Rocking your Windows Events with Elastic stack...Elasticsearch (1/2) • Open source, distributed,...
Transcript of Rocking your Windows Events with Elastic stack...Elasticsearch (1/2) • Open source, distributed,...
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo MontoroPesquisador / Security Operations Center (SOC)
Rocking your Windows Events with Elastic stack
Partially supported by FAPERJ JCNE Proc. 203889
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
# whoami
• Security Researcher (Octopus SIEM LABS)
• Author of 2 patents method to detect malware
• Logging and pcap addicted
• Dad
• Triathlete / Trail Runner
• Beer lover
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Agenda
• Motivation
• Windows Events
• Elastic stack
• Demonstrations
• Conclusions
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Windows Events
• 9 categories
• 50+ subcategories
• Hundreds differents Event IDs and fields
• Differences between Windows Versions
• Limit 300MB before erase old entries
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Elastic Stack (former ELK)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
How it works together ?
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Winlogbeats
• Open source• Monitor Windows Events
• Applications• Security• System• Hardware
• Encrypted communication• Easy to install
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash filters
● grok
● geoip
● date
● cipher
● translate/dict
● cidr
● mutate
● xml
● json
● drop
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Pro TIP!
• global.ip
• global.workstation
• global.username
• global.something
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash config sample
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch (1/2)
• Open source, distributed, full text search engine
• Based on Apache License
• Rapid access to information
• Stores data as structured JSON documents
• Supports single system OR multi-node clusters
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch (2/2)
• Easy to set up and scale – just add more nodes
• Provides a RESTful API
• Easy to create snapshots / backups
• INSECURE by default
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana
• Discovery• Filters• Analysis
• Visualization• Improving analysis• Creating visual response
• Dashboards• Plugins
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana Overview (demo)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
• Kibana Overview
• Python API
• Confidential file access
• RDP access from not allowed user
• Threat Intel correlation
• TopX per field
Demonstrations
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Conclusions
• Explore and understand all eventids and their fields
• Be ready for forensics situation
• Understand threat you are facing so you could "script"
• Generate proactive alerts using Python API
• Check new detections against old events
• Make sure about Elastic stack hardening
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Acknowledgements
The present work was partially supported by FAPERJ
Grant JCNE Proc. Number 203889
Coordinated by Raphael Machado
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo “Sp0oKeR” MontoroResearcher / Security Operations Center (SOC)
@spookerlabs / @ClavisSecurity
Thank you!!!