OSSELK GTS FINAL
Transcript of OSSELK GTS FINAL
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo Montoro Pesquisador / Security Operations Center (SOC)
OSSE{LK}C
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Motivação
• Compliance
• Cansado de "grepear"
• Flexibilidade
• Pesquisas retroativas
• Correlação com outras fontes de dados
• Diminuir a janela de exposição
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
$ whoami
• Pesquisador / SOC Clavis Security
• Autor de 2 pesquisas com patenteadas
• Palestrante diversos eventos Brasil, EUA e Canadá
• Evangelista Opensource
• Usuário linux desde 1996
• Pai
• Triatleta / Corredor trilhas
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Agenda
• OSSEC
• Elastic Stack
• Integrando OSSEC + ELK
• Demonstração
• Conclusões / Dicas
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Funcionalidades
• Análise de logs
• Integridade de arquivos (FIM)
• Monitoramento registros (Windows)
• Detecção malwares / rootkits
• Checagem baselines / hardening (CIS)
• Multiplataforma
• Reposta ativa
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Modos funcionamento
• Local
• Agente
• Servidor
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Visão Geral
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Fluxo OSSEC
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
analysisd internals
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
ossec-logtest
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Reposta ativa (Padrão)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Exemplo de Resposta Ativa
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Elastic Stack
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch (1/2)
• Open source
• Distribuido
• Full text search engine
• Baseado no Apache Lucene
• Rápido acesso a informação
• Dados salvos no formato JSON
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch (2/2)
• Suporta sistemas único ou múltiplos nodes
• Fácil de configurar e escalável
• Possui uma RESTful API
• Fácil criação snapshots / backups
• Instalação disponível em diversos formatos
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana
• Explore
• Visualize
• Descubra
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
OSSEC + ELK
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Fluxo integração
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Integração Internals
Fonte Wazuh
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Demostração Kibana
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Exemplo alerta (1/3)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Facilitando a análise …
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Exemplo alerta (2/3)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Facilitando a análise …
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Exemplo alerta (3/3)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana (vídeo)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Timelion (Vídeo)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Python API
Vídeo
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Pensando no monitoramento
• O que quero de resposta ?
• O que realmente enviar para o "ELK" ?
• Minha equipe consegue processar os eventos ?
• Contexto
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Conclusões / Dicas
• Mapeie a superfície de ataque
• Muita informação crua não te trará melhor resultado
• Entenda plenamente seus logs
• Sempre aprimore o ciclo, as coisas evoluem
• Faça hardening do sistema
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC)
@spookerlabs
Muito Obrigado!