El monitoratge i la detecció són components essencials de la seguretat informàtica. Aquestes tècniques permeten identificar activitats sospitoses, anomalies i possibles incidents de seguretat en temps real o gairebé en temps real. En aquesta secció, explorarem les diferents tècniques de monitoratge i detecció, les seves aplicacions i com implementar-les de manera efectiva.

Al final d'aquesta secció, els estudiants seran capaços de:

1. Comprendre la importància del monitoratge i la detecció en la seguretat informàtica.
2. Identificar i descriure les diferents tècniques de monitoratge i detecció.
3. Implementar tècniques bàsiques de monitoratge i detecció en un entorn de xarxa.
4. Analitzar i interpretar els resultats del monitoratge per prendre mesures adequades.

• Prevenció d'Incidents: Identificar i mitigar amenaces abans que causin danys significatius.
• Resposta Ràpida: Permetre una resposta ràpida i eficaç als incidents de seguretat.
• Compliment Normatiu: Assegurar el compliment de les normatives i estàndards de seguretat.

• Monitoratge de Xarxa: Supervisió del tràfic de xarxa per detectar activitats anòmales.
• Monitoratge de Sistemes: Supervisió dels sistemes operatius i aplicacions per detectar comportaments inusuals.
• Monitoratge de Registres (Logs): Anàlisi dels registres de sistema per identificar patrons sospitosos.

• Sistemes de Detecció d'Intrusions (IDS): Eines que analitzen el tràfic de xarxa i els registres per detectar activitats sospitoses.
• Sistemes de Prevenció d'Intrusions (IPS): Eines que no només detecten sinó que també bloquegen activitats malicioses.
• SIEM (Security Information and Event Management): Plataformes que agreguen i analitzen dades de seguretat de diverses fonts.

• Sniffing: Captura de paquets de dades per analitzar el tràfic de xarxa.
• Anàlisi de Fluxos: Monitoratge dels fluxos de dades per identificar patrons de tràfic anòmals.
• NetFlow: Protocol de Cisco per recollir informació sobre el tràfic de xarxa.

Exemple de Codi: Captura de Paquets amb Python i Scapy

Explicació:

• sniff: Funció de Scapy per capturar paquets.
• iface: Interfície de xarxa a monitoritzar.
• count: Nombre de paquets a capturar.
• prn: Funció de callback per processar cada paquet capturat.

• Supervisió de Processos: Monitoratge dels processos en execució per detectar comportaments anòmals.
• Anàlisi de Registres (Logs): Revisió dels registres de sistema per identificar activitats sospitoses.

Exemple de Codi: Monitoratge de Processos amb Python

Explicació:

• psutil: Biblioteca per accedir a informació del sistema i processos.
• process_iter: Itera sobre els processos en execució.
• proc.info: Mostra informació del procés (PID, nom, usuari).

• Centralització de Registres: Agregació de registres de diverses fonts en un únic lloc.
• Anàlisi de Patrons: Identificació de patrons sospitosos en els registres.

Exemple de Codi: Anàlisi de Registres amb Python

Explicació:

• re: Biblioteca de Python per treballar amb expressions regulars.
• re.search: Cerca patrons específics en cada línia del fitxer de registres.

1. Utilitza Scapy per capturar paquets de la teva interfície de xarxa durant 1 minut.
2. Analitza els paquets capturats per identificar qualsevol tràfic sospitós.

1. Implementa un script en Python que monitoritzi els processos en execució cada 10 segons.
2. Identifica qualsevol procés que consumeixi més del 80% de la CPU.

1. Escriu un script en Python que analitzi un fitxer de registres i identifiqui línies que continguin les paraules "ERROR" o "FAIL".
2. Extreu i mostra les 5 línies més recents que continguin aquests patrons.

En aquesta secció, hem explorat les tècniques de monitoratge i detecció, incloent el monitoratge de xarxa, de sistemes i l'anàlisi de registres. Hem vist exemples pràctics de com implementar aquestes tècniques utilitzant Python i hem proporcionat exercicis pràctics per reforçar els conceptes apresos. Aquestes tècniques són fonamentals per mantenir la seguretat i integritat dels sistemes informàtics i les xarxes.