OSSELK GTS FINAL

33
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Rodrigo Montoro Pesquisador / Security Operations Center (SOC) [email protected] OSSE{LK}C

Transcript of OSSELK GTS FINAL

Page 1: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Rodrigo Montoro Pesquisador / Security Operations Center (SOC)

[email protected]

OSSE{LK}C

Page 2: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Motivação

• Compliance

• Cansado de "grepear"

• Flexibilidade

• Pesquisas retroativas

• Correlação com outras fontes de dados

• Diminuir a janela de exposição

Page 3: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

$ whoami

• Pesquisador / SOC Clavis Security

• Autor de 2 pesquisas com patenteadas

• Palestrante diversos eventos Brasil, EUA e Canadá

• Evangelista Opensource

• Usuário linux desde 1996

• Pai

• Triatleta / Corredor trilhas

Page 4: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Agenda

• OSSEC

• Elastic Stack

• Integrando OSSEC + ELK

• Demonstração

• Conclusões / Dicas

Page 5: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Page 6: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Funcionalidades

• Análise de logs

• Integridade de arquivos (FIM)

• Monitoramento registros (Windows)

• Detecção malwares / rootkits

• Checagem baselines / hardening (CIS)

• Multiplataforma

• Reposta ativa

Page 7: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Modos funcionamento

• Local

• Agente

• Servidor

Page 8: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Visão Geral

Page 9: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Fluxo OSSEC

Page 10: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

analysisd internals

Page 11: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

ossec-logtest

Page 12: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Reposta ativa (Padrão)

Page 13: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Exemplo de Resposta Ativa

Page 14: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Elastic Stack

Page 15: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash

Page 16: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Elasticsearch (1/2)

• Open source

• Distribuido

• Full text search engine

• Baseado no Apache Lucene

• Rápido acesso a informação

• Dados salvos no formato JSON

Page 17: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Elasticsearch (2/2)

• Suporta sistemas único ou múltiplos nodes

• Fácil de configurar e escalável

• Possui uma RESTful API

• Fácil criação snapshots / backups

• Instalação disponível em diversos formatos

Page 18: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Kibana

• Explore

• Visualize

• Descubra

Page 19: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

OSSEC + ELK

Page 20: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Fluxo integração

Page 21: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Integração Internals

Fonte Wazuh

Page 22: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Demostração Kibana

Page 23: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Exemplo alerta (1/3)

Page 24: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Facilitando a análise …

Page 25: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Exemplo alerta (2/3)

Page 26: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Facilitando a análise …

Page 27: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Exemplo alerta (3/3)

Page 28: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Kibana (vídeo)

Page 29: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Timelion (Vídeo)

Page 30: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Python API

Vídeo

Page 31: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Pensando no monitoramento

• O que quero de resposta ?

• O que realmente enviar para o "ELK" ?

• Minha equipe consegue processar os eventos ?

• Contexto

Page 32: OSSELK GTS FINAL

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Conclusões / Dicas

• Mapeie a superfície de ataque

• Muita informação crua não te trará melhor resultado

• Entenda plenamente seus logs

• Sempre aprimore o ciclo, as coisas evoluem

• Faça hardening do sistema

Page 33: OSSELK GTS FINAL

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC)

[email protected]

@spookerlabs

Muito Obrigado!


Simples aspiração - Modelos BSS e GTS

Simples aspiração - Modelos BSS e GTS

Manual Do Gts Telecom_ - Raul.batalha@hotmail.com

Manual Do Gts Telecom_ - [email protected]

A FILOSOFIA DOS MONSTROS: H. P. Lovecraft como um …anais-comunicon2016.espm.br/GTs/GTPOS/GT10/GT10-YURI_GARCIA .pdf · Encontro de GTs de Pós ... esperança e salvação que Deus

A FILOSOFIA DOS MONSTROS: H. P. Lovecraft como um …anais-comunicon2016.espm.br/GTs/GTPOS/GT10/GT10-YURI_GARCIA .pdf · Encontro de GTs de Pós ... esperança e salvação que Deus

Laminas Portfolio GTS

Laminas Portfolio GTS

Artigo final Modos e Lugares de Consumo da Arte Moderna e ...anais-comunicon2016.espm.br/GTs/GTPOS/GT3/GT03-MARCIO_CASAROTTI.pdf · “de uma tríade representada pela conjugação

Artigo final Modos e Lugares de Consumo da Arte Moderna e ...anais-comunicon2016.espm.br/GTs/GTPOS/GT3/GT03-MARCIO_CASAROTTI.pdf · “de uma tríade representada pela conjugação

GTS e Mesas Coordenadas - XVII Enecult

GTS e Mesas Coordenadas - XVII Enecult

Testador de Cabos 22-010 GTS Network.pdf

Testador de Cabos 22-010 GTS Network.pdf

Prodemge gts - implantação de fábrica de testes - conip 2012 - apresentação público - v3

Prodemge gts - implantação de fábrica de testes - conip 2012 - apresentação público - v3

163424494 Manual Topcon Serie GTS

163424494 Manual Topcon Serie GTS

Mkt Final Final Final

Mkt Final Final Final

GTS-210 SERIES GTS-211D GTS-212 GTS-213sites.florianopolis.ifsc.edu.br/agrimensura/files/2013/07/manual... · ANG Medição angulares Modo de medição angular. MENU Tecla do Menu

GTS-210 SERIES GTS-211D GTS-212 GTS-213sites.florianopolis.ifsc.edu.br/agrimensura/files/2013/07/manual... · ANG Medição angulares Modo de medição angular. MENU Tecla do Menu

Retratos da Consagração no Campo Publicitário: Uma Análise ...anais-comunicon2015.espm.br/GTs/GT10/22_G10-ANEAS_AOUA_CANESSO.pdf5º Encontro de GTs - Comunicon, realizado nos dias

Retratos da Consagração no Campo Publicitário: Uma Análise ...anais-comunicon2015.espm.br/GTs/GT10/22_G10-ANEAS_AOUA_CANESSO.pdf5º Encontro de GTs - Comunicon, realizado nos dias

III Simpósio ArTecnologia Programação GTs (UERJ) e ... fileIII Simpósio ArTecnologia Programação – GTs (UERJ) e Palestras (MAR) 24/11 – Grupos de Trabalho (UERJ, 10° andar)

III Simpósio ArTecnologia Programação GTs (UERJ) e ... fileIII Simpósio ArTecnologia Programação – GTs (UERJ) e Palestras (MAR) 24/11 – Grupos de Trabalho (UERJ, 10° andar)

Ofício 846 Gabinete Incra - Resposta ao SindPFA sobre GTs para vistorias e avaliações

Ofício 846 Gabinete Incra - Resposta ao SindPFA sobre GTs para vistorias e avaliações

Mini Catálogo GTS

Mini Catálogo GTS

Bicicleta Gts M1 Obstáculo 2.0 Aro 29 Freio A Disco 21v. - R$ 1

Bicicleta Gts M1 Obstáculo 2.0 Aro 29 Freio A Disco 21v. - R$ 1

GTER 46 | GTS 32 São Paulo, SP | 14/12/18

GTER 46 | GTS 32 São Paulo, SP | 14/12/18

230703844manual de Instalacao Gts Network Roteadores e Cpes

230703844manual de Instalacao Gts Network Roteadores e Cpes

-  · carb. 2e e 3e vw - santana, quantum, gol gts, parati ford - versailles, royalle, pampa 1.8 e 2.0 gasolina de 11/92 em diante vw - pointer, logus, santana, gol gts, ... gm -

-  · carb. 2e e 3e vw - santana, quantum, gol gts, parati ford - versailles, royalle, pampa 1.8 e 2.0 gasolina de 11/92 em diante vw - pointer, logus, santana, gol gts, ... gm -

As Tradições Germânicas “Zuckurtüten” e ...anais-comunicon2015.espm.br/GTs/GTGRAD/Joao_Paulo_Silva.pdf · As Tradições Germânicas “Zuckurtüten” e “Adventskalender”:

As Tradições Germânicas “Zuckurtüten” e ...anais-comunicon2015.espm.br/GTs/GTGRAD/Joao_Paulo_Silva.pdf · As Tradições Germânicas “Zuckurtüten” e “Adventskalender”: