Download - CERT/CSIRT's tools: Con las manos en la masa
![Page 1: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/1.jpg)
####################################################################
Taller: CERT/CSIRT's tools : Con las manos en la masa
Ponentes: Borja Guaita, Alex Gimenez y Jordi Guijarro.
Resumen: La comunidad CERT/CSIRT no solo se caracteriza por la alta cooperaciónentre equipos de respuesta frente a incidentes sino también por participación de proyectosinternacionales y el desarrollo de herramientas abiertas en el ámbito de la cyberseguridad. Descarga la imagen de disco con todo lo necesario para la realización del taller (VirtualBox):
ftp://ftp.csuc.cat/NCN/csirt-tools.zip
Material previo que puede resultar interesante consultar:
CERT/CSIRT - What is it all about? https://www.enisa.europa.eu/activities/certCommon tools for CERTs - https://www.enisa.europa.eu/activities/cert/support/chiht
####################################################################
![Page 2: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/2.jpg)
IMAGEN DE DISCO (VIRTUALBOX)ftp://ftp.csuc.cat/NCN/csirt-tools.zip
![Page 3: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/3.jpg)
WhoamI
CSUC-CSIRT: Security services for Catalan R&E community
[email protected]@[email protected]
NcN, 11/12/2015
![Page 4: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/4.jpg)
![Page 5: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/5.jpg)
![Page 6: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/6.jpg)
![Page 7: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/7.jpg)
![Page 8: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/8.jpg)
Agenda
CSUC-CSIRTEcosistema de herramientasEcosistema de herramientas Gestión de incidentes con RTIRTratamiento de feeds con INTELMQNetwork Forensics y la pareja
NFDUMP/NFSENQ&A
![Page 9: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/9.jpg)
![Page 10: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/10.jpg)
![Page 11: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/11.jpg)
![Page 12: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/12.jpg)
New Catalan Universities services consortium (formerly known as CESCA)
![Page 13: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/13.jpg)
Focused to Research and Education agents
![Page 14: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/14.jpg)
Focused to Research and Education agents
![Page 15: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/15.jpg)
![Page 16: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/16.jpg)
Our services
![Page 17: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/17.jpg)
Security Services: CSUC-CSIRT
http://www.csuc.cat/en/communications/security/incident-response-team
![Page 18: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/18.jpg)
Security incidents statistics
2012 2013 2014
Abusive content 40% 20% 33%
Availability 2% 5% 6%
Fraud 7% 14% 7%
Malware 19% 27% 24%
Information rec.. 4% 5% 4%
Data Security 5% 5% 2%
Intrusion 4% 2% 6%
Intrusion Attempt 16% 8% 8%
Other 3% 12% 10%
Total Crítical High Medium Low
2012 660 2% 11% 19% 68%
2013 410 3% 4% 13% 79%
2014 689 12% 2% 10% 76%
0
20
40
60
80
100
120
140
G F M A M J J A S O N D
![Page 19: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/19.jpg)
Collaboration
![Page 20: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/20.jpg)
HOMEMADEFEEDS
HUB
Ecosystem of tools
![Page 21: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/21.jpg)
INTELMQ +HOMEMADE
FEEDS HUB
Proactive monitoring workflow and tools
RTIR
![Page 22: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/22.jpg)
Logs correlation
![Page 23: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/23.jpg)
External feeds placed together
![Page 24: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/24.jpg)
RTIRRequest tracker for Incident Response
![Page 25: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/25.jpg)
Qué es RTIR? Es un sistema de tiqueting para la gestión de
incidentes RTIR es RT con más funcionalidades y una
configuración especial. Nos ayuda a hacer un seguimiento de los
incidentes y nos hace más fácil la gestión de estos.
![Page 26: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/26.jpg)
Estructura del RTIR: Basado en cuatro colas principales
Incidents Requests Incidents Investigations Blocks
Acceso a la gestión de las colas mediante permisos de usuarios i/o grupos
Funcionalidades extra mediante ”plugins”
![Page 27: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/27.jpg)
Otras características: Campos y estructura personalizables Base de datos de conocimientos Detección automática de IPs y dominos con enlace
a las herramientas asociadas Creación de reports Open source
![Page 28: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/28.jpg)
![Page 29: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/29.jpg)
Ciclo de un incidente: Normalmente empezaría con una o varias
peticiones de incidente mediante llamada telefónica, correo, web, etc. en la cola ”Incident Report”
![Page 30: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/30.jpg)
![Page 31: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/31.jpg)
Una vez recibidos las peticiones de incidentes el equipo gestionará y clasificará estos en la cola ”Incidents”.
Tenemos la opción de crear un incidente a partir de una o varias peticiones.
A partir de aquí se valorará si abrir una investigación (cola ”Investigatios”)
Por último se puede crear una petición de bloqueo de IPs. Esto se realizaria en la cola ”Blocks”
![Page 32: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/32.jpg)
![Page 33: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/33.jpg)
Links: http://bestpractical.com/rtir
![Page 34: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/34.jpg)
IntelMQ & IntelMQ Manager
![Page 35: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/35.jpg)
IntelMQ = Thread Intel feeds + Message Queueing system
Herramienta orientada a: Recolección automática de eventos/incidentes Procesamiento de los eventos Envio de los resultados en diferentes formatos de
salida.
![Page 36: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/36.jpg)
Basado en colas (Message Queues), redis, RabbitMQ, zmq
Fácil de configurar y modificar (python) Configuración mediante GUI (IntelMQ Manager) Ofrece una forma fácil de enviar los datos hacia
recolectores de logs tipo Splunk, ElastiSearch o bases de datos.
OpenSource
![Page 37: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/37.jpg)
Click to add Title
Estructura de IntelMQ Bots individuales para cada tarea Ficheros de configuración:
runtime.conf: Parámetros de los bots startup.conf: Bots configurados en el arranque BOTS: Plantillas de todos los bots pipeline.conf: Describe como estan
interconectados los bots
Outputs: Splunk, ElasticSearch, PostgreSQL, MongoDB, fichero de texto...
![Page 38: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/38.jpg)
IntelMQ Dataflow:
![Page 39: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/39.jpg)
![Page 40: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/40.jpg)
Añadiendo mejoras a los resultados (Expert bots)
ASN lookup Abuse contact Whois Deduplicación y filtros GeoIP DNS lookups
![Page 41: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/41.jpg)
Links:
https://github.com/certtools/intelmq https://github.com/certtools/intelmq-manager https://www.enisa.europa.eu/activities/cert/support/i
ncident-handling-automation
![Page 42: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/42.jpg)
![Page 43: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/43.jpg)
SmartxAC Platform
SMARTxAC is the collaboration between UPC BarcelonaTech (CCABA) and CSUC
![Page 44: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/44.jpg)
L7 'space' (Apps Universe)
![Page 45: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/45.jpg)
¿Qué es?
Es una interfaz gráfica para NFDUMP
NFDUMP: conjunto de herramientas para recopilar y procesar datos de nuestros equipos, mayoritariamente mediante los protocolos NetFlow y Sflow en línea de comandos. Parte del proyecto NfSen.
Distribuido bajo licencia BSD.
http://nfsen.sourceforge.net/
NFSEN
![Page 46: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/46.jpg)
¿Qué nos permite?
-Navegar con facilidad por los datos proporcionados por nuestros equipos.
-Procesar los datos dentro de una ventana de tiempo.
-Crear archivos históricos y perfiles continuos.
-Configurar alertas basadas en ciertas condiciones.
-Escribir sus plugins propios para procesar los flujos cada cierto tiempo.
NFSEN
![Page 47: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/47.jpg)
nfcapd - netflow capture daemon. Reads the netflow data from the network and stores the data into files.
nfdump - netflow dump.Reads the netflow data from the files stored by nfcapd
NFSEN - Arquitectura
NFSEN
![Page 48: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/48.jpg)
NFSEN - Timeslot 2 semanas:
![Page 49: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/49.jpg)
NFSEN - Stat TopN “proto udp”
![Page 50: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/50.jpg)
NFSEN – Para qué lo podemos utilizar????
- para conocer qué tráfico y qué nodos estaban activos en un momento específico o en una ventana de tiempo.
- para ver el tráfico de entrada/salida entre AS, tráfico entre IPs o puertos fuente/destino
- identificar los protocolos más usados
En base a ésto podremos tomar decisiones.
![Page 51: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/51.jpg)
NFSEN – Lab
- Para probar NFSEN podemos generar tráfico mediante “fprobe”:
/usr/sbin/fprobe -ieth0 -fip localhost:9995
o bien mediante otras herramientas gráficas:
![Page 52: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/52.jpg)
Nfsen + Cymru “power” -> Flow Sonar
![Page 53: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/53.jpg)
ROADMAP!
![Page 54: CERT/CSIRT's tools: Con las manos en la masa](https://reader034.vdocuments.site/reader034/viewer/2022042722/58a76ba41a28ab99238b4d3b/html5/thumbnails/54.jpg)
Dzięki!Dzięki!Thanks!Thanks!Gracias!Gracias!Gràcies! Gràcies!
CSUC-CSIRT ([email protected])
Q & A time