Analisando eventos de forma inteligente para detecção de intrusos usando ELK

9.148 visualizações

Publicada em

Palestra ministrada na 12ª edição do H2HC (Hackers To Hackers Conference)

Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK (Elasticsearch, Logstash, Kibana)

Logs, logs e mais logs é o que mais encontramos no nosso dia a dia, seja simples informações do sistema, como produtos e caixa mágicas. A grande questão é como usar essas informações de forma inteligente para que isso não se transforme num lixão eletrônico apenas, ou seja, não somente um monte de dados crus e sim dados trabalhados com a sua necessidade.

A ideia dessa palestra é demonstrar como podemos com open source, utilizando ou não produtos comerciais e um pouco de análise podemos obter ótimos resultados, criando um ciclo para adição de fonte de dados úteis, extraindo dela o máximo possível para detectar ameaças relativas ao seu ambiente.

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
9.148
No SlideShare
0
A partir de incorporações
0
Número de incorporações
6.518
Ações
Compartilhamentos
0
Downloads
25
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Analisando eventos de forma inteligente para detecção de intrusos usando ELK

  1. 1. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC) rodrigo@clavis.com.br Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK
  2. 2. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. About me • Pesquisador / SOC Clavis Security • Autor de 2 pesquisas com patente requerida/ concebida • Palestrante diversos eventos Brasil, EUA e Canadá • Evangelista Opensource • Usuário linux desde 1996 • Pai • Triatleta / Corredor trilhas
  3. 3. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Agenda • Atual problema na detecção • Escolhendo os data sources • Entendendo a pilha ELK • Gerando métricas e inteligência • Deixando chefe feliz (Relatórios / Dashboards)
  4. 4. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Problemas na detecção
  5. 5. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Orçamento
  6. 6. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Maria Gartner
  7. 7. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Quantidade e não qualidade
  8. 8. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Entenda o contexto
  9. 9. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Escolhendo os data sources
  10. 10. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. O que já possuímos ? • Produtos instalados na empresa • Aquisições já programadas • Eventos default dos equipamentos/máquinas
  11. 11. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Rapidez no uso
  12. 12. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Dimensionamento Quantidade informação Maior I/O Mais espaço em disco Memória / CPU
  13. 13. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Entenda os eventos
  14. 14. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. O ELK
  15. 15. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Elasticsearch Logstash Kibana
  16. 16. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Logstash
  17. 17. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Logstash Input • file • udp / tcp • twitter • netflow • eventlog • irc • exec
  18. 18. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Logstash Filters • grok • fingerprint • geoip • date • csv • anonymize • throttle
  19. 19. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Logstash Output • elasticsearch • email • exec • jira • zabbix • hipchat • amazon(s3)
  20. 20. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Elasticsearch 1/2 • Open source, distribuido, full text search engine • Baseado no Apache Lucene • Rápido acesso a informação • Salva os dados no formato JSON • Suporta sistemas com um ou mais nodes
  21. 21. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Elasticsearch 2/2 • Fácil de configurar e escalável • Possui uma RESTful API • Fácil criação snapshots / backups • Instalação disponível em formato RPM ou DEB, além do tarball. • Inseguro (precisa ambiente seguro)
  22. 22. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Kibana
  23. 23. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Kibana event
  24. 24. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Métricas e Inteligência
  25. 25. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Entenda sua empresa • O que é uma ameaça olhando os data source ? • Faz uso de algum threat intel público/privado ? • Quais os entregáveis que quer automatizar/alertar ? • Reanalisar logs antigos ?
  26. 26. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. ElastAlert
  27. 27. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Exemplo regra 27 name: Large Number of 404 Responses es_host: elasticsearch.example.com es_port: 9200 index: logstash-indexname-* filter: - term: response_code: 404 type: frequency num_events: 100 timeframe: hours: 1 alert: - email email: example@example.com
  28. 28. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Python API
  29. 29. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Detalhes fazem a diferença
  30. 30. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. ELK + Inteligência + Métricas • Análises em lote (retrospectiva) • Correlação entre diferente data sources • Gráficos bonitos no kibana para deixar nas TVs =) • Alertas / Monitoramento
  31. 31. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Chefe feliz =)
  32. 32. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Dashboard
  33. 33. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Dashboard
  34. 34. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Conclusões • Entenda o que necessita proteger • Muita informação crua não te trará melhor resultado • Não seja um “Maria Gartner” • Entenda plenamente seus logs • Se não domina alguma ferramenta, procure ajuda • Sempre aprimore o ciclo, as coisas evoluem
  35. 35. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC) rodrigo@clavis.com.br @spookerlabs Muito Obrigado!

×