Desplegando un SOC Honeypot con Microsoft Sentinel

Este proyecto explica paso a paso cómo montar un SOC básico en Azure empleando una máquina virtual honeypot que envía sus registros a un repositorio central y Microsoft Sentinel para el análisis de ataques. Como requisito previo necesitamos una suscripción a Azure.

Primero se crea un grupo de recursos dejando las configuraciones por defecto, por ejemplo my-first-rsg en la región Central India, y a continuación una red virtual my-first-vnet en el mismo grupo y región. Dentro de esa VNet desplegamos una máquina virtual honeypot, por ejemplo DataAnalysis-Server con Windows Server 2019 Datacenter y tamaño Standard B2S, y la implementamos.

En la configuración de red se modifica el Network Security Group. Para este laboratorio se eliminó la regla RDP por defecto y se creó una regla que abre todos los puertos desde cualquier origen con el nombre DangerAllPortsAllowed para simular un equipo expuesto. Usando RDP se accede con la IP, usuario y contraseña al VM. En el VM se deshabilitaron las propiedades del Firewall de Windows para maximizar la visibilidad de intentos de intrusión y se verificó la conectividad mediante ping.

Para recolectar los registros creamos un Log Analytics workspace y luego añadimos Microsoft Sentinel vinculando ese workspace. Desde el Content hub de Sentinel se instala la solución Windows Security Events que facilita conectar el VM al Log Analytics. Se configura el Azure Monitoring Agent AMA mediante una regla de recopilación de datos que envía los eventos del sistema al workspace y, tras instalar la extensión en el VM, los eventos empiezan a fluir hacia la SIEM.

Una vez configurado es posible consultar los registros con consultas KQL. En pocas horas se pueden observar miles de intentos de acceso. Consultas en ventanas cortas, por ejemplo el último minuto, permiten ver la intensidad del ataque y contabilizar intentos fallidos por minuto.

Para enriquecer el análisis se crea una watchlist en Microsoft Defender y se sube un fichero geoip-summarized.csv con mapeo geográfico de direcciones IP. Con una consulta KQL y la watchlist se identifica a atacantes frecuentes, por ejemplo una IP desde Netherlands con más de 900 intentos de acceso.

Para visualización se crea un workbook en Sentinel y se usa una consulta JSON para representar los ataques en un gráfico de barras, facilitando la interpretación y el seguimiento por equipos de SOC.

Recomendaciones y buenas prácticas: mantener los sistemas actualizados aplicando parches tan pronto estén disponibles, abrir únicamente los puertos estrictamente necesarios y solo por el tiempo imprescindible, y desplegar soluciones de monitorización y correlación de eventos como Microsoft Sentinel para detectar patrones de ataque.

En Q2BSTUDIO somos especialistas en desarrollo de software a medida y en ofrecer soluciones integrales en ciberseguridad y servicios cloud. Ofrecemos desde aplicaciones a medida y software a medida hasta servicios de servicios cloud aws y azure y auditorías de seguridad. Si buscas fortalecer tus defensas contamos con experiencia en pentesting, respuesta a incidentes y despliegue de plataformas SIEM y honeypot para inteligencia de amenazas. Además desarrollamos soluciones de inteligencia artificial, agentes IA e IA para empresas que se integran con plataformas de monitorización y análisis, y ofrecemos servicios de ciberseguridad y pentesting para mejorar la resiliencia de tus sistemas.

Palabras clave integradas: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi.

Si necesitas que implementemos un SOC honeypot adaptado a tu entorno cloud o una integración completa con Microsoft Sentinel, contáctanos para diseñar una solución a medida que combine desarrollo de software, análisis avanzado y protección especializada.