Aplicación de técnicas de búsqueda elástica e IA para la creación de un sistema de inteligencia de amenazas

Abstract

[ES]El presente informe técnico de fin de máster detalla el diseño, implementación y validación de un sistema avanzado de inteligencia de amenazas que integra técnicas de búsqueda elástica e inteligencia artificial. Este sistema, recopila, procesa y analiza información de reportes de ciberseguridad de empresas reconocidas del sector, mejorando significativamente la eficiencia y eficacia en la detección de amenazas cibernéticas. La contribución principal es la creación de una ontología comprehensiva para la inteligencia de amenazas en ciberseguridad, basada en el marco MITRE ATT&CK. Esta ontología estandariza y estructura el conocimiento en el área, facilitando la comunicación entre sistemas y profesionales, y mejorando significativamente la identificación y análisis de amenazas. El sistema destaca por su capacidad para procesar datos no estructurados de reportes de ciberseguridad, utilizando un modelo de lenguaje avanzado con procesamiento del lenguaje natural para extraer entidades, como vulnerabilidades, tácticas, técnicas y procedimientos (TTP) de atacantes, e indicadores de compromiso (IoC). Estas entidades se almacenan en una base de datos que emplea técnicas de búsqueda elástica, permitiendo una recuperación eficiente de la información.

[EN]This technical report details the design, implementation and validation of an advanced threat intelligence system that integrates elastic search and artificial intelligence techniques. This system collects, processes and analyzes information from cybersecurity reports of well-known companies in the industry, significantly improving the efficiency and effectiveness of cyber threat detection. A major contribution is the creation of a comprehensive ontology for cybersecurity threat intelligence, based on the MITRE ATT&CK framework. This ontology standardizes and structures knowledge in the area, facilitating communication between systems and professionals, and significantly improving threat identification and analysis. The system stands out for its ability to process unstructured data from cybersecurity reports, using an advanced language model with natural language processing to extract key entities such as vulnerabilities, tactics, techniques and procedures (TTP) of attackers, and indicators of compromise (IoC). These entities are stored in a database that employs elastic search techniques, enabling efficient information retrieval.