno) 5
Nivel 2 08-12-2017
Sistema Operativo - Ulimit
- Deshablitar THP
SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017
- Instalacion de add-ons
- Configuracion de datamodels
- NFSv3 VS NFSv4
- IMPERVA DAM
- FORESCOUT NAC
- GIGAMON TAP
- HP WLC
- HP SW
- 3COM SW
Softsecurity 18-12-2017
Afinamiento 40
Nivel 1 09-02-2018
Desarrollo de cuadros de mando para el área de
IT para visualización de indicadores de
operación y salud de la infraestructura y
elementos de TIC con los que cuenta en el SGC.
- Monitoreo de rendimiento
- Monitoreo de active directory
- Monitoreo de red
Softsecurity 12-02-2018
Monitoreo 12 meses
Nivel 1 12-02-2019
SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017
4. LUGAR DE EJECUCIÓN
Para ejecutar las labores asociadas al proyecto se asignará a Alejandro Agudelo como consultor
en sitio, encargado de las labores de implementación del proyecto. Es necesario que este
consultor cuente con un punto de red donde pueda conectar su equipo personal, y que se
asigne una dirección IP/mascara/Gateway/dns que tenga acceso a Internet, y que pueda
alcanzar a los 3 servidores que hacen parte de la arquitectura de Splunk.
5. REQUERIMIENTOS DE TRABAJO
Como parte del proyecto de implementación de la solución SIEM, Splunk Enterprise Security,
SOFTSECURITY y el cliente serán responsables por ejecutar tareas a lo largo del proyecto y en
sus diversas etapas. La siguiente es una lista de esas tareas que resultarán en la finalización
exitosa del proyecto:
`
SOW – Proyecto Implementación SIEM SGC
Versión 1.0 – 24-11-2017
Entregables:
Criterios de aceptación:
8. PREMISAS Y RESTRICCIONES
- Los prerrequisitos establecidos para cada una de las fases del proyecto deben cumplirse
a cabalidad para poder ejecutar el proyecto dentro de los tiempos y con el alcance
definido.