Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Rodrigo MontoroPesquisador / Security Operations Center (SOC)

rodrigo@clavis.com.br

Rocking your Windows Events with Elastic stack

Partially supported by FAPERJ JCNE Proc. 203889

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

# whoami

• Security Researcher (Octopus SIEM LABS)

• Author of 2 patents method to detect malware

• Logging and pcap addicted

• Dad

• Triathlete / Trail Runner

• Beer lover

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Agenda

• Motivation

• Windows Events

• Elastic stack

• Demonstrations

• Conclusions

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Motivation

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Windows Events

• 9 categories

• 50+ subcategories

• Hundreds differents Event IDs and fields

• Differences between Windows Versions

• Limit 300MB before erase old entries

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Elastic Stack (former ELK)

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

How it works together ?

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Winlogbeats

• Open source• Monitor Windows Events

• Applications• Security• System• Hardware

• Encrypted communication• Easy to install

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash (1/2)

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash (2/2)

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash filters

● grok

● geoip

● date

● cipher

● translate/dict

● cidr

● mutate

● xml

● json

● drop

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Pro TIP!

• global.ip

• global.workstation

• global.username

• global.something

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash config sample

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Elasticsearch (1/2)

• Open source, distributed, full text search engine

• Based on Apache License

• Rapid access to information

• Stores data as structured JSON documents

• Supports single system OR multi-node clusters

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Elasticsearch (2/2)

• Easy to set up and scale – just add more nodes

• Provides a RESTful API

• Easy to create snapshots / backups

• INSECURE by default

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Kibana

• Discovery• Filters• Analysis

• Visualization• Improving analysis• Creating visual response

• Dashboards• Plugins

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Kibana Overview (demo)

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Python API

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

API Search sample

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

• Kibana Overview

• Python API

• Confidential file access

• RDP access from not allowed user

• Threat Intel correlation

• TopX per field

Demonstrations

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Conclusions

• Explore and understand all eventids and their fields

• Be ready for forensics situation

• Understand threat you are facing so you could "script"

• Generate proactive alerts using Python API

• Check new detections against old events

• Make sure about Elastic stack hardening

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Acknowledgements

The present work was partially supported by FAPERJ

Grant JCNE Proc. Number 203889

Coordinated by Raphael Machado

Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.

Rodrigo “Sp0oKeR” MontoroResearcher / Security Operations Center (SOC)

rodrigo@clavis.com.br

@spookerlabs / @ClavisSecurity

Thank you!!!