La charla trataría sobre cómo usar el stack Elasticsearch, Logstash y Kibana (ELK) para respuestas ante incidentes, monitorización de logs y otras tareas relacionadas con los equipos blue team. Por ejemplo, podríamos analizar los registros basados en autenticación y eventos del sistema operativo.
Entre los puntos a tratar podemos destacar:
-Introducción al estándar ELK y cómo nos puede ayudar para crear nuestro laboratorio de análisis.
-Comentar las diferentes fuentes de datos que podríamos usar (eventos del sistema operativo, capturas de red).
-Indexación y búsqueda de datos en ElasticSearch.
-Recopilación y manipulación de datos con LogStash.
-Creación de dashboards con Kibana.
-Ejemplo de aplicación para alertar sobre eventos basados en la autenticación en el sistema operativo.
4. Books
4
● Introducción al desarrollo seguro
● Aspectos fundamentales de desarrollo seguro
● Herramientas OWASP
● Seguridad en aplicaciones Android
● Seguridad en proyectos NodeJS
● Seguridad en proyectos Python
● Análisis estático y dinámico en aplicaciones C/C++
● Metodologías de desarrollo
9. Agenda
• Introducción a los SIEM
• Introducción a ELK y cómo nos puede ayudar para
crear nuestro laboratorio de análisis
• Indexación y búsqueda de datos en ElasticSearch
• Recopilación de datos con LogStash
• Creación de dashboards con Kibana
• Ejemplo de aplicación sobre eventos basados en el
registro del sistema y autenticación en el sistema
operativo
9
13. SIEM
13
• Gestionar de forma unificada los eventos
• Centralizar los eventos de nuestra red en un
único punto
• Reducir el volumen de eventos
• Detección de anomalías a través de la
correlación de eventos y el uso de algoritmos
de machine learning
15. Eventos de seguridad
15
• 1.Recoger logs de los activos de interés
(servidores,dispositivos,firewalls)
• 2.Normalizar los eventos con el objetivo de
adaptar la información recibida al formato del
SIEM.
• 3.Enriquecer los datos
• 4.Correlar los eventos
• 5.Reportar informes y alertas
16. Obtención de logs
16
• Sistema operativo
• Antivirus / Firewall
• Proxy navegación web
• Sistemas de detección y prevención de
intrusos(IDS).
• Servidor web
• Conexión VPN
• Servicios en la nube
18. Funciones de una solución SIEM
18
• Centralizar la vista de potenciales amenazas
• Determinar qué amenazas requiren resolución
y cuáles son falsos positivos.
• Escalar información a los analistas de
seguridad para que puedan tomar una acción.
• Documentar en un registro de auditoría los
eventos detectados y cómo fueron resueltos
38. Beats
38
• Packetbeat: Recopila y analiza paquetes de red.
• Filebeat: Recopila y envía archivos de registro.
• Metricbeat Recopila métricas de los sistemas operativos
y servicios que se ejecutan en los servidores.
• Winlogbeat: Recopila registros de eventos de Windows.
• Audibeat: Responsable de colectar los logs con el
objetivo de supervisar la integridad de los archivos.
• Heartbeat: Es el encargado de monitorizar el estado de
servidores.