detectando intrusos com inteligência usando elk stack
TRANSCRIPT
![Page 1: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/1.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo “Sp0oKeR” MontoroPesquisador / Security Operations Center (SOC)
Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK
![Page 2: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/2.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
About me
• Pesquisador / SOC Clavis Security• Autor de 2 pesquisas com patente
requerida/concebida• Palestrante diversos eventos Brasil, EUA e Canadá• Evangelista Opensource• Usuário linux desde 1996• Pai• Triatleta / Corredor trilhas
![Page 3: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/3.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Agenda
• Atual problema na detecção• Escolhendo os data sources• Entendendo a pilha ELK• Gerando métricas e inteligência• Deixando chefe feliz (Relatórios / Dashboards)
![Page 4: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/4.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Problemas na detecção
![Page 5: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/5.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Orçamento
![Page 6: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/6.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Maria Gartner
![Page 7: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/7.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Quantidade e não qualidade
![Page 8: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/8.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda o contexto
![Page 9: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/9.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Escolhendo osdata sources
![Page 10: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/10.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
O que já possuímos ?
• Produtos instalados na empresa• Aquisições já programadas• Eventos default dos equipamentos/máquinas
![Page 11: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/11.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rapidez no uso
![Page 12: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/12.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dimensionamento
Quantidade informação
Maior I/O
Mais espaço em disco
Memória / CPU
![Page 13: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/13.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda os eventos
![Page 14: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/14.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
O ELK
![Page 15: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/15.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
ElasticsearchLogstash
Kibana
![Page 16: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/16.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash
![Page 17: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/17.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Input
• file• udp / tcp• twitter• netflow• eventlog• irc• exec
![Page 18: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/18.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Filters
• grok• fingerprint• geoip• date• csv• anonymize• throttle
![Page 19: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/19.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Output
• elasticsearch• email• exec• jira• zabbix• hipchat• amazon(s3)
![Page 20: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/20.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch 1/2
• Open source, distribuido, full text search engine
• Baseado no Apache Lucene
• Rápido acesso a informação
• Salva os dados no formato JSON
• Suporta sistemas com um ou mais nodes
![Page 21: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/21.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch 2/2
• Fácil de configurar e escalável
• Possui uma RESTful API
• Fácil criação snapshots / backups
• Instalação disponível em formato RPM ou DEB, além do tarball.
• Inseguro (precisa ambiente seguro)
![Page 22: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/22.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana
![Page 23: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/23.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana event
![Page 24: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/24.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Métricas e Inteligência
![Page 25: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/25.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda sua empresa
• O que é uma ameaça olhando os data source ?
• Faz uso de algum threat intel público/privado ?
• Quais os entregáveis que quer automatizar/alertar ?
• Reanalisar logs antigos ?
![Page 26: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/26.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
ElastAlert
![Page 27: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/27.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Exemplo regra
name: Large Number of 404 Responseses_host: elasticsearch.example.comes_port: 9200index: logstash-indexname-*filter: - term: response_code: 404type: frequencynum_events: 100timeframe: hours: 1alert: - emailemail: [email protected]
![Page 28: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/28.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Python API
![Page 29: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/29.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Detalhes fazem a diferença
![Page 30: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/30.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
ELK + Inteligência + Métricas
• Análises em lote (retrospectiva)
• Correlação entre diferente data sources
• Gráficos bonitos no kibana para deixar nas TVs =)
• Alertas / Monitoramento
![Page 31: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/31.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Chefe feliz =)
![Page 32: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/32.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dashboard
![Page 33: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/33.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dashboard
![Page 34: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/34.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Conclusões
• Entenda o que necessita proteger
• Muita informação crua não te trará melhor resultado
• Não seja um “Maria Gartner”
• Entenda plenamente seus logs
• Se não domina alguma ferramenta, procure ajuda
• Sempre aprimore o ciclo, as coisas evoluem
![Page 35: Detectando Intrusos com Inteligência usando ELK stack](https://reader036.vdocument.in/reader036/viewer/2022062820/58a847eb1a28ab210b8b4699/html5/thumbnails/35.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo “Sp0oKeR” MontoroPesquisador / Security Operations Center (SOC)
@spookerlabs
Muito Obrigado!