Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC)

rodrigo@clavis.com.br

Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

About me

• Pesquisador / SOC Clavis Security • Autor de 2 pesquisas com patente requerida/

concebida • Palestrante diversos eventos Brasil, EUA e Canadá • Evangelista Opensource • Usuário linux desde 1996 • Pai • Triatleta / Corredor trilhas

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Agenda

• Atual problema na detecção • Escolhendo os data sources • Entendendo a pilha ELK • Gerando métricas e inteligência • Deixando chefe feliz (Relatórios / Dashboards)

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Problemas na detecção

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Orçamento

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Maria Gartner

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Quantidade e não qualidade

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Entenda o contexto

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Escolhendo os data sources

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

O que já possuímos ?

• Produtos instalados na empresa • Aquisições já programadas • Eventos default dos equipamentos/máquinas

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Rapidez no uso

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Dimensionamento

Quantidade informação

Maior I/O

Mais espaço em disco

Memória / CPU

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Entenda os eventos

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

O ELK

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Elasticsearch Logstash

Kibana

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash Input

• file • udp / tcp • twitter • netflow • eventlog • irc • exec

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash Filters

• grok • fingerprint • geoip • date • csv • anonymize • throttle

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash Output

• elasticsearch • email • exec • jira • zabbix • hipchat • amazon(s3)

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Elasticsearch 1/2

• Open source, distribuido, full text search engine

• Baseado no Apache Lucene

• Rápido acesso a informação

• Salva os dados no formato JSON

• Suporta sistemas com um ou mais nodes

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Elasticsearch 2/2

• Fácil de configurar e escalável

• Possui uma RESTful API

• Fácil criação snapshots / backups

• Instalação disponível em formato RPM ou DEB, além do tarball.

• Inseguro (precisa ambiente seguro)

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Kibana

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Kibana event

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Métricas e Inteligência

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Entenda sua empresa

• O que é uma ameaça olhando os data source ?

• Faz uso de algum threat intel público/privado ?

• Quais os entregáveis que quer automatizar/alertar ?

• Reanalisar logs antigos ?

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

ElastAlert

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Exemplo regra

27

name: Large Number of 404 Responses es_host: elasticsearch.example.com es_port: 9200 index: logstash-indexname-* filter: - term: response_code: 404 type: frequency num_events: 100 timeframe: hours: 1 alert: - email email: example@example.com

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Python API

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Detalhes fazem a diferença

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

ELK + Inteligência + Métricas

• Análises em lote (retrospectiva)

• Correlação entre diferente data sources

• Gráficos bonitos no kibana para deixar nas TVs =)

• Alertas / Monitoramento

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Chefe feliz =)

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Dashboard

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Dashboard

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Conclusões

• Entenda o que necessita proteger

• Muita informação crua não te trará melhor resultado

• Não seja um “Maria Gartner”

• Entenda plenamente seus logs

• Se não domina alguma ferramenta, procure ajuda

• Sempre aprimore o ciclo, as coisas evoluem

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC)

rodrigo@clavis.com.br

@spookerlabs

Muito Obrigado!