Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Aumentando Visibilidade com Facebook OSQUERY

1,144 views

Published on

Palestra sobre OSQUERY

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Aumentando Visibilidade com Facebook OSQUERY

  1. 1. O MAIOR FESTIVAL HACKER DA AMÉRICA LATINA
  2. 2. Threat Hunting e visibilidade em endpoint com o Facebook OSQUERY Rodrigo Montoro (@spookerlabs) Senior Security Engineer na Neoway
  3. 3. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Motivação Riscos Arquitetura Rede Critical Security Controls (CSC) Superfície de Ataque
  4. 4. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Agenda ● Sobre mim ● OSQUERY ● Kolide Fleet ● {Elastic,Alert}-ing ● Conclusões
  5. 5. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Sobre mim
  6. 6. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Diagrama apresentação
  7. 7. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs)
  8. 8. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) OSQUERY ● Criado pelo Facebook 10/2014 ● Multiplataforma(Linux / Mac / Windows / FreeSBD) ● Database do Sistema Operacional ● Centenas de tabelas ● Milhares combinações queries possíveis ● Open Source ● Versão atual 2.10 ● 2017 O’Reilly Defender Award for best project
  9. 9. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Plataformas ● Linux ● MacOS ● Windows ● FreeBSD
  10. 10. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) .tables {Linux,Windows,MAC}
  11. 11. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) schema tables
  12. 12. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) query
  13. 13. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) schedule / pack
  14. 14. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) discovery queries
  15. 15. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) FIM (File Integrity Monitoring)
  16. 16. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Process Events
  17. 17. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) O que podemos monitorar ? ● Quais plugins tem instalado no navegadores? ● Algo adicionado no SUDO ? Crontab ? ● Programas instalados ? Patches ? ● Qual MD5/SHA1, processo e portas em listen agora? ● Usuários / Grupos criados ? ● Pastas compartilhadas ? Rogue Wireless ? ● Docker: imagens ? processos ? portas ? ● Certificados ? Integridade arquivos ? ● Inicialização sistemas ? ● Configs firewall ?
  18. 18. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Demonstração / osqueryi
  19. 19. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Kolide Fleet
  20. 20. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) About Kolide Fleet
  21. 21. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Visão geral hosts
  22. 22. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Query Fleet
  23. 23. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Distributed Query
  24. 24. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Labels
  25. 25. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Demonstração / Navegação Fleet
  26. 26. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) {Elastic,Alert}-ing
  27. 27. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Overview Elastic Stack
  28. 28. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Logstash
  29. 29. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Views / Dashboards
  30. 30. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Alerting em python
  31. 31. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Conclusões
  32. 32. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Pense sobre! ● Você só detecta o que vê ● Invista em conhecimento, não somente em produtos ● Conheça sua rede mais que os atacantes ● Seja proativo nas mitigações ● Faça validação dos monitoramentos ● Seja caçador não caça
  33. 33. Visibilidade com OSQUERY - Rodrigo "Sp0oKeR" Montoro (@spookerlabs) Contatos Rodrigo Montoro @spookerlabs rodrigo.montoro@neoway.com.br rodrigo.montoro@blueops.com.br

×