Proceso Ethical Hacking

ETB - RFI/RFQ – Solución de Recolección, Normalización, Análisis y Correlación de Eventos de Seguridad
RFI / RFQ
SOLUCIÓN DE RECOLECCIÓN, NORMALIZACIÓN, ANÁLISIS Y

CORRELACIÓN DE EVENTOS DE SEGURIDAD
Página 1 de 26 www.etb.com.co
RFI/RFQ SOLUCIÓN DE RECOLECCIÓN, NORMALIZACIÓN, ANÁLISIS Y

CORRELACIÓN DE EVENTOS DE SEGURIDAD
ADVERTENCIA:
Los presentes requerimientos de información no constituyen una oferta mercantil para ninguna de
las partes y no genera obligación comercial en la etapa precontractual o contractual en cualquiera
de sus instancias; adicionalmente, en desarrollo de la lealtad y ética comercial, solicitamos y nos
comprometemos a que la información entregada por nosotros y suministrada por cada uno de los
interesados se mantenga en estricta confidencialidad.
ETB podrá realizar una reunión con los interesados con el propósito de aclarar y discutir los
aspectos, los tiempos y los lineamientos del desarrollo del presente RFI/RFQ, por lo que solicita a
los interesados en participar enviar un e-mail a la cuenta de correo [email protected],
describiendo el nombre de la empresa, nombre del contacto, correo electrónico, número de
teléfono fijo y celular.
Durante el estudio de los RFI, ETB se reserva el derecho de solicitar a los interesados una
presentación, en la cual se aclaren los diferentes aspectos presentados en la propuesta.
CALENDARIO DE EVENTOS
A continuación se establecen las fechas de los eventos más relevantes en relación con los
presentes RFI
 Publicación RFI Fecha 29/01/2016

 Ultima fecha para recepción preguntas proveedores Fecha 05/02/2016
 Ultima fecha para aclaración de Preguntas ETB Fecha 10/02/2016
 Última fecha para la recepción de las propuestas Fecha 15/02/2016
ACLARACIONES A LAS CONDICIONES PLANTEADAS

Podrán requerirse aclaraciones respecto del contenido de este documento, mediante solicitud
escrita dirigida a la Gerencia Abastecimiento de ETB, a la cuenta de correo electrónico
[email protected]
ETB dará respuesta escrita a las solicitudes recibidas, vía correo electrónico, dentro de los 2 días
hábiles siguientes al vencimiento del plazo previsto en el párrafo anterior.
LUGAR, FECHA Y FORMA DE PRESENTACIÓN DE LA PROPUESTA

La propuesta de los interesados debe presentarse el 15/02/2016, a las 14 horas, en sobre sellado,
mediante carta dirigida a la Vicepresidencia de Infraestructura y entregada en la Gerencia
Abastecimiento ubicada en la Carrera 7 No 20 - 99 piso 2.
1. OBJETO
La EMPRESA DE TELECOMUNICACIONES DE BOGOTÁ S.A. E.S.P. en adelante ETB, está

interesada en recibir información sobre tecnologías de soluciones de RECOLECCIÓN,
NORMALIZACIÓN, ANÁLISIS Y CORRELACIÓN DE EVENTOS DE SEGURIDAD, incluyendo los
costos de los bienes, el software y el licenciamiento de uso de software, así como los servicios de
Gerencia de Proyecto, Verificación de Información, Ingeniería Detallada, Capacitación, Instalación,

Configuración, Pruebas, Puesta en Producción, Estabilización, Soporte Técnico, Garantía y horas
de Asesoría de la Solución presentada.
2. SITUACIÓN ACTUAL.
ETB cuenta con una solución de recolección y almacenamiento de archivos LOG encargada de
realizar las siguientes funciones:
- Consolidación y almacenamiento de LOG de Seguridad.
- Generación de reportes y estadísticas de eventos de Seguridad.
- Notificación de eventos de Seguridad relevantes a través de correo.
- Medición de estadísticas de LOG.
- Piloto SIEM.
- Repositorio de correos de abuso.
- Análisis de tráfico a través de netflow.
Para esto se cuenta con dos servidores que realizan las siguientes acciones específicas:
1. SERVIDOR SYSLOG: Servidor de recolección y almacenamiento de archivos LOG y

repositorio de la cuenta de correo de abuso.
- Recolección de eventos a través de SYSLOG en protocolos TCP y UDP en un

servidor con almacenamiento a través de SAN.
- Reenvío de archivos LOG a un elemento de análisis y reporte de eventos.
- Descarga y administración de cuentas de correo de reporte de abusos
- Reenvío de correos de atención de incidentes basado en el ASUNTO o
REMITENTE del correo.
- Descarga y análisis de reportes recibidos por correo de Grupos de análisis de
información de Seguridad como SHADOWSERVER.
- Generación de reportes de direcciones IP o host con mayor número de denuncias
de ABUSO.
- Generación de reportes de riesgos detectados por malware a través del software
antivirus instalado en los servidores.
2. SERVIDOR SIEM: Servidor de normalización, indización y reporte de eventos de

seguridad.
- Normalización de eventos de seguridad a través de LOGSTASH.

- Marcado y agregado de etiquetas de eventos de seguridad a través de
LOGSTASH.
- Indización de eventos a través de ELASTICSEARCH.
- Búsqueda de eventos en tiempo real a través de ELASTICSEARCH y KIBANA.
- Generación de reportes de eventos a través de KIBANA.
- Consola de monitoreo de eventos a través de dashboards dinámicos generados
con KIBANA.
El diagrama funcional de las acciones realizadas por estos servidores es el siguiente:
Figura – Topología sistemas actuales SIEM
3. ALCANCE
ETB busca información que permita estimar los recursos necesarios para desarrollar un proyecto
de IMPLEMENTACIÓN de una solución de una solución de RECOLECCIÓN, NORMALIZACIÓN,
ANÁLISIS Y CORRELACIÓN DE EVENTOS DE SEGURIDAD que permita cumplir los siguientes
objetivos:
- Recolectar y almacenar eventos de seguridad de múltiples fuentes de diferentes

tipos.
- Analizar patrones y datos generados por las diferentes plataformas que permitan
identificar comportamientos maliciosos y/o anormales.
- Realizar análisis de datos que permitan identificar tendencias con respecto al uso y
seguridad de las plataformas.
- Detectar tráfico malicioso asociado a infecciones de malware en dispositivos
internos.
- Detectar ataques informáticos a través de las diferentes capas de seguridad y
evaluar la criticidad ante la detección de dichos eventos.
- Apoyar la investigación de incidentes por medio de la búsqueda de eventos en
tiempo real e históricos.
La solución debe ser propuesta para cubrir como mínimo los siguientes elementos:
- Servidores de Hosting Compartido Windows con servicios WEB.

- Logs Sistema Operativo
- Logs IIS y Logs de acceso y error de cada uno de los sitios alojados.
- Servidores de Hosting Compartido Linux con servicios WEB, Base de Datos y
Correo.
- Logs Sistema Operativo
- Logs Apache
- Logs de acceso y error de cada uno de los sitios alojados.
- Logs de servidor de correo
- Logs de base de datos
- Equipos Firewall CISCO ASA
- Logs de equipos definidos bajo el nivel de log INFORMATIONAL.
- Servidor de Gestión de Dispositivos IPS HP/Tipping Point
- Eventos de alertas de tráfico permitido y bloqueado por las firmas configuradas en

dispositivos IPS.
- Servidor de Antivirus
- Logs de Consola de Antivirus Symantec EndPoint Protection Manager.
- Servidor de Gestión de Vulnerabilidades McAfee.
- Logs de Sistema Operativo
- Servidor Proxy (Gateway de Navegación)
- Logs de Sistema Operativo
- Logs de Utilización de PROXY SQUID
- Servidor de Gestión de elementos Palo Alto.
- Logs de acceso y configuración de la consola de administración.
- Consolas de administración de firewalls VSX CheckPoint
- Firewalls Virtuales CISCO FWSM
- Firewalls UTM de clientes (diversas marcas)
- Servidores Virtualizados
- Sistema Operativo Windows
- Sistema Operativo Linux
- Servidores físicos
- Sistema Operativo Windows
- Sistema Operativo Linux
Sobre los cuales se requiere hacer correlación de eventos que apoyen las labores de:
- Control de Acceso.
- Monitoreo de acciones realizadas por los usuarios de las diferentes plataformas y
accesos remotos.
- Detección de incidentes asociados al uso o abuso de privilegios
- Control de Cambios
- Detección de cambios no autorizados.
- Detección de cambios en sistemas o configuraciones críticas.
- Auditoría de cambios en equipos de red y plataformas.
- Gestión de Vulnerabilidades.
- Notificación nuevas vulnerabilidades.
- Seguimiento a las vulnerabilidades solucionadas.
- Gestión de Incidentes de Seguridad
- Detección de comportamientos anómalos o ataques informáticos que afecten una o
varias plataformas.
- Detección de amenazas avanzadas persistentes (APT).
- Recolección de evidencia e investigación forense.
4. ELEMENTOS A MONITOREAR EN EL NODO ISP
A continuación se indica un estimado de elementos (número de servidores, versiones de

Sistema Operativo) a monitorear:
Sistema Operativo FISICOS VIRTUALES Total general

AIX 2 0 2
CentOS 4 4 8
FreeBSD 1 0 1
HP-UX 16 0 16
Linux (General) 2 1 3
Windows 151 166 317
Novell SUSE Linux Enterprise 0 6 6

openSUSE 0 1 1
Oracle Linux 1 0 1
Red Hat Enterprise Linux 75 86 161
Solaris 23 2 25
SunOS 6 0 6
SuSe Linux 1 0 1
VMWare ESXi 5.0 23 0 23
Otros 0 2 2
Total general 305 268 573
Tabla de Sistemas Operativos – Activos a monitorear en Data Center ETB
A continuación se indica un estimado de motores de bases de datos (motores, cantidad) a

monitorear:
MOTOR CANTIDAD
MySQL 143
ORACLE 78
SQL 33
DB2 0
POSTGRES 8
SYBASE 7
TOTAL 269
Tabla de motores de base de datos - Activos monitorear en Data Center ETB
A continuación se indica un estimado de servidores WEB (servidor, cantidad) a monitorear:
WEB SERVICE CANTIDAD

Apache 46
Tomcat 15
ISS 11
Total 72
Tabla de servidores WEB - Activos monitorear en Data Center ETB
A continuación se indica un estimado de los sistemas (controles) de Seguridad y Gestión a

monitorear:
Aplicación Fabricante Servidores

Naviscore Alcatel 3
EMPSAX Alcatel 2
NEWBRIDGE Alcatel 2
HP Performance Insight HP 8
HP Network Node Manager HP 6
HP Reporter HP 2
HP Operations HP 2
HP Performance Manager HP 2
HP Service Activator HP 2
HP Service Manager HP 2
Netcool SAR ITCAM IBM 2
Netcool Omnibus IBM 2
DNS Autoritativo Nominum 3
DNS Caché Nominum 3
DNS Caché Microsoft 2
Sistema DDI Alepo 2
Openview Service Information HP 2
Sistema AAA Alepo 3
Directorio Activo Microsoft 2
NTP Linux 2
Sistemas FW Checkpoint 7
Gestión y Reportes FW Checkpoit 3
VPN Connectra Checkpoint 2
RSA Authentication Manager RSA 2
Email Gateway Ironport / CISCO 4
Web Filter WOLF Allot 2
Web Filter COTTA Allot 25
SPAM Filter COTTA Allot 2
Gestor COTTA Allot 2
Consola AV Symantec 1
Vulnerability Manager McAfee 2
IPS/IDS Tipping Point 9
Gestor IPS/IDS Tipping Point 2
UTM Fortinet 2
Gestión y reportes UTM Forti-
net Fortinet 3
SQUID Proxy Linux 1
TOTAL 123
Tabla de Controles y Gestores a monitorear
A continuación se indica un estimado de los equipos de Red a monitorear:
Nodo Internet
FABRICANTE MODELO CANTIDAD
CRS 3
7613 2
CISCO ASR 9000 8
7606 4
NEXUS 7000 2
NEXUS 5000 14
NEXUS 3000 10
NEXUS 2000 50
Serie 6500 10
Serie 7200 6
Serie 4948
Serie 4924
Serie 3750
Serie 3775 50
M320
T4000
ERX1440
E320
JUNIPER MX960 50
TOTAL 209
Tabla de sistemas de Red a monitorear
A continuación se indica un estimado de los equipos de almacenamiento y respaldo a monitorear:
Equipo Cantidad
Switch SAN Hosting Virtual 4
Switch SAN Principal 8
Switch SAN Enclosure 14
Switch SAN Enclosure Hosting Virtual 10
Almacenamiento EMC 3
Almacenamiento DELL 4
Back Up EMC Networker 4
Librería de cintas Networker 3
Back Up EMC Netbackup Hosting Virtual 4
Librería de cintas Netbackup Hosting Virtual 1
TOTAL 55
Tabla de sistemas de Almacenamiento y Respaldo a monitorear
5. ELEMENTOS A MONITOREAR EN LA VICEPRESIDENCIA DE INFORMÁTICA
La Vicepresidencia de Informática (VI), a modo de referencia, facilita la lista inicial de activos a los
cuales se les va a realizar un análisis de LOG:
TIPO DE FUENTE CANTIDAD

APLICACIONES - SISTEMA OPERATIVO - BASE DATOS 67
EQUIPOS DE RED 13
IPS - FIREWALL - ESCANER VULNERABILIDADES 5
ANTIVIRUS ENDPOINT Y NAS 4
ALMACENAMIENTO 4
LDAP NOVELL 1
ACTIVE DIRECTORY MICROSOFT WINDOWS 2
MICROSOFT EXCHANGE 4
TOTAL DE FUENTES DE LOG 100
Tabla de activos VI
A continuación información de la cantidad de eventos por segundo por tipo de dispositivo de la lista
anterior.
Dispositivo / Tecnología Eventos por segundo
Celerra 4,73
CheckPoint 1050,77
CISCO ASA 782,19
CISCO 60,80
NIC 10,16
RH LINUX 43,53
SAP 0,50
Switch Motorola 1,44
unknown 6,72
winevent_nic 460,95
Tabla de eventos por segundo estimados en VI
La cantidad de eventos por segundo calculado para VI es de aproximadamente 4500.
Físicamente, ETB cuenta con 4 Salones de Data Center en Bogotá (Centro, 114, CUNI y Chicó) y
un salón de Data Center en Cali (Santa Mónica). Se busca que el sistema SIEM permita la
recolección de información de los activos en ambas sedes y permita el monitoreo de las
plataformas. Por favor indicar las condiciones requeridas para cumplir con este objetivo.
6. FUNCIONALIDADES TÉCNICAS
CARACTERÍSTICAS GENERALES
1. ETB solicita que se indique si la solución si la solución cuenta con las capacidades de
recolección de eventos de diferentes fuentes y orígenes.
2. ETB solicita que se indique si la recolección de eventos para los elementos mencionados
en el alcance, se realiza a través de métodos que no requieren la instalación de agentes o
software adicional en dichos elementos.
3. ETB solicita que se indique si la solución tiene la capacidad de analizar e interpretar tráfico
IPv4 e IPv6.
4. ETB solicita se indique si la solución cuenta con la capacidad de interpretar y correlacionar

información proveniente de diferentes tipos de fuentes como:
 LOG (Syslog)
 LOG (Windows Log Events)
 Archivos de texto
 Archivos o LOG en formato XML
 Archivos o LOG en formato JSON
 Capturas de paquetes
 Copias de tráfico
 Salida de comandos o scripts en UNIX y/o Windows
 Buzón de correo electrónico
 Traps SNMP
 Netflow
5. ETB solicita que se indique si la solución permite incorporar, como información a

correlacionar, datos no basados en eventos tales como:
 Información de escaneo de puertos.

 Información de escaneo de vulnerabilidades.
 Información de escaneo de malware.
 Correos electrónicos.
 Indicadores de Compromiso.
 Análisis de malware basado en sandbox.
6. ETB solicita que se indique si, ante la eventualidad de no contar con los mecanismos de
indización y correlación de una fuente determinada, la solución presentada puede
establecer estas acciones a través de herramientas provistas por la solución para la
interpretación de dichos eventos.
7. ETB solicita que se indique si la solución realiza la normalización, el almacenamiento e

indizado de los datos con el fin de realizar búsquedas de información relacionada con los
eventos.
8. ETB solicita que se indique si la solución está en capacidad de discriminar los eventos que
hacen parte de la normalización y descartar aquellos eventos generados con información
no relevante para la correlación de eventos de seguridad.
9. ETB solicita que se indique si los eventos generados por las diferentes plataformas que no
sean relevantes para la correlación de eventos de seguridad puedan ser descartados de tal
manera que se optimice el recurso de procesamiento de la solución presentada.
10. ETB solicita que se indique si la solución analiza e interpreta los eventos indizados de tal
forma que puedan ser marcados, identificados y/o categorizados de acuerdo a situaciones
o comportamientos previamente definidos por la misma solución.
11. ETB solicita que se indique si la solución cuenta con mecanismos para correlacionar los
eventos provenientes de diferentes fuentes y puede generar alertas de anomalía o
comportamiento basado en los patrones analizados.
12. ETB solicita que se indique si la solución permite crear reglas personalizadas de
correlación basada en los siguientes parámetros:
 Tipo de eventos.
 Cantidad de eventos.
 Cantidad de eventos en una ventana de tiempo establecida.
 Criticidad de los eventos.
 Host origen de los eventos.
 Nombre de usuario.
 Dirección IP origen y/o destino.
13. ETB solicita que se indique si la plataforma cuenta con plantillas de reglas de correlación
que faciliten el proceso de creación de reglas personalizadas.
14. ETB solicita que se indique si las reglas de correlación personalizadas puedan ser
definidas por cualquiera de los campos indizados como parte de la normalización de los
eventos.
15. ETB solicita que se indique si la solución está en capacidad de colectar, indizar y
correlacionar eventos generados por:
 Sistema Operativo.
 Servidores Web.
 Servidores de aplicación.
 Aplicaciones.
 Bases de Datos.
 Enrutadores, switches y equipos de red.
 Firewall.
 IPS.
 Logs de antivirus. (Consola y Clientes).
 Plataformas de control de Negación de Servicio.
 Gateway de navegación o proxy.
 Balanceadores de carga.
 Servidores de autenticación.
 Servidores de directorio.
 Aplicaciones que gestionan elementos de red, de seguridad, servicios, gestores de
orden superior o Element Managers.
16. ETB solicita que se indique el listado detallado del hardware y software requerido para
implementar la solución presentada.
17. ETB solicita que se indique la relación y descripción detallada del esquema de
licenciamiento de la solución, incluyendo licenciamiento de hardware, software, aplicativos
y bases de datos requeridos para implementar la solución presentada.
18. ETB solicita que se indique si el interesado se encuentra en capacidad de revisar y definir
las configuraciones específicas requeridas en las plataformas pertenecientes a ETB, que
pudiesen generar los eventos de seguridad, para cumplir con el objetivos descritos en el
alcance de este documento.
19. ETB solicita que se indique si el interesado se encuentra en la capacidad de generar las
plantillas de configuración que debe aplicar ETB para cada uno de los elementos
establecidos como fuentes de información de la solución presentada.
20. ETB solicita que se indique si el interesado está en capacidad de definir y coordinar las
tareas de afinamiento de los elementos de ETB, que pudiesen generar los eventos insumo
de la solución presentada, de tal manera que se optimice el uso de recursos de
almacenamiento, procesamiento y ancho de banda.
21. ETB solicita que se indique si la solución presentada cuenta con la funcionalidad de
retrasar el envío de archivos LOG de baja prioridad por parte del equipo generador de
eventos, de manera configurable desde la solución presentada, bien sea de manera
centralizada o a través de software instalado en el equipo cliente con el fin de optimizar el
uso de la plataforma en horarios de alto volumen de generación de archivos LOG.
22. ETB solicita que se indique si los mecanismos de hardware y/o software a través de los
cuales se hará la extracción de los eventos sobre los elementos que no tengan
herramientas nativas de envío de LOG a un servidor externo.
23. ETB solicita que se indique, en caso de requerirse algún tipo de agente o software para el
envío de eventos a un servidor externo, el impacto sobre el funcionamiento o desempeño
de la aplicación o función principal sobre el equipo en el cual se instale dicho software.
24. ETB solicita que se indique si la solución cuenta con la capacidad de identificar
geográficamente el origen o destino de una conexión basado en direcciones IP y/o
nombres de dominio. En caso afirmativo, indicar la fuente cartográfica requerida para tal
fin.
25. ETB solicita que se indique si la solución permite mostrar datos a través de gráficas de
eventos geográficamente referenciados. En caso afirmativo, indicar la fuente cartográfica
requerida para tal fin.
26. ETB solicita que se indique si la solución pueda realizar consultas de direcciones IP o
dominios a bases de datos de reputación, como parte del análisis de criticidad de las
alarmas generadas.
27. ETB solicita que se indique si la plataforma está en capacidad de analizar los eventos
correlacionados para identificar y alertar acerca de incidentes de seguridad relacionados
con abusos como:
 Detección de ataques de fuerza bruta

 Detección de ataques de negación de servicio distribuido
 Detección de elevación de privilegios
 Integración con herramientas de explotación de vulnerabilidades
 Integración con herramientas para detección de indicadores relacionados con
malware y amenazas persistentes (YARA, OpenIoC, IoC Bucket, IoCFinder, etc.)
 Detección de comportamiento anómalo en la relacionado con malware
 Modificaciones de la configuración de red o aparición de dispositivos en la red
basados en protocolos IP o ARP.
 Peticiones o tráfico anómalo basado en protocolos IPv4 e IPv6.
 Cambios de contraseña o perfiles de usuario
 Cambios en políticas de seguridad de dispositivos
28. ETB solicita que se indique si la solución está en capacidad de extraer e indizar
información de correos recibidos, para lograr el registro de los siguientes datos:
 Remitente o Correo origen

 Asunto
 Campos XML establecidos dentro del cuerpo del correo.
29. ETB solicita que se indique si la solución está en capacidad de generar reglas a partir de
los datos indicados en el apartado anterior.
30. ETB solicita que se indique si la solución permite incorporar, asociar e identificar
Indicadores de Compormiso (IoCs) como soporte para la identificación de eventos e
incidentes. Si es posible, por favor indicar las fuentes de IoCs que está en capacidad de
asociar la solución presentada.
31. ETB solicita que se indique si la solución presentada permite actualizaciones periódicas y
constantes para la detección de nuevas amenazas que se identifiquen a nivel mundial.
32. ETB solicita que se indique si el fabricante de la solución cuenta con herramientas y
procesos de investigación en seguridad que permitan identificar amenazas desconocidas.
33. ETB solicita que se indique si la plataforma está en capacidad de identificar acciones
realizadas por los usuarios de los sistemas, basado en un identificador de usuario
(username). Específicamente, se busca saber si la solución realiza la interpretación e
identificación de los siguientes eventos a partir de las diferentes fuentes de información:
 Login
 Logout
 Failed login
 Non existent user
 Acciones o modificaciones relacionadas con un nombre de usuario
34. ETB solicita que se indique si la plataforma cuenta con la capacidad de identificar cambios
en archivos o elementos críticos de sistemas operativos y aplicaciones, para ejercer
controles de integridad de archivos y configuración.
ESCALABILIDAD Y DIMENSIONAMIENTO
35. ETB solicita que se indique si las condiciones necesarias para que la solución soporte
alrededor los dispositivos estimados en la sección SITUACIÓN ACTUAL:
 Servidores y Sistemas Operativos

 Motores de Bases de Datos
 Servidores WEB
 Sistemas de Gestión y Seguridad
 Sistemas de Red
 Sistemas de Almacenamiento y Respaldo
36. ETB solicita que se indique si la estimación de Eventos por Segundo (EPS) que genera el
dimensionamiento de la solución propuesta, a partir de la información indicada en el
presente documento, para la implementación de una solución que permita cubrir las
necesidades de:
a) Nodo ISP
b) Vicepresidencia Informática
37. ETB solicita que se indique la estimación de almacenamiento que se requiere para realizar
la indización de los elementos indicados, por un periodo de retención de 6 meses en línea.
38. ETB solicita que se indique el límite de dispositivos que se pueden monitorear a través de
la solución presentada.
39. ETB solicita que se indiquen los costos asociados a la implementación de la solución
cubriendo las necesidades de protección, discriminados de la siguiente manera:
a) Realizando una implementación exclusiva para cubrir la necesidad de

Nodo ISP. (en el numeral 12.1)
b) Realizando una implementación exclusiva para cubrir la necesidad de
Vicepresidencia Informática. (en el numeral 12.2)
c) Realizando una implementación que permita cubrir de forma conjunta las
necesidades de Nodo ISP y la Vicepresidencia Informática. (en el numeral 12.3)
40. ETB solicita que se indiquen los costos adicionales que se deben tener en cuenta para
realizar la implementación de dispositivos adicionales a los mencionados anteriormente.
Por favor indicar el número de dispositivos que se pueden agregar a la solución
presentada, sin modificaciones de Arquitectura.
41. ETB solicita que se indique si la solución es ESCALABLE, es decir que pueda tener
crecimiento escalonado ampliando la misma. Por favor indicar si el escalamiento se puede
realizar a nivel de Hardware y/o Software.
42. ETB solicita que se indique si la capacidad de la plataforma es determinada por los
eventos indizados o por los eventos recibidos.
43. ETB solicita que se indiquen las variables de desempeño de la solución (tales como CPU,
memoria, eventos por segundo, gigabytes indizados, almacenamiento usado, cantidad de
usuarios, usuarios concurrentes, entre otras) que deben ser monitoreadas por parte de
ETB para determinar la necesidad de crecimiento de la plataforma.
44. ETB solicita que se indiquen, para cada una de las variables especificadas del punto
anterior, las capacidades máximas de la solución ofertada.
45. ETB solicita que se indique si el interesado está en capacidad de manejar paquetes de
capacidad manejo de eventos o indización, que puedan ser adquiridos de acuerdo a las
necesidades de crecimiento. Indicar los paquetes disponibles para el crecimiento de la
solución presentada.
46. ETB solicita que se indiquen las características adicionales con las cuales cuenta la
solución que no son propias de un correlacionador de eventos, pero que apoyan este
proceso. Diferenciar los que requieren una inversión adicional, y los que son propios de la
solución base.
47. ETB solicita que se indique si la plataforma permite el desarrollo e inclusión de módulos a
la medida, basados en lenguajes de programación scripting (python, ruby, perl, bash,
powershell, etc.). Por favor indicar los lenguajes soportados.
CONSOLA GRÁFICA
48. ETB solicita que se indique si la solución permite la visualización de información a través
de diferentes dashboard o tableros de control, que faciliten el entendimiento de los datos
correlacionados.
49. ETB solicita que se indique la capacidad de usuarios concurrentes con acceso a la consola
gráfica de gestión y administración de la solución presentada.
50. ETB solicita que se indique si la consola gráfica de la solución permite el manejo de
perfiles de administración y operación, pudiendo diferenciar y controlar las acciones que
realiza cada usuario de acuerdo a su perfil.
51. ETB solicita que se indique si la solución permite configurar esquemas diferenciados de
correlación y visualización por cliente, es decir si la plataforma soporta esquemas
MULTITENANT o MULTIDOMINIO. Por favor indicar cuántos contextos, tentant o dominios
se pueden configurar en la solución presentada y como se presta esta funcionalidad.
52. ETB solicita que se indique si la solución presentada permite, dentro de un mismo
TENANT o consola de cliente, restringir el acceso por usuario a los diferentes dashboard o
vistas generadas para dicho cliente.
53. ETB solicita que se indique si los dashboard definidos a través de la plataforma pueden ser
creados y modificados por ETB cuando sea requerido.
54. ETB solicita que se indique si los dashboard definidos a través de la herramienta pueden
incluir diferentes tipos de gráficas tales como:
 Histogramas
 Barras
 Tortas
 Mapas de calor
 Mapas de referencia geográfica.
 Tablas
55. ETB solicita que se indique si las gráficas generadas en los dashboard pueden ser
modificadas dinámicamente de acuerdo a:
 Franjas de tiempo.
 Criterios de búsqueda de los filtros.
56. ETB solicita que se indique si la solución cuenta con templates o plantillas
predeterminadas de configuración de dashboard y gráficas.
57. ETB solicita que se indiquen los métodos de autenticación que se pueden emplear para
permitir realizar el acceso a la consola.
58. ETB solicita que se indique si la solución presentada permite que se puedan crear
diferentes perfiles de acceso a la plataforma, que permitan acceder solo a la información
específica del rol del usuario.
59. ETB solicita que se indique si la solución permite la autenticación de los usuarios que
acceden a la consola de administración y gestión, mediante integración con un sistema
AAA o LDAP externo.
60. ETB solicita que se indique si la consola de administración de la solución soporta acceso
WEB vía HTTPS.
BÚSQUEDAS Y REPORTES
61. ETB solicita que se indique si la solución permite la definición de filtros de búsqueda de
información de acuerdo a los diferentes campos de los eventos normalizados o indizados.
62. ETB solicita que se indique si la solución permite que las gráficas de los dashboard puedan
ser modificadas de forma dinámica de acuerdo a los criterios de búsqueda.
63. ETB solicita que se indique si la solución presentada permite visualizar los eventos
almacenados en la plataforma de acuerdo a los criterios de búsqueda.
64. ETB solicita que se indiquen los tiempos medios de respuesta de la solución ante
búsquedas, en los siguientes rangos históricos de tiempo:
 1 día
 1 semana
 1 mes
 3 meses
 6 meses
 1 año
65. ETB solicita que se indique si la solución permite exportar los LOG filtrados, con criterios
de búsqueda específicos, en formato CSV o XML.
66. ETB solicita que se indique si la solución garantiza la integridad de los reportes generados,
mediante firmas digitales o procedimientos similares.
67. ETB solicita que se indique si la solución permite realizar búsquedas sobre los datos que
son indizados en tiempo real. Por favor aclarar si los datos están disponibles tan pronto
como estos son recibidos por la plataforma y pasen por el proceso de normalización y
depuración, o si es necesario para la solución contar con algún tiempo de procesamiento
de información.
68. ETB solicita que se indique si la plataforma genera alarmas cuando identifique situaciones
relacionadas con incidentes de seguridad.
69. ETB solicita que se indique si la plataforma permite manejar prioridades sobre las alarmas
relacionadas a anomalías o incidentes de seguridad una vez sean detectados de acuerdo a
su criticidad.
70. ETB solicita que se indique si la plataforma permite la definición de umbrales de alarmas o
afinar los parámetros dentro de los cuales se alerta una situación.
71. ETB solicita que se indique si la plataforma permite el reconocimiento (acknowledge) de

alarmas como método de aceptación de una situación o riesgo.
72. ETB solicita que se indique si las alarmas pueden ser identificadas como falsos positivos
por parte de los usuarios de la plataforma, para evitar que se vuelvan a notificar este tipo
de situaciones.
73. ETB solicita que se indique si la plataforma maneja un sistema de administración de

tiquetes o casos propio para la administración de cada una de las alarmas.
74. ETB solicita que se indique si las alarmas generadas por la plataforma puedan ser
notificadas a través de los siguientes medios.
 SNMP Trap
 Correo electrónico
 Visualización en consola de usuario.
75. ETB solicita que se indique si la plataforma se integra con un sistema de gestión de
servicio tal como Service Manager o Remedy. Por favor indicar las plataformas soportadas.
76. ETB solicita que se indique si la plataforma permite generar reportes personalizados a
partir de los datos indizados.
77. ETB solicita que se indique si la solución provee plantillas de generación de reportes.
78. ETB solicita que se indique si la solución permite que los reportes puedan ser generados
periódica y automáticamente.
79. ETB solicita que se indique si los reportes se pueden generar en alguno de los siguientes
formatos.
 PDF
 HTML
 XML
 CSV
80. ETB solicita que se indique si los reportes pueden ser enviados vía correo electrónico.
81. ETB solicita que se indique si se generan reportes por:

 Cantidad de fuentes de información,
 Cantidad de incidentes de seguridad presentados en el periodo y clasificados por

nivel de criticidad.
 Reincidencia de eventos.
 Recomendaciones para prevenir que se vuelvan a presentar.
 Informes para las normativas PCI DSS, HIPAA, NERC-CIP, FISMA, GLBA o SOX.
 Informes personalizados (cabecera, campos, pie, logo entre otros)
INTEGRACIONES
82. ETB solicita que se indique si la solución se integra con plataformas de sincronismo NTP.
83. ETB solicita que se indique si la plataforma cuenta con los mecanismos de respaldo y
recuperación que permitan su restauración ante la eventualidad de una falla.
84. ETB solicita que se indique si la solución está en capacidad de soportar agentes EMC
Legato Networker Versión 8.1 para respaldar información del servicio y de la configuración
del software.
85. ETB solicita que se indique si la solución se integra con sistemas Directorio Activo de
Microsoft para efectos de autenticación de los usuarios que accedan a la consola de
administración.
86. ETB solicita que se indique si la solución envía alarmas vía correo electrónico, mediante
integración a servidores SMTP.
87. ETB solicita que se indique si la plataforma ofrecida se integra con servidores SYSLOG de
recolección de LOG.
88. ETB solicita que se indique si la solución cuenta con la capacidad de leer y guardar
eventos en una unidad remota de almacenamiento SAN.
89. ETB solicita que se indique si la solución se integra con sistemas de análisis de
vulnerabilidades del fabricante McAfee.
90. ETB solicita que se indique si la solución está en capacidad de realizar la recolección de
los log desde las fuentes de la siguiente forma:
 A través de agentes instalados en la fuente de información, de tal forma que se
garantice el cifrado de los log desde la misma fuente y durante todo el proceso.
 Recolección de LOG sin agente (se envió de información a través de SNMP,
SYSLOG, etc)
ADMINISTRACIÓN, GESTIÓN Y SEGURIDAD
91. ETB solicita que se indique si la solución permite crear grupos con privilegios asignados
para los usuarios de administración y gestión del sistema. Por favor indicar cómo se
cumple este requerimiento.
92. ETB solicita que se indique si la solución permite crear diferentes perfiles de usuario,
administrando los privilegios y el acceso a la plataforma de administración y gestión. Por
favor indicar cómo se cumple este requerimiento.
93. ETB solicita que se indique si la solución permite la integración de la red de gestión con
una arquitectura de protección perimetral que realiza segmentación de redes, ver la gráfica
siguiente como referencia.
Figura Arquitectura de protección perimetral
94. ETB solicita que se indique si el sistema permite la habilitación, con políticas de menor
privilegio, los servicios estrictamente indispensables, por ejemplo: el servicio de SNMP
(para gestionarlo) o SSH para acceso remoto.
95. ETB solicita que se indique si el sistema permite inhabilitar los servicios que desarrollan el
intercambio de información en texto plano, como Telnet, Rlogin, TFTP entre otros.
96. ETB solicita que se indique si la solución permite manejar características de fortaleza en
las contraseñas de los usuarios que administran y operan, mediante la configuración de las
siguientes características:
 Longitud mínima de la contraseña.
 Tiempo mínimo de vigencia de la contraseña.
 Bloqueo del usuario después de varios intentos fallidos.
 Caracteres aceptados para establecer la contraseña.
97. ETB solicita que se indique si la solución permite el desarrollo de un proceso de

endurecimiento (hardening) a nivel de seguridad de Información, ya sea por
procedimientos desarrollados sobre los sistemas appliance desde fábrica o por la
aplicación de guías de endurecimiento.
98. ETB solicita que se indique si la solución está en capacidad de enviar traps de eventos y
alarmas vía SNMP v2 y v3, y entregar datos de polling a sistemas de gestión (basados en
SNMP).
99. ETB solicita que se indique si la solución permite el monitoreo del estado de todos sus
componentes, a través de una consola de gestión unificada y dedicada para tal fin.
100. ETB solicita que se indique si la solución cuenta con una interfaz o un tablero para el
monitoreo, en tiempo real, de los servicios y del estado de los elementos de la plataforma.
101. ETB solicita que se indique si la solución ofertada permite definir umbrales personalizados
para la generación de alarmas sobre variables de desempeño de la infraestructura física, y
del servicio.
102. ETB solicita que se indique si la plataforma está en capacidad de enviar alarmas al sistema
de gestión cuando se alcance el umbral de las variables de la plataforma.
103. ETB solicita que se indique si la plataforma permite visualizar y almacenar registros de
LOGs y alarmas propias del sistema.
104. ETB solicita que se indique, en caso de requerirse, la forma en la cual se efectúa el
monitoreo de nuevas fuentes de datos, cómo es el proceso, tiempos, y sus implicaciones a
nivel de licenciamiento. Por favor indicar el tiempo necesario para el desarrollo de nuevas
interfaces en caso de ser requerido por ETB y como se desarrollaría la comunicación con
el proveedor de la solución.
105. ETB solicita que se indique si la solución recolecta eventos a las Bases de Datos de forma
no intrusiva ni que dependa de la activación de sus logs.
106. ETB solicita que se indique si además de la configuración por reglas, la solución cuenta
con modelos de análisis de comportamiento que permitan identificar tendencias o
amenazas.
107. ETB solicita que se indique el proceso de actualización periódico de la solución.
108. ETB solicita que se indique si además de las propias reglas incorporadas, permita el
establecimiento personalizado y sencillo de nuevas reglas.
109. ETB solicita que se indique la Infraestructura, de cualquier tipo, que el contratista requiera
ubicar en las instalaciones de ETB.
110. ETB solicita que se indiquen los cambios, de cualquier tipo, que se deben realizar sobre la
Infraestructura de ETB para el debido funcionamiento de la solución.
111. ETB solicita que se indique si todos los canales de comunicación utilizados por la solución
son seguros (https, ssh, sftp, ftps, SCP, etc).
112. ETB solicita que se indique el diagrama general, mostrando la ubicación de cada uno de
los componentes que intervienen la forma de interconexión y su interacción con las
infraestructura de ETB.
113. ETB solicita que se indique la lista de procesos y procedimientos a implementar y

documentar en ETB.
114. ETB solicita que se indique la lista de Normas, Estándares y Legislación de seguridad que
son acogidas por parte de la solución presentada.
IMPLEMENTACIÓN Y MANEJO DE PROYECTOS
115. Favor informar si el INTERESADO cuenta con un Sistema de Gestión de Seguridad de la

Información certificado de acuerdo con el estándar de calidad de la industria ISO27001.
116. Favor informar si el INTERESADO tiene implementado un Sistema de Gestión de Calidad

certificado para los servicios que se presentan, de acuerdo con el estándar de calidad de la
industria ISO9001.
117. A continuación se presenta un cuadro con las etapas con las cuales ETB busca garantizar
la finalización exitosa de este proyecto, por favor indicar la duración estimada de cada una.
Duración Fase predecesora

Id
Fase estimada (días
Fase
calendario)
0 Desarrollo plan de gerencia de proyecto
1 Verificación de información Al finalizar id.0
2 Ingeniería detallada de la solución Al finalizar id.1
3 Capacitación Al finalizar id.2
4 Solicitud y entrega de los elementos componentes Al inicio id.0
de la solución
5 Instalación, configuración de la solución Al finalizar id.4
6 Pruebas de la solución Al finalizar id.5
7 Migración y puesta en producción Al finalizar id.6
8 Estabilización y afinamiento de la solución. Al finalizar id.7
Subtotal
9 Soporte y Garantía 365 Al finalizar id.8
ETB aclara de manera informativa el alcance esperado de cada etapa:
FASE 0: GERENCIA DE PROYECTO
118. El alcance considerado por ETB para esta fase es el siguiente:

a. Realizar en conjunto con ETB el Plan de Proyecto y la Declaración de Alcance.
b. Realizar la reunión de inicio de contrato.
FASE 1: VERIFICACIÓN DE INFORMACIÓN

a) Verificar el estado de la situación actual, identificar las condiciones de conectividad
y operatividad para lograr la implementación de la solución propuesta.
b) Entregar los siguientes documentos :
 Plan de trabajo del proyecto con los ajustes sobre las observaciones entregadas
por ETB.
 Matriz de Riesgos de gestión del proyecto con los ajustes sobre las observaciones
entregadas por ETB.
c) Hacer una presentación de la planeación del proyecto a las personas que ETB
designe al proyecto.
FASE 2: INGENIERÍA DE DETALLE DE LA SOLUCIÓN

a) Entregar un documento con el Plan de Pruebas de la solución a instalar.
b) Entregar un documento con el Plan Técnico de Implementación, donde se
encuentre detallado el paso a paso a seguir para cumplir de forma satisfactoria con las
labores de instalación, configuración y puesta en producción de clientes.
c) Entregar los documentos de Diseño Detallado de la solución, en la etapa de
Ingeniería de detalle de la solución.
FASE 3: CAPACITACIÓN
121. El alcance considerado por ETB es realizar una capacitación en la solución presentada,
que le permita a ETB adquirir el conocimiento necesario para planear, configurar,
programar, administrar, operar, soportar y generar desarrollos en la solución.
122. El contenido mínimo a incluir en la Capacitación, es el siguiente:

a) Funcionamiento: Adquirir el conocimiento de todas las funcionalidades que la
solución presentada provee y que son implementadas en ETB.
b) Operación y Administración: Apropiarse del conocimiento detallado de la operación

de la solución a implementar.
c) Mantenimiento de la solución: Adquirir el conocimiento para hacer la gestión
apropiada del sistema. Esta gestión incluye el manejo de parches, afinamiento del sistema,
programación de trabajos, cargue de información.
d) Extracción de reportes de desempeño: Adquirir el conocimiento necesario para
generar y extraer reportes de desempeño, los cuales le permitan realizar labores la
planeación de la capacidad.
e) Diseño de reportes de usuarios: Adquirir el conocimiento para diseñar reportes de
administración.
f) Parametrización: Adquirir la habilidad para configurar o parametrizar por sí mismo
la solución a implementar de acuerdo con sus propias necesidades.
123. ETB solicita al INTERESADO incluir la cotización de la capacitación, considerando que el

contratista debe proveer:
a) Las aulas donde dictará los cursos.
b) Las ayudas audiovisuales que requiera.
c) Los materiales de estudio que deba entregar a los participantes.
d) Todos los elementos que se necesiten para el óptimo desarrollo del curso. Dictada
en días hábiles en medias jornadas, durante horario laboral.
e) Capacitación para mínimo 10 personas en la cuidad de Bogotá.
FASE 4: COMPONENTES DE LA SOLUCIÓN
124. El alcance considerado por ETB es realizar la entrega de los elementos componentes de la
solución, en el sitio acordado para la instalación de los mismos.
FASE 5: INSTALACIÓN Y CONFIGURACIÓN DE LA SOLUCIÓN

a) Realizar la instalación física del cableado de datos y energía de los equipos que se
instalarán para implementar la solución presentada.
b) Disponer y emplear el cableado necesario para realizar la instalación física de
datos de la solución.
c) Realizar las tareas de adecuación física del cableado de los equipos y ubicación en
los RACKS dispuestos.
d) Realizar el marquillado de los equipos y el cableado suministrados.
e) Realizar las tareas de adecuación lógica que se requiera para efectuar de forma
satisfactoria la instalación, configuración y el aseguramiento (hardening) de los equipos
pertenecientes a la solución.
f) Entregar el procedimiento detallado para realizar la migración de cada uno de los
componentes de la solución, que contenga lo siguiente:
 Las fases de instalación de la solución.
 La metodología para realizar la instalación de la solución.
 El cronograma detallado de instalación y aprobado por ETB para la ejecución.
 Las validaciones de éxito por fase: Indicando las pruebas y mediciones a realizar
para garantizar el éxito de cada fase y la autorización para continuar con la siguiente
fase.
 Recursos: Los recursos necesarios tanto técnicos como de personal que se
requiera coordinar para evitar un impacto negativo en la prestación del servicio.
FASE 6: PRUEBAS DE LA SOLUCIÓN

a) Realizar como mínimo el siguiente conjunto de pruebas:
 Pruebas Funcionales: Revisión de las funciones especificadas para la solución a
implementar.
 Pruebas de Integración: Su objetivo es asegurar la correcta integración externa de
la solución con el resto de infraestructura tecnológica de ETB, en cuanto a hardware,
software, telecomunicaciones, sistemas de información de ETB y en general con todos
los componentes que interactúen con la solución ofrecida.
 Pruebas de Procedimientos: Su objetivo es asegurar la concordancia entre los
procedimientos diseñados para la operación de la solución y las características
funcionales de la misma. Se deben verificar entre otros los siguientes procedimientos:
Verificación de parámetros, cambios de configuración, Verificación de servicios
disponibles, entre otros previo el paso a producción de la solución.
 Pruebas de Carga y Estrés: Garantizar en forma previa a la puesta en producción,
el óptimo rendimiento del sistema bajo una carga normal de transacciones y
conexiones concurrentes, así como su comportamiento bajo una carga extrema, al
tope de la capacidad de la solución presentada, y a su vez verificando la efectividad
de la plataforma para detectar y reportar comportamientos anómalos.
b) Entregar manuales técnicos y documentación solicitados.
FASE 7: MIGRACIÓN Y PUESTA EN PRODUCCIÓN DE LA SOLUCIÓN

a) Planificar y ejecutar el proceso de migración de tráfico de la plataforma actual hacia
la nueva plataforma. Este proceso deberá ser validado con el equipo de Ingeniería de ETB.
b) Entregar el procedimiento que se llevará a cabo para ejecutar la puesta en
producción de la solución con un mínimo de antelación de 10 días hábiles de la realización
de las ventanas de mantenimiento necesarias.
c) Desarrollar los procedimientos necesarios para migrar las plantillas actuales de
servicios de análisis de vulnerabilidades de ETB al sistema presentado.
d) Dado que las ventanas se programarán en horario no hábil y en horario de menor
afectación a clientes, el contratista debe contar con todo el recurso humano y técnico
necesario para asegurar el éxito del cambio propuesto.
FASE 8: ESTABILIZACIÓN DE LA SOLUCIÓN
128. El alcance considerado por ETB para esta fase es el de contar con un período de
estabilización para el trabajo realizado dentro del marco de los servicios profesionales de
implementación de la solución, con las siguientes responsabilidades:
a) Detección, diagnóstico y corrección de problemas y errores del sistema, así como

de deficiencias en el rendimiento del mismo, siguiendo los tiempos de respuesta
propuestos en el presente capítulo, originadas por cualquiera de las siguientes causas:
 Incompleta o inadecuada configuración o parametrización del sistema.
 Errores o deficiencias que se presenten en los programas de cualquier tipo que se
hubieran desarrollado durante el proceso de Implementación de la solución.
 Deficiencias en la documentación entregada.
 Diseño inadecuado de los nuevos procesos requeridos por la solución.
b) Afinación detallada sobre las políticas configuradas en la solución.
c) Soporte y acompañamiento al personal de ETB cuando se presenten
inconvenientes, dudas o problemas durante la realización de cambios a la parametrización
del sistema.
d) Actualización a la documentación y/o procedimientos originados en cualquiera de
los puntos anteriores.
e) Soporte presencial en las instalaciones de ETB mediante consultores
especializados cuando la gravedad del problema así lo amerite o cuando no haya podido
ser resuelto por otros medios.
f) Solución de problemas causados en cualquier fase de Implementación, que afecte
la funcionalidad de la fase de puesta en producción anteriormente realizada.
SOPORTE TÉCNICO
129. ETB DESEA conocer si el INTERESADO puede prestar los servicios de soporte técnico
local sobre las soluciones presentadas.
130. ETB DESEA conocer si el INTERESADO cuenta con expertos (de forma remota y en sitio)
para solucionar los problemas e inquietudes de carácter técnico sobre las plataformas
objeto del alcance.
131. ETB DESEA conocer si dentro del cubrimiento del servicio se incluye la actualización
permanente, en medios electrónico y físico, de la documentación técnica y funcional del
sistema, garantizando en todo momento contar con información actualizada.
132. ETB solicita al INTERESADO cotizar el servicio de soporte durante un (1) año a partir de la
aceptación definitiva de la solución, finalizada la fase de estabilización.
133. ETB solicita se informe si los niveles de atención en tiempos de respuesta a fallas se
ajustan a la siguiente clasificación:
a) Crítico: Identificado como falla operativa o técnica de algún componente de la

solución que indica que se ha producido una condición que afecta total o severamente el
servicio y se requiere una acción correctiva inmediata (la plataforma se encuentra en
estado de desconexión y no está utilizable).
b) Intermedio: Indica la existencia de una condición que afecta el servicio en forma
parcial y que debe tomarse una medida correctiva para prevenir una degradación más
grave; indica la detección de una degradación posible o inminente que puede afectar el
servicio antes que se hayan sentido efectos que generen cambios en su estándar normal.
c) Leve: Falla operativa o técnica de algún equipo o servicio, sin impedimento
apreciable de funcionamiento o de la prestación del servicio y NO percibida por el cliente
externo.
134. ETB solicita indicar los tiempos de respuesta que puede cumplir para la atención de casos
durante la fase de Soporte, de acuerdo a la siguiente clasificación:
a) Tiempo de respuesta y diagnóstico inicial: Es el tiempo que tarda el contratista en

ponerse en contacto con ETB y acceder a la plataforma (remotamente o en sitio) para
levantar la información del caso y realizar un diagnóstico inicial de la falla presentada.
b) Tiempo de solución temporal o mitigación: Es el tiempo que el contratista tarda en
corregir la falla presentada de manera temporal y restaurar el servicio con la calidad del
servicio requerida.
c) Tiempo de solución definitiva: Es el tiempo máximo que el contratista tarda en
corregir la falla presentada y entregar a ETB el sistema en las condiciones óptimas de
servicio.
NIVEL TIEMPO DE RESPUESTA TIEMPO DE SOLUCIÓN TIEMPO DE

Y DIAGNOSTICO INICIAL TEMPORAL O MITIGACION SOLUCIÓN
DEFINITIVA
CRÍTICO
INTERMEDIO
LEVE
135. ETB solicita que el INTERESADO indique si durante la duración de la fase de soporte, se
puede contar con un servicio de atención a fallas que cumpla con las siguientes
características:
a) Siete (7) días a la semana, veinticuatro (24) horas al día.

b) Cinco (5) días a la semana, Nueve (9) horas al día.
Por favor cotizar cada modalidad de servicio de manera independiente.
136. ETB solicita que el INTERESADO indique si se puede adquirir el servicio del fabricante,
que le permita realizar el escalamiento de los problemas o casos a este, sin tener que
realizar un escalamiento inicial al contratista, con el fin de minimizar los tiempos de
respuesta. Por favor cotizar este servicio de manera independiente.
GARANTÍA TÉCNICA
137. ETB solicita se indique las condiciones cubiertas e incluidas en la garantía de calidad y
correcto funcionamiento de los bienes que se adquieran (hardware y software) por un
periodo de 1 año a partir del recibo definitivo de la solución.
EXPERIENCIA
138. ETB DESEA que el INTERESADO indique la experiencia que ha tenido en la instalación y
soporte de soluciones de Recolección, Normalización, Análisis y Correlación del fabricante
que presenta. Por favor presentar las certificaciones respectivas.
139. ETB DESEA que el INTERESADO indique si ha tenido experiencia en la instalación y

soporte de soluciones de Recolección, Normalización, Análisis y Correlación del fabricante
que presenta, específicamente para compañías ISP en Colombia o Latinoamérica. Por
favor presentar las certificaciones respectivas.
DISTRIBUCIÓN AUTORIZADA DE LOS PRODUCTOS
140. ETB DESEA que el INTERESADO presente las certificaciones del fabricante que lo
autorizan y acreditan para realizar las actividades que propone. Estas deben incluir:
a) Distribución, comercialización o venta.
b) Proveer servicios de implementación.
c) Proveer servicios de capacitación.
d) Proveer servicio de soporte técnico.
7. CUADRO INFORMATIVO DE PRECIOS
ETB espera que el interesado presente los precios asociados a la adquisición, implementación y
puesta en producción de la solución descrita en el presente documento bajo las condiciones
expuestas, para los escenarios indicados en el numeral 39:
141. Implementación exclusiva para cubrir la necesidad de Nodo ISP:
VALOR (COL$)
ÍTEM DESCRIPCIÓN
(Sin IVA)
1 BIENES PRODUCCIÓN EXTRANJERA 0,00
2 BIENES PRODUCCIÓN NACIONAL 0,00
3 LICENCIAMIENTO USO DE SOFTWARE 0,00
SERVICIOS DE INSTALACIÓN, CONFIGURACIÓN, PRUEBAS,

4 PUESTA EN FUNCIONAMIENTO Y ESTABILIZACIÓN DE LA 0,00
SOLUCIÓN.
5 SERVICIOS DE CAPACITACIÓN 0,00
6 SERVICIOS DE SOPORTE (1 AÑO) 0,00
7 SERVICIOS DE SOPORTE (2 AÑOS) 0,00
TOTAL 0,00
IVA 0,00
VALOR TOTAL (BIENES Y SERVICIOS) 0,00
 Si se requiere incluir un nuevo ítem, favor incluirlo.
142. Implementación exclusiva para cubrir la necesidad de Vicepresidencia Informática.
VALOR (COL$)
ÍTEM DESCRIPCIÓN
(Sin IVA)

SOLUCIÓN.
TOTAL 0,00
IVA 0,00
143. Implementación que permita cubrir de forma conjunta las necesidades de Nodo ISP y
Vicepresidencia Informática.
VALOR (COL$)
ÍTEM DESCRIPCIÓN
(Sin IVA)

SOLUCIÓN.
TOTAL 0,00
IVA 0,00

Proceso Ethical Hacking

Cargado por

Copyright:

Formatos disponibles

Proceso Ethical Hacking

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proceso Ethical Hacking

Cargado por

Copyright:

Formatos disponibles

ETB - RFI/RFQ – Solución de Recolección, Normalización, Análisis y Correlación de Eventos de Seguridad

SOLUCIÓN DE RECOLECCIÓN, NORMALIZACIÓN, ANÁLISIS Y

RFI/RFQ SOLUCIÓN DE RECOLECCIÓN, NORMALIZACIÓN, ANÁLISIS Y

 Publicación RFI Fecha 29/01/2016

ACLARACIONES A LAS CONDICIONES PLANTEADAS

LUGAR, FECHA Y FORMA DE PRESENTACIÓN DE LA PROPUESTA

La EMPRESA DE TELECOMUNICACIONES DE BOGOTÁ S.A. E.S.P. en adelante ETB, está

Gerencia de Proyecto, Verificación de Información, Ingeniería Detallada, Capacitación, Instalación,

1. SERVIDOR SYSLOG: Servidor de recolección y almacenamiento de archivos LOG y

- Recolección de eventos a través de SYSLOG en protocolos TCP y UDP en un

2. SERVIDOR SIEM: Servidor de normalización, indización y reporte de eventos de

- Normalización de eventos de seguridad a través de LOGSTASH.

El diagrama funcional de las acciones realizadas por estos servidores es el siguiente:

Figura – Topología sistemas actuales SIEM

- Recolectar y almacenar eventos de seguridad de múltiples fuentes de diferentes

- Servidores de Hosting Compartido Windows con servicios WEB.

- Eventos de alertas de tráfico permitido y bloqueado por las firmas configuradas en

4. ELEMENTOS A MONITOREAR EN EL NODO ISP

A continuación se indica un estimado de elementos (número de servidores, versiones de

Sistema Operativo FISICOS VIRTUALES Total general

Novell SUSE Linux Enterprise 0 6 6

A continuación se indica un estimado de motores de bases de datos (motores, cantidad) a

A continuación se indica un estimado de servidores WEB (servidor, cantidad) a monitorear:

WEB SERVICE CANTIDAD

A continuación se indica un estimado de los sistemas (controles) de Seguridad y Gestión a

Aplicación Fabricante Servidores

A continuación se indica un estimado de los equipos de Red a monitorear:

A continuación se indica un estimado de los equipos de almacenamiento y respaldo a monitorear:

5. ELEMENTOS A MONITOREAR EN LA VICEPRESIDENCIA DE INFORMÁTICA

TIPO DE FUENTE CANTIDAD

La cantidad de eventos por segundo calculado para VI es de aproximadamente 4500.

4. ETB solicita se indique si la solución cuenta con la capacidad de interpretar y correlacionar

5. ETB solicita que se indique si la solución permite incorporar, como información a

 Información de escaneo de puertos.

7. ETB solicita que se indique si la solución realiza la normalización, el almacenamiento e

 Detección de ataques de fuerza bruta

 Remitente o Correo origen

 Servidores y Sistemas Operativos

a) Realizando una implementación exclusiva para cubrir la necesidad de

71. ETB solicita que se indique si la plataforma permite el reconocimiento (acknowledge) de

73. ETB solicita que se indique si la plataforma maneja un sistema de administración de

81. ETB solicita que se indique si se generan reportes por:

 Cantidad de incidentes de seguridad presentados en el periodo y clasificados por

ADMINISTRACIÓN, GESTIÓN Y SEGURIDAD

Figura Arquitectura de protección perimetral

97. ETB solicita que se indique si la solución permite el desarrollo de un proceso de

107. ETB solicita que se indique el proceso de actualización periódico de la solución.

113. ETB solicita que se indique la lista de procesos y procedimientos a implementar y

IMPLEMENTACIÓN Y MANEJO DE PROYECTOS

115. Favor informar si el INTERESADO cuenta con un Sistema de Gestión de Seguridad de la

116. Favor informar si el INTERESADO tiene implementado un Sistema de Gestión de Calidad

Duración Fase predecesora

ETB aclara de manera informativa el alcance esperado de cada etapa:

FASE 0: GERENCIA DE PROYECTO

118. El alcance considerado por ETB para esta fase es el siguiente:

FASE 1: VERIFICACIÓN DE INFORMACIÓN

119. El alcance considerado por ETB para esta fase es el siguiente:

FASE 2: INGENIERÍA DE DETALLE DE LA SOLUCIÓN

120. El alcance considerado por ETB para esta fase es el siguiente: