OSSELK GTS FINAL

Post on 25-Apr-2022

2 views 0 download

Transcript of OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Rodrigo Montoro Pesquisador / Security Operations Center (SOC)

rodrigo@clavis.com.br

OSSE{LK}C

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Motivação

• Compliance

• Cansado de "grepear"

• Flexibilidade

• Pesquisas retroativas

• Correlação com outras fontes de dados

• Diminuir a janela de exposição

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

$ whoami

• Pesquisador / SOC Clavis Security

• Autor de 2 pesquisas com patenteadas

• Palestrante diversos eventos Brasil, EUA e Canadá

• Evangelista Opensource

• Usuário linux desde 1996

• Pai

• Triatleta / Corredor trilhas

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Agenda

• OSSEC

• Elastic Stack

• Integrando OSSEC + ELK

• Demonstração

• Conclusões / Dicas

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Funcionalidades

• Análise de logs

• Integridade de arquivos (FIM)

• Monitoramento registros (Windows)

• Detecção malwares / rootkits

• Checagem baselines / hardening (CIS)

• Multiplataforma

• Reposta ativa

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Modos funcionamento

• Local

• Agente

• Servidor

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Visão Geral

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Fluxo OSSEC

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

analysisd internals

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

ossec-logtest

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Reposta ativa (Padrão)

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Exemplo de Resposta Ativa

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Elastic Stack

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Elasticsearch (1/2)

• Open source

• Distribuido

• Full text search engine

• Baseado no Apache Lucene

• Rápido acesso a informação

• Dados salvos no formato JSON

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Elasticsearch (2/2)

• Suporta sistemas único ou múltiplos nodes

• Fácil de configurar e escalável

• Possui uma RESTful API

• Fácil criação snapshots / backups

• Instalação disponível em diversos formatos

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Kibana

• Explore

• Visualize

• Descubra

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

OSSEC + ELK

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Fluxo integração

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Integração Internals

Fonte Wazuh

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Demostração Kibana

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Exemplo alerta (1/3)

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Facilitando a análise …

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Exemplo alerta (2/3)

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Facilitando a análise …

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Exemplo alerta (3/3)

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Kibana (vídeo)

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Timelion (Vídeo)

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Python API

Vídeo

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Pensando no monitoramento

• O que quero de resposta ?

• O que realmente enviar para o "ELK" ?

• Minha equipe consegue processar os eventos ?

• Contexto

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Conclusões / Dicas

• Mapeie a superfície de ataque

• Muita informação crua não te trará melhor resultado

• Entenda plenamente seus logs

• Sempre aprimore o ciclo, as coisas evoluem

• Faça hardening do sistema

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC)

rodrigo@clavis.com.br

@spookerlabs

Muito Obrigado!