Analisando eventos de forma inteligente para detecção de intrusos usando ELK
-
Upload
seginfo -
Category
Technology
-
view
8.935 -
download
0
Transcript of Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC)
Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
About me
• Pesquisador / SOC Clavis Security • Autor de 2 pesquisas com patente requerida/
concebida • Palestrante diversos eventos Brasil, EUA e Canadá • Evangelista Opensource • Usuário linux desde 1996 • Pai • Triatleta / Corredor trilhas
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Agenda
• Atual problema na detecção • Escolhendo os data sources • Entendendo a pilha ELK • Gerando métricas e inteligência • Deixando chefe feliz (Relatórios / Dashboards)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Problemas na detecção
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Orçamento
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Maria Gartner
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Quantidade e não qualidade
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda o contexto
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Escolhendo os data sources
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
O que já possuímos ?
• Produtos instalados na empresa • Aquisições já programadas • Eventos default dos equipamentos/máquinas
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rapidez no uso
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dimensionamento
Quantidade informação
Maior I/O
Mais espaço em disco
Memória / CPU
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda os eventos
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
O ELK
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch Logstash
Kibana
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Input
• file • udp / tcp • twitter • netflow • eventlog • irc • exec
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Filters
• grok • fingerprint • geoip • date • csv • anonymize • throttle
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Output
• elasticsearch • email • exec • jira • zabbix • hipchat • amazon(s3)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch 1/2
• Open source, distribuido, full text search engine
• Baseado no Apache Lucene
• Rápido acesso a informação
• Salva os dados no formato JSON
• Suporta sistemas com um ou mais nodes
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch 2/2
• Fácil de configurar e escalável
• Possui uma RESTful API
• Fácil criação snapshots / backups
• Instalação disponível em formato RPM ou DEB, além do tarball.
• Inseguro (precisa ambiente seguro)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana event
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Métricas e Inteligência
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda sua empresa
• O que é uma ameaça olhando os data source ?
• Faz uso de algum threat intel público/privado ?
• Quais os entregáveis que quer automatizar/alertar ?
• Reanalisar logs antigos ?
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
ElastAlert
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Exemplo regra
27
name: Large Number of 404 Responses es_host: elasticsearch.example.com es_port: 9200 index: logstash-indexname-* filter: - term: response_code: 404 type: frequency num_events: 100 timeframe: hours: 1 alert: - email email: [email protected]
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Python API
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Detalhes fazem a diferença
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
ELK + Inteligência + Métricas
• Análises em lote (retrospectiva)
• Correlação entre diferente data sources
• Gráficos bonitos no kibana para deixar nas TVs =)
• Alertas / Monitoramento
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Chefe feliz =)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dashboard
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dashboard
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Conclusões
• Entenda o que necessita proteger
• Muita informação crua não te trará melhor resultado
• Não seja um “Maria Gartner”
• Entenda plenamente seus logs
• Se não domina alguma ferramenta, procure ajuda
• Sempre aprimore o ciclo, as coisas evoluem
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC)
@spookerlabs
Muito Obrigado!