Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo “Sp0oKeR” Montoro
Pesquisador / Sec...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
About me
• Pesquisador / SOC Clavis Securit...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Agenda
• Atual problema na detecção
• Escol...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Problemas na detecção
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Orçamento
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Maria Gartner
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Quantidade e não
qualidade
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda o contexto
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Escolhendo os
data sources
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
O que já possuímos ?
• Produtos instalados ...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rapidez no uso
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dimensionamento
Quantidade
informação
Maior...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda os eventos
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
O ELK
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch
Logstash
Kibana
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Input
• file
• udp / tcp
• twitter...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Filters
• grok
• fingerprint
• geo...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Output
• elasticsearch
• email
• e...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch 1/2
• Open source, distribuid...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch 2/2
• Fácil de configurar e e...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana event
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Métricas e Inteligência
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda sua empresa
• O que é uma ameaça ol...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
ElastAlert
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Exemplo regra
27
name: Large Number of 404 ...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Python API
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Detalhes fazem a diferença
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
ELK + Inteligência + Métricas
• Análises em...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Chefe feliz =)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dashboard
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dashboard
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Conclusões
• Entenda o que necessita proteg...
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo “Sp0oKeR” Montoro
Pesquisador / Sec...
Próximos SlideShares
Carregando em…5
×

Detectando Intrusos com Inteligência usando ELK stack

1.447 visualizações

Publicada em

Palestra sobre como escolher data sources, o que fazer com eles e como integrar tudo no ELK stack, criando scripts para monitorar os dados salvos

Publicada em: Internet
0 comentários
6 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.447
No SlideShare
0
A partir de incorporações
0
Número de incorporações
59
Ações
Compartilhamentos
0
Downloads
12
Comentários
0
Gostaram
6
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Comentar que detecção de intrusos como um todo é um mega processo, não somente um IDS/IPS com monte de alertas.
    Abacaxi pois não temos os DS nem mesmo sabemos o que querem proteger
  • Aprenda a usar Opensource
  • 200 milhões de eventos não é melhor que dezenas de eventos bem coletados
    Comentar eventos Win / Auditorias
  • Definir que precisamos saber o contexto!
    Batch/Retrospective Analysis
  • EventID - 9 Categorias / 50 subcategorias
    Logs SSH
    Weblogs (4XX)
    Citar netflow / packet capture
  • Quão rapido é adição de determinado data source ? Adicionar no inicio os com menor curva de impacto de tempo.
  • 4776
  • Grok - Falar patterns prontos e flexibilidade
    Geoip Mapa
    Falar mutate para tipos
    importancia do DATE
  • Explicar cada TAB / opções
  • Qualidade da sua detecção é proporcional ao conhecimento das suas ameaças e reais necessidade.
  • flatine abaixo threshold
    Change - combinacao 2 campos
    new_term, algum termo novo em um campo aparecer
  • Fazer códigos para gerar alertas
    Correlacionar as informações com threat intel publicos
  • Detectando Intrusos com Inteligência usando ELK stack

    1. 1. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC) rodrigo@clavis.com.br Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK
    2. 2. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. About me • Pesquisador / SOC Clavis Security • Autor de 2 pesquisas com patente requerida/concebida • Palestrante diversos eventos Brasil, EUA e Canadá • Evangelista Opensource • Usuário linux desde 1996 • Pai • Triatleta / Corredor trilhas
    3. 3. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Agenda • Atual problema na detecção • Escolhendo os data sources • Entendendo a pilha ELK • Gerando métricas e inteligência • Deixando chefe feliz (Relatórios / Dashboards)
    4. 4. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Problemas na detecção
    5. 5. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Orçamento
    6. 6. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Maria Gartner
    7. 7. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Quantidade e não qualidade
    8. 8. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Entenda o contexto
    9. 9. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Escolhendo os data sources
    10. 10. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. O que já possuímos ? • Produtos instalados na empresa • Aquisições já programadas • Eventos default dos equipamentos/máquinas
    11. 11. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Rapidez no uso
    12. 12. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Dimensionamento Quantidade informação Maior I/O Mais espaço em disco Memória / CPU
    13. 13. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Entenda os eventos
    14. 14. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. O ELK
    15. 15. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Elasticsearch Logstash Kibana
    16. 16. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Logstash
    17. 17. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Logstash Input • file • udp / tcp • twitter • netflow • eventlog • irc • exec
    18. 18. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Logstash Filters • grok • fingerprint • geoip • date • csv • anonymize • throttle
    19. 19. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Logstash Output • elasticsearch • email • exec • jira • zabbix • hipchat • amazon(s3)
    20. 20. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Elasticsearch 1/2 • Open source, distribuido, full text search engine • Baseado no Apache Lucene • Rápido acesso a informação • Salva os dados no formato JSON • Suporta sistemas com um ou mais nodes
    21. 21. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Elasticsearch 2/2 • Fácil de configurar e escalável • Possui uma RESTful API • Fácil criação snapshots / backups • Instalação disponível em formato RPM ou DEB, além do tarball. • Inseguro (precisa ambiente seguro)
    22. 22. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Kibana
    23. 23. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Kibana event
    24. 24. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Métricas e Inteligência
    25. 25. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Entenda sua empresa • O que é uma ameaça olhando os data source ? • Faz uso de algum threat intel público/privado ? • Quais os entregáveis que quer automatizar/alertar ? • Reanalisar logs antigos ?
    26. 26. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. ElastAlert
    27. 27. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Exemplo regra 27 name: Large Number of 404 Responses es_host: elasticsearch.example.com es_port: 9200 index: logstash-indexname-* filter: - term: response_code: 404 type: frequency num_events: 100 timeframe: hours: 1 alert: - email email: example@example.com
    28. 28. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Python API
    29. 29. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Detalhes fazem a diferença
    30. 30. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. ELK + Inteligência + Métricas • Análises em lote (retrospectiva) • Correlação entre diferente data sources • Gráficos bonitos no kibana para deixar nas TVs =) • Alertas / Monitoramento
    31. 31. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Chefe feliz =)
    32. 32. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Dashboard
    33. 33. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Dashboard
    34. 34. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Conclusões • Entenda o que necessita proteger • Muita informação crua não te trará melhor resultado • Não seja um “Maria Gartner” • Entenda plenamente seus logs • Se não domina alguma ferramenta, procure ajuda • Sempre aprimore o ciclo, as coisas evoluem
    35. 35. Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados. Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC) rodrigo@clavis.com.br @spookerlabs Muito Obrigado!

    ×