UNIVERSIDAD NACIONAL DE CAJAMARCA

FACULTAD DE INGENIERÍA
ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE SISTEMAS

LABORATORIO Nº 2: Entregable No. 1

Autor
López Bautista David Abisaí

Curso
Gestión de Riesgos y Seguridad de la Información

Docente
Edwin Valencia Castillo

Cajamarca,2019
Laboratorio Nro 2: Soluciones SIEM, Monitoreo de redes y otras aplicaciones para la seguridad
de la información

I. Tecnologías adecuadas
1.1. OSSIM
La sigla OSSIM se deriva para Open Source Security Information Management (Herramienta
de Código Abierto para la Gestión de Seguridad de la información), OSSIM no es una
herramienta única, al decir OSSIM se entiende que es un conjunto de herramientas unidas en
un solo programa que facilita el análisis, visualización y la gestión de manera centralizada de
los eventos que ocurren en los diferentes componentes de la infraestructura IT de la empresa,
obteniendo de esta forma mayor efectividad a la hora del monitoreo y de encontrar errores u
vulnerabilidades en la seguridad de la red. OSSIM es una herramienta que nos ayuda mucho
en el monitoreo de la red, permitiéndonos controlar algo tan básico desde un log de la
contraseña mal digitada hasta un posible ataque que se esté dando a nuestra infraestructura.
Esta herramienta trae incorporada cerca de 22 Funciones, todas estas son Open Source capaces
de correlacionarse y así poder tener el control centralizado, básicamente se lo puede representar
en el siguiente diagrama.
1.1.1. Características
Ossim trae un conjunto de características que permite al administrador de red gestionar
de forma más eficiente la seguridad interna de los servidores, de la red de datos y voz,
entre las cuales podemos mencionar los siguientes:

 Es gratuito.
 Monitoreo centralizado.
 Analiza el comportamiento de nuestra Red
 Presenta informes técnicos.
 Realiza un análisis de los posibles riesgos y anomalías en la red.
 Controla los posibles ataques/intruso en la red.
 Monitorea el excesivo tráfico que se pueda generar.
 Presenta una interfaz gráfica web amigable hacia al Administrador
 Permite recolectar logs de los servidores sin importar que distribución de
Linux tenga instalado.
 El cliente recolector de logs que se instala en Windows es muy sencillo de
configurar.
 Realiza test de vulnerabilidad.
 Realiza notificaciones automáticas mediante alertas.
1.1.2. Componentes y Arquitectura
OSSIM tiene una arquitectura abierta, siendo OsssimServer el eje central de esta
arquitectura, compartiendo con el Ossim-Framework y el OssimAgent.
 Ossim-server: Como toda aplicación, Ossim funciona con un estándar cliente
servidor y es obligatorio tener un solo servidor en toda nuestra red en el cual al
instalar el perfil server (servidor) estamos configurando el ambiente que se
encargue de procesar y recoger todos los logs que son generados por los
diferentes dispositivos y servidores de nuestra red interna.
  Ossim-framework: Esta componente sirve como intermediario para que la
aplicación web del servidor no haga tareas en segundo plano como la lectura y
escritura de la información que recibe, evitando así un innecesario uso de
requerimiento como memoria y almacenaje y optimizar su funcionabilidad.
Podemos mencionar que los propósitos primordiales de este componente son:
 Recolectar datos de los agentes y otros servidores.
 Priorizar los eventos recibidos.
 Correlacionar los eventos recibidos de diferentes fuentes
 Realizar la evaluación de riesgos y disparar alarmas
 Almacenar eventos en la base de datos
 Reenviar eventos o alarmas a otros servidores
 Ossim-agent: El nombre de Agent en la herramienta Ossim se les da a los
plugins y aplicaciones que permite analizar todos los eventos específicos que se
generan en la red de trabajo o en los diferentes servidores en la cual se está
haciendo el monitoreo y seguimiento.
1.1.3. Requisitos técnicos
El requisito técnico más importantes es el hardware para instalar OSSIM AlienVault,
este dependerá en gran medida del número de eventos que tenga que procesar el
servidor, de la cantidad de datos que pretendamos almacenar en la base de datos de
OSSIM, y de la cantidad de hosts disponibles en la red que pretendamos analizar.
1.1.4. Requisitos de personal
Es muy importante que el administrador cumpla con los siguientes conocimientos
mínimos:

 Debe tener conocimientos fundamentales de seguridades informáticas.

 Debe tener conocimientos básicos en Sistemas operativos Linux.
 Debe tener conocimientos en Sistemas operativos Windows Server.
 Debe saber interpretan los logs generados por los diferentes eventos en los
sistemas operativos.
 Debe Tener conocimientos básicos del modelo TCP/IP.
 Debe tener conocimientos básicos de Redes LAN/WAN.
 Debe tener conocimientos de seguridades en redes de Datos.
 Debe saber interpretar gráficos estadísticos de reportes.
1.1.5. Parámetros de configuración
Es muy importante configurar los parámetros adecuados en el servidor OSSIM para
poder recolectar los eventos de forma eficiente, los parámetros personalizados más
importantes son:

 Configuración de los parámetros de red

 Configuración al panel de Administración vía Acceso Web
 Puerto por donde escucha el servidor
1.1.6. Análisis de factibilidad
La factibilidad de Ossim se destaca por tener una amplia gama de recursos que
podemos utilizar y cubrir un mayor control en la seguridad, acorde a lo analizado en la
instalación y funcionabilidad de la herramienta, podemos recalcar que es factible la
 instalación y puesta en marcha en cualquier empresa privada o pública dado que no
representa una carga mayor al administrador de red y al ser una herramienta libre
tampoco tiene una mayor carga económica para la empresa.
1.1.7. Análisis financiero
El análisis financiero o la inversión que la empresa debe asumir están enfocados
específicamente al Costo de implementación por parte del profesional en OSSIM y la
adquisición de un servidor físico para su instalación. [1]
1.2. SIEMONSTER
Es una solución de software de monitoreo de seguridad personalizable y escalable que es
accesible para organizaciones pequeñas, medianas y empresariales.
1.2.1. Características
Tiene las siguientes características:

 Comportamiento basado en humanos: SIEMonster ahora ofrece opciones de

correlación de comportamiento basado en humanos para enriquecer sus alertas
y minimizar los falsos positivos.
 Inteligencia de amenazas: SIEMonster proporciona inteligencia de amenazas
en tiempo real con fuentes comerciales o de código abierto para detener
ataques en tiempo real.
 Aprendizaje profundo: Usando Machine Learning, el análisis de
comportamiento basado en humanos observa a SIEMonster Deep Learning
matar los ataques automáticamente.
 Starter y Enterprise: Si usted es un proveedor de servicios de seguridad inicial,
empresarial o administrado, SIEMonster tiene la solución escalable para usted.
 Nube o en el sitio: SIEMonster le permite ejecutar, en el sitio en una máquina
virtual, metal desnudo o cualquiera de los proveedores de la nube como
Amazon, GCP o Azure. [2]
1.3. SECURITY ONION
Es una distribución de Linux de fuente abierta y gratuita para detección de intrusiones,
monitoreo de seguridad empresarial y administración de registros. Incluye Elasticsearch,
Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner y muchas otras
herramientas de seguridad. El asistente de configuración fácil de usar le permite construir un
ejército de sensores distribuidos para su empresa en cuestión de minutos. [3]
Posee una gran variedad de paquetes y herramientas por defecto, para auditar la seguridad de
todo tipo de redes, monitores de tráfico de red que permiten determinar el nivel de congestión
que sufren los dispositivos, sistemas host IDS con el fin de determinar si una amenaza logro
saltar la protección de los dispositivos de seguridad perimetral y se encuentra a punto de
ejecutar código en las computadoras de los usuarios finales.
1.3.1. Características
Como características particulares de SECURITY ONION se puede citar:

 GPL - Licencia Pública General.

 Modelos NSM (Network Security Monitor) adaptados para pequeñas,
medianas y grandes compañías.
  No tiene límite para integrar dispositivos.
 Sin coste adicional por las funcionalidades de seguridad incorporadas (NIDS,
HIDS, WIDS, Administración de las vulnerabilidades, Monitorización de Red,
etc.)
 De ser necesario integrar nuevos conectores no tiene restricciones
 Suite opensource de poderosas herramientas de tráfico.
 Solución unificada de un SIEM con muchas otras funcionalidades de
seguridad.
 Integración con sistemas informáticos y herramientas multiplataforma.
 Personalización de cuadro de mandos e informes a la imagen corporativa.
 Escalabilidad, dónde no existe un límite en crecimiento de la plataforma.
 Adaptabilidad que permite activar/desactivar las funcionalidades basado en las
necesidades del proyecto. [4]
1.4. APACHE METRON
Es un sistema de código abierto para la detección de incidentes, desarrollado por la empresa
Hortonworks; es una evolución del proyecto OpenSOC, por lo tanto, define como base las
características asociadas al mismo. Apache Metron permite capturar, almacenar y procesar
diferentes tipos de datos en tiempo real en búsqueda de anomalías cibernéticas.
1.4.1. Características
 Telemetry Event Buffer. Se encuentran todos los datos capturados de las
diversas fuentes (Apache Nifi o tráfico de red), tales como registros de sucesos
de hosts, firewalls, IDS, capturas de tráfico de red, entre otros. los IDS, entre
otros).
 Proceso. Hace referencia al etiquetado, validación, normalización y análisis
sintáctico y semántico de los eventos en una estructura JSON para el posterior
análisis, involucra la estructura datos tanto de capa de Internet como de capa
de transporte, marcas de tiempo, entre otros.
 Enriquecer. Luego de normalizados los eventos, la fase de enriquecimiento
conlleva a la adición de información que se considere relevante de los eventos,
tales como geolocalización del origen y destino de acuerdo a la información
de capa de Internet.
 Etiquetado. Se realiza un proceso de etiquetado del evento a través de
verificaciones cruzadas de inteligencia de amenazas.
 Alerta y Persistencia. Un evento de telemetría puede generar una alerta de
acuerdo a diversos factores, tales como el tipo de evento, o la identificación de
una amenaza.
 Servicios de integración y datos. Luego de realizados los pasos anteriores, el
Apache Metron permite en ésta fase servicios de búsqueda en tiempo real e
interfaces gráficas interactivas, modelamiento de los datos, personalización de
acuerdo a las necesidades y requerimientos del analista de seguridad, entre
otros. [5]
1.5. NAGIOS
Es un software de monitorización de equipos y servicios de red, creado para ayudar a los
administradores a tener siempre el control de qué está pasando en la red y conocer los
problemas que ocurren en la infraestructura antes de que los usuarios de la misma los perciban.
Es un sistema complejo y completo en cuanto a sus características que además hace uso en
algunos casos de diversos sistemas como por ejemplo sistemas gestores de bases de datos,
servidores web, etc. Está implementado en lenguaje PHP y fue diseñado para ser ejecutado en
GNU/Linux, pero también se ejecuta correctamente en variantes de Unix. Liberado bajo
licencia GPL de la Free Software Foundation.
1.5.1. Características
 Monitorización de servicios de red (SMTP, POP3, HTTP, HTTPS, NTP,
ICMP,SNMP, FTP,DNS, etc).
 Monitorización de los recursos de equipos hardware (carga del procesador, uso
de los discos, procesos del sistema) en varios sistemas operativos.
 Monitorización de equipos remotos, a través de túneles SSL cifrados o SSH.
 Diseño simple de plugins, que permiten a los usuarios desarrollar sus propios
chequeos de servicios dependiendo de sus necesidades, usando sus lenguajes
de programación preferidos (Bash, C++, Perl, Ruby, Python, PHP, C#).
 Posibilidad de definir la jerarquía de la red, permitiendo distinguir entre host
caídos y host inaccesibles.
 Notificaciones a los contactos cuando ocurren problemas en servicios o hosts,
así como cuando son resueltos.
 Rotación automática del archivo de registro.
 Soporte para implementar hosts de monitores redundantes.
 Visualización del estado de la red en tiempo real a través de interfaz web, con
la posibilidad de generar informes y gráficas de comportamiento de los
sistemas monitorizados, y visualización del listado de notificaciones enviadas,
historial de problemas, archivos de registros.
1.5.2. Estructura del sistema
Nagios sigue a grosso modo la siguiente estructura:

 Un núcleo de la aplicación que forma la lógica de control de negocio de la

aplicación contiene el software necesario para realizar la monitorización de los
servicios y máquinas de la red para la que está preparado. Hace uso de diversos
componentes que vienen con la aplicación, y puede hacer uso de otros
componentes realizados por terceras personas.
 Aunque permite la captura de paquetes SNMP Trap para notificar sucesos, no
es un sistema de monitorización y gestión basado en SNMP sino que realiza
su labor basándose en una gran cantidad de pequeños módulos software que
realizan chequeos de parte de la red.
1.5.3. Ventajas
 La verificación de disponibilidad se delega en plugins
 Chequeos en paralelo (usando forking)
 Programación de chequeos inteligente.
 Configuraciones muy detalladas y basadas en plantillas
 Utiliza información topológica para determinar dependencias
 Permite definir políticas de notificación.
 1.5.4. Requisitos mínimos
 Procesador: P4 1.8 Ghz
 Memoria RAM: 1 GB
 Sistema Operativo: Linux
 Tarjeta de Red:10/100/1000 [6]
1.6. OSSEC
Es un detector de intrusos en host de fuente abierta, que proporciona análisis de logs,
verificación de integridad de ficheros, monitorización del registro de Windows, detección de
rootkits en tiempo real y que permite configurar respuestas activas. También es respaldado y
apoyado totalmente por Trend Micro.
1.6.1. Características
Es un detector de intrusos Open Source basado en nodo, que lleva a cabo las siguientes
funciones: análisis de registros, comprobación de integridad, detección de rootkits,
alertas basadas en secuencias temporales y respuesta activa, capaz de ejecutarse en
cliente/servidor y que funciona en Windows, Linux, Mac Os y otros sistemas. Es una
especie de evolución de Tripwire.
Entre las utilidades que presenta es que la base de datos de firmas MD5 no se almacena
en el equipo cliente, sino que se lleva a un servidor centralizado, permitiendo que, si
un cliente queda comprometido, las firmas no quedan comprometidas.
Está dividido en tres componentes básicos los cuales son el servidor: el cual monitorea
y registra la actividad de los agentes, estos últimos son quienes están siendo verificados
y le envían la información de lo que ocurre en ellos al servidor y la interfaz WEB la
cual se instala en un servidor WEB y sirve para la administración grafica del servidor.
1.6.2. Ventajas
 Cumplimiento de Requisitos: ayuda a los clientes satisfacer las necesidades
específicas de cumplimiento que permite a los clientes detectar y alertar sobre
las modificaciones no autorizadas del sistema de archivos y comportamientos
maliciosos incrustados en los archivos de registro de productos COTS, así
como aplicaciones personalizadas.
 Multiplataforma: permite a los clientes implementar una serie completa base
del sistema de detección de intrusos a través de múltiples plataformas, como
Linux, Solaris, AIX, HP-UX, BSD, Windows, Mac y VMware ESX.
 Alertas en tiempo real y configurable: permite a los clientes configurar los
incidentes que se desea recibir una alerta en la que les permite centrarse en el
aumento de la prioridad de los incidentes críticos sobre el ruido normal en
cualquier sistema. Integración con el SMTP, SMS y syslog permite a los
clientes a estar en la cima de alertas mediante el envío de estos a correo
electrónico y dispositivos portátiles como teléfonos celulares y buscapersonas.
 Gestión centralizada: proporciona un servidor simplificado de gestión
centralizada para administrar las políticas en múltiples sistemas operativos.
 Agente y la supervisión sin agente: ofrece la flexibilidad de control basado en
agentes y sin agentes de los sistemas y componentes de red tales como routers
y firewalls. [7]
1.7. SNORT
Snort un sniffer de paquetes y un sistema de detección de intrusos basado en red o NIDS.
Implementa un motor de detección de ataques el cual permite registrar, alertar y responder ante
cualquier anomalía previamente definida. Estos registros quedan almacenados en formato
binario el cual se puede convertir a formato PCAP2 u otros formatos más legibles.
Además, también se puede guardar en bases de datos como es MySQL. Así mismo, existen
herramientas complementarias a Snort que hacen que este IDS sea un sistema muy completo y
fácil de administrar. Como, por ejemplo, herramientas que almacenan las alertas detectadas por
Snort en una base de datos (Barnyard2) y otras que recogen de esta base de datos las alertas y
las muestran en una interfaz gráfica de fácil manejo (BASE). A su vez, también existen otros
programas complementarios para mostrar informes en tiempo real (ACID) o para convertir a
Snort, además de IDS, en IPS. [8]
1.7.1. Características
Una característica muy importante e implementada desde hace pocas versiones es
FlexResp. Permite, dada una conexión que emita tráfico malicioso, darla de baja,
hacerle un DROP mediante el envío de un paquete con el flag RST activa, con lo cual
cumpliría funciones de Firewall, cortando las conexiones que cumplan ciertas reglas
predefinidas. No sólo corta las conexiones ya que puede realizar otras muchas
acciones. La característica más apreciada de Snort, además de su funcionalidad, es su
subsistema flexible de firmas de ataques.
Los sistemas IDS y Snort buscan patrones previamente definidos que impliquen
cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o Host. Aportan
a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier
actividad sospechosa. No están diseñados para detener un ataque, aunque sí pueden
generar ciertos tipos de respuesta ante éstos. Aumentan la seguridad de nuestro sistema,
vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos
sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el
análisis de nuestra red
Un problema de los IDS es cuando queremos implementarlos en redes conmutadas ya
que no hay segmento de red por donde pase todo el tráfico. Otro problema para un IDS
son las redes con velocidades de tráfico muy altas en las cuales es difícil procesar todos
los paquetes. [9]
1.7.2. Funcionamiento
Snort puede funcionar en los siguientes tres modos:

 Modo Sniffer: se captura el tráfico en tiempo real de la red configurada en el

archivo de configuración de Snort y se imprime por pantalla.
 Modo registro de paquetes: se guardan los paquetes de la red configurada, en
el archivo de configuración de Snort, en ficheros con un determinado formato
para su posterior análisis. Se puede volver a reproducir el tráfico almacenado
en los ficheros.
 Modo NIDS: se comparan las tramas de todos los paquetes con el conjunto de
reglas o patrones que se tengan configurados, mostrando por pantalla las
coincidencias o almacenándose estas en un sistema basado en registros. [8]
1.8. ELASTICSEARCH
Elasticsearch es un motor de búsqueda basado en Lucene. Lucene es una API gratuita y de
código abierto para hallar informaciones y se usa mucho para crear motores de búsqueda.
Elasticsearch, a través de interfaces web HTTP y documentos JSON, permite interactuar de
forma sencilla con su núcleo y realizar búsquedas de texto completo muy eficaces.
La misión de Elasticsearch parte de una convicción de Shay Banon, el fundador: “Search is
something that any application should have”. Basándose en este credo, Banon trabajó durante
años para llevar su compañía a la cima de la escena informática mundial. [10]
1.8.1. Características
 Su escalabilidad horizontal, que es su principal característica y en la que se
centró el diseño de su arquitectura.
 Tiene respuestas próximas al tiempo real, ya que la latencia es menor de un
segundo desde que se indexa hasta que el dato está disponible para la
búsqueda.
 Es tolerante a fallos en los nodos, lo que ofrece alta disponibilidad al tener
replicación de los datos en nodos diferentes.
 Dispone de funciones de búsqueda en texto completo, ya que se considera todo
el contenido de los documentos para la búsqueda, a diferencia de lo que ocurre
en una base de datos convencional, en la que solo se consideran campos
concretos como el título o las referencias.
 Está orientado a documentos JSON.
 No requiere esquemas, por lo que tiene un indexado rápido se autodetectan los
tipos de cada campo al generarlos.
 Tiene un desarrollo amigable con unas Apis sencillas. [11]
1.8.2. Ventajas
 Búsqueda de texto completo: Usar Elasticsearch hace que implementen una
gran cantidad de funciones, tales como la división personalizada de texto en
palabras, derivación personalizada, búsqueda personalizada, etc.
 Fuzzy Searching: Una búsqueda difusa es buena para los errores de ortografía.
Al usar Elasticsearch te permite encontrar lo que estás buscando, aunque tenga
un error ortográfico.
 Autocompletado y búsqueda instantánea: Buscando mientras el usuario
escribe. Pueden ser simples sugerencias de, p. las etiquetas existentes, tratando
de predecir una búsqueda basada en el historial de búsqueda, o simplemente
haciendo una búsqueda completamente nueva para cada palabra clave. Esta
opción es muy popular en Google. Escribimos “elasticsearch” y google sugiere
los “elasticsearch casos practicos”, etc.
 Orientado a documentos: Elasticsearch está orientado a documentos.
Almacena entidades complejas del mundo real como documentos JSON
estructurados e indexa todos los campos de forma predeterminada, con un
resultado de rendimiento superior.
 Velocidad: Elasticsearch puede ejecutar consultas complejas extremadamente
rápido. También almacena casi todas las consultas estructuradas comúnmente
utilizadas como filtro para el conjunto de resultados y las ejecuta solo una vez.
 Para cada otra solicitud que contiene un filtro en caché, comprueba el resultado
de la caché. Esto ahorra el tiempo de análisis y ejecución de la consulta
mejorando la velocidad.
 Escalabilidad: Los equipos de desarrollo de software prefieren usar
Elasticsearch porque es un sistema distribuido por naturaleza y puede escalar
horizontalmente, lo que permite extender los recursos y equilibrar la carga
entre los nodos de un clúster.
 Búsqueda estructurada: Elasticsearch no tiene esquemas, acepta documentos
JSON e intenta detectar la estructura de datos, indexar los datos y hacer que se
pueda buscar.
 Registro de datos: Elasticsearch registra cualquier cambio realizado en
registros de transacciones en múltiples nodos en el clúster para minimizar la
posibilidad de pérdida de datos. [12]
II. Comparación de las herramientas
Herramienta Multiplataforma Interfaz Requisitos Factibilidad Conocimientos Integración Adaptabilidad Escalabilidad
amigable de para su uso
hardware
OSSIM SI SI MEDIO ALTO ALTO SI SI SI

SIEMONSTER NO SI ALTO ALTO ALTO SI SI SI

SECURITY SI SI ALTO ALTO ALTO SI SI SI

ONION

APACHE SI NO ALTO MEDIO ALTO SI SI SI

METRON

NAGIOS SI NO BAJO MEDIO MEDIO SI SI SI

OSSEC SI SI ALTO ALTO ALTO SI SI SI

SNORT SI SI BAJO MEDIO MEDIO SI SI SI

ELASTICSEARCH SI SI MEDIO MEDIO MEDIO SI SI SI

III. Conclusiones
 La propuesta de solución más adecuada es utilizar OSSIM AlienVault, ya que ayudará a
priorizar amenazas, hará reportes precisos y personalizables, es multiplataforma, automatiza
procesos y monitoreará en tiempo real, el conocimiento para su uso es elevado, pero por todas
las funcionalidades que ofrece puede abarcar más la problemática en cuanto a tecnología en
la UNC y gestionará gran parte de los problemas que existen, por otra parte ya que no hay
presupuesto los gastos no serán muy elevados en la implantación de esta solución SIEM.

IV. Referencias

[1 A. Bravo, A. Villafuerte y J. Patiño, «dspace,» 2012. [En línea]. Available:

] https://www.dspace.espol.edu.ec/bitstream/123456789/43765/1/BRAVO%20BRAVO%20%C3
%81NGEL%20HERALDO%20Y%20VILLAFUERTE%20QUIROZ%20%C3%81LVARO%20LUIS.pdf.

[2 Siemonster, «Siemonster,» 2019. [En línea]. Available: https://siemonster.com/.

]

[3 L. Ramírez, «Soluciones Linux,» 2015. [En línea]. Available:

] http://solucioneslinux.com.pe/producto/security-onion-2/.

[4 C. Pazmiño y J. Pazmiño, «dspace,» 2018. [En línea]. Available:

] http://dspace.espoch.edu.ec/bitstream/123456789/8445/3/98T00191.pdf.

[5 A. Lobo y A. Florez, «ciinatic,» 2017. [En línea]. Available:

] http://ciinatic2017.ufps.edu.co/wordpress/wp-content/uploads/2010/08/Art%C3%ADculo-
CIINATIC-vFinal.pdf.

[6 EcuRed, «EcuRed,» 2015. [En línea]. Available: https://www.ecured.cu/Nagios.

]

[7 Ecured, «Ecured,» 2016. [En línea]. Available: https://www.ecured.cu/Ossec.

]

[8 J. Llopis, «Riunet,» 2017. [En línea]. Available:

] https://riunet.upv.es/bitstream/handle/10251/88474/LLOPIS%20-
%20Sistema%20de%20monitorizaci%C3%B3n%20del%20IDS%20Snort.pdf?sequence=1.

[9 Ecured, «Ecured,» 2014. [En línea]. Available: https://www.ecured.cu/Snort.

]

[1 L. D´Adamo, «consulthink,» 2018. [En línea]. Available:

0] https://www.consulthink.it/es/elasticsearch-que-es-como-funciona-y-caracteristicas/.

[1 P. Gonzáles, «openwebinars,» 2019. [En línea]. Available:

1] https://openwebinars.net/blog/caracteristicas-de-la-arquitectura-de-elasticsearch/.
[1 ApiumHub, «apiumhub,» 2018. [En línea]. Available: https://apiumhub.com/es/tech-blog-
2] barcelona/usar-elasticsearch-ventajas-libros/.