Metodología Aplicada para la Automatización de Respuesta a Incidentes para DSIT

BENEFICIARIO

INTEGRANTES

Juan Esteban Vergara | Líder de Analítica y Metodología
Juan José Ochoa | Líder de Desarrollo y Financiero

AÑO

2024

PALABRAS CLAVE

Azure Sentinel, Automatización, Respuesta a Incidentes, Metodología Cíclica, Gestión de Eventos de Seguridad, Playbooks, Ciberseguridad, Análisis de Datos, Modelo de Clustering.

CONTEXTO

En un entorno digital donde las amenazas cibernéticas son cada vez más complejas y frecuentes, las organizaciones enfrentan retos significativos para proteger sus activos críticos. Los equipos de seguridad suelen manejar un volumen masivo de alertas, muchas de las cuales son falsos positivos, lo que dificulta la priorización y respuesta a incidentes reales. Este panorama hace imperativo adoptar soluciones que automaticen y optimicen la respuesta a incidentes, mejorando la eficiencia y la eficacia de las operaciones de seguridad.

PROPUESTA

Este proyecto tiene como objetivo principal desarrollar una metodología replicable y periódica para la gestión de incidentes de seguridad en una entidad educativa. En respuesta al creciente volumen y complejidad de las alertas de seguridad, la metodología busca facilitar la identificación de eventos riesgosos, clasificar estos incidentes basándose en datos históricos y automatizar las respuestas. La propuesta incluye la identificación, diseño y construcción de herramientas que permitan automatizar las respuestas a incidentes, mejorando la eficiencia en la mitigación de amenazas y reduciendo la carga operativa sobre el equipo de TI.

Para lograr este objetivo, se realizó un análisis de la implementación actual (basada en Azure Sentinel) y sus capacidades en la institución, identificando los principales desafíos en la gestión de eventos de seguridad. Además, se recopilaron y analizaron datos estadísticos de alertas para detectar patrones y áreas críticas, lo que permitió diseñar componentes automatizados. Finalmente, se desarrolló una metodología que habilita al Equipo de Seguridad Informática para crear y adaptar Playbooks en Azure Sentinel, facilitando una gestión autónoma y eficiente de incidentes a largo plazo.

RESULTADOS

Los resultados de este proyecto se materializaron en tres productos principales que abordan distintos aspectos de la gestión y respuesta a incidentes de seguridad en la institución:

Notebook de Jupyter con el Modelo de Clustering:
Se desarrolló un notebook en Jupyter que implementa un modelo de clustering. Este modelo fue diseñado para analizar los datos de seguridad recopilados por Azure Sentinel, identificar patrones relevantes y clasificar eventos en categorías que faciliten la toma de decisiones por parte del Equipo de Seguridad Informática. A pesar de las limitaciones en la cantidad de datos disponibles durante el proyecto, el modelo demuestra el potencial de agrupar eventos según características compartidas, proporcionando una herramienta analítica que puede ser mejorada con datos más extensos en el futuro.
Playbook de Azure para Automatización:
Como parte de la propuesta de automatización, se diseñó y programó un Playbook en Azure Logic Apps para responder automáticamente a incidentes de seguridad. Este Playbook automatiza procesos clave, como la generación de reportes de eventos riesgosos, la notificación al equipo de soporte, la aprobación manual por parte de responsables clave, y la comunicación con los usuarios involucrados. Con este componente, se busca optimizar la gestión de alertas y reducir el tiempo de respuesta ante incidentes.
Documento de Metodología:
El proyecto culminó con la creación de un documento detallado que establece una metodología replicable para la gestión de incidentes con base en Azure Sentinel. Este documento incluye instrucciones para la implementación del modelo de clustering, el despliegue del Playbook y las mejores prácticas para que el Equipo de Seguridad Informática pueda adaptar y crear nuevas automatizaciones en el futuro.