detectando intrusos com inteligência usando elk stack

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Rodrigo “Sp0oKeR” MontoroPesquisador / Security Operations Center (SOC)

rodrigo@clavis.com.br

Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

About me

• Pesquisador / SOC Clavis Security• Autor de 2 pesquisas com patente

requerida/concebida• Palestrante diversos eventos Brasil, EUA e Canadá• Evangelista Opensource• Usuário linux desde 1996• Pai• Triatleta / Corredor trilhas

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Agenda

• Atual problema na detecção• Escolhendo os data sources• Entendendo a pilha ELK• Gerando métricas e inteligência• Deixando chefe feliz (Relatórios / Dashboards)

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Problemas na detecção

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Orçamento

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Maria Gartner

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Quantidade e não qualidade

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Entenda o contexto

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Escolhendo osdata sources

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

O que já possuímos ?

• Produtos instalados na empresa• Aquisições já programadas• Eventos default dos equipamentos/máquinas

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Rapidez no uso

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Dimensionamento

Quantidade informação

Maior I/O

Mais espaço em disco

Memória / CPU

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Entenda os eventos

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

O ELK

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

ElasticsearchLogstash

Kibana

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash Input

• file• udp / tcp• twitter• netflow• eventlog• irc• exec

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash Filters

• grok• fingerprint• geoip• date• csv• anonymize• throttle

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Logstash Output

• elasticsearch• email• exec• jira• zabbix• hipchat• amazon(s3)

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Elasticsearch 1/2

• Open source, distribuido, full text search engine

• Baseado no Apache Lucene

• Rápido acesso a informação

• Salva os dados no formato JSON

• Suporta sistemas com um ou mais nodes

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Elasticsearch 2/2

• Fácil de configurar e escalável

• Possui uma RESTful API

• Fácil criação snapshots / backups

• Instalação disponível em formato RPM ou DEB, além do tarball.

• Inseguro (precisa ambiente seguro)

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Kibana

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Kibana event

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Métricas e Inteligência

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Entenda sua empresa

• O que é uma ameaça olhando os data source ?

• Faz uso de algum threat intel público/privado ?

• Quais os entregáveis que quer automatizar/alertar ?

• Reanalisar logs antigos ?

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

ElastAlert

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Exemplo regra

name: Large Number of 404 Responseses_host: elasticsearch.example.comes_port: 9200index: logstash-indexname-*filter: - term: response_code: 404type: frequencynum_events: 100timeframe: hours: 1alert: - emailemail: example@example.com

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Python API

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Detalhes fazem a diferença

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

ELK + Inteligência + Métricas

• Análises em lote (retrospectiva)

• Correlação entre diferente data sources

• Gráficos bonitos no kibana para deixar nas TVs =)

• Alertas / Monitoramento

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Chefe feliz =)

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Dashboard

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Dashboard

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Conclusões

• Entenda o que necessita proteger

• Muita informação crua não te trará melhor resultado

• Não seja um “Maria Gartner”

• Entenda plenamente seus logs

• Se não domina alguma ferramenta, procure ajuda

• Sempre aprimore o ciclo, as coisas evoluem

Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.

Rodrigo “Sp0oKeR” MontoroPesquisador / Security Operations Center (SOC)

rodrigo@clavis.com.br

@spookerlabs

Muito Obrigado!