log craziness: sistemas siem para humanos! [guadalajaracon 2013]
TRANSCRIPT
![Page 1: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/1.jpg)
![Page 2: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/2.jpg)
Log crazyness
![Page 3: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/3.jpg)
“The worst enemy of security is complexity”
• Bruce Schneier
![Page 4: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/4.jpg)
Nuevos modelos de seguridad
• “Sexy defense” Ian Amit
• “Intrusion Detection Along the Kill Chain: Why Your Detection System Sucks and What To Do About It” John Flynn
![Page 5: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/5.jpg)
Log??? Logs???
![Page 6: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/6.jpg)
Importancia de….
• “84% de los incidentes de seguridad (intrusiones exitosas) se han reflejado en los logs” *
• “Sólo el 8% de los incidentes de seguridad detectados por las empresas han sido por minar sus logs”*
* [Verizon 2012]
![Page 7: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/7.jpg)
Pwned! Pwned!
![Page 8: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/8.jpg)
Y ahora? Que hago?
Cuida, quiere y “apapacha” a tus logs :)
![Page 9: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/9.jpg)
¿Cómo?
Modelo
§ LogManagement (Reac0vo)
� “Jefe! Fueron los hackers!”,
§ Abarca todos los logs
Modelos
– SIEM (Proac0vo) • “Jefe! Hubo intentos de ataque en X y Y vector…”
• Sólo seguridad
![Page 10: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/10.jpg)
Versus
![Page 11: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/11.jpg)
SIEM!
§ Security Information and Event Management
§ Especializado en seguridad § “Inteligente”
![Page 12: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/12.jpg)
Lo bueno (ventajas)
• Ventaja visualización de eventos (gráficas) • “Inteligencia” en la detección de
eventos. • Compliance (PCI, ISO etc) / Auditoria. • Forense
![Page 13: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/13.jpg)
Funcionamiento
![Page 14: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/14.jpg)
Iniciemos….
![Page 15: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/15.jpg)
Obligación del SIEM, (para llamarse así)
1. Recolección de datos 2. Normalización 3. Correlación 4. Generación y envio de informes (reportes) 5. Soporte en el flujo de seguridad en el
manejo a incidentes (SOC, respuesta a incidentes)
![Page 16: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/16.jpg)
Recolección
SIEM
Syslog
scp/ ftp
VBS/WMI
![Page 17: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/17.jpg)
Normalización
Firewall: Feb 25 12:11:24 bridge kernel: INBOUND TCP: IN=br0 PHYSIN=eth0 OUT=br0 PHYSOUT=eth1 SRC=220.228.136.38 DST=11.11.79.83 LEN=64 TOS=0x00 PREC=0x00 TTL=47 ID=17159 DF PROTO=TCP SPT=1629 DPT=139 WINDOW=44620 RES=0x00 SYN URGP=0
Time: 12:11:24 Action: Pass Src: 220.228.136.38 Dst: 11.11.79.83 Port: 139
![Page 18: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/18.jpg)
Correlación
Time: 12:11:24 Action: Block Src: w.x.y.z. Dst: a.b.c.d user: john
Time: 12:12:54 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john
Time: 12:14:16 Action: Pass Src: w.x.y.z. Dst: a.b.c.d user: john
Time: 12:13:18 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john
![Page 19: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/19.jpg)
Regla de oro #1:
“No basarse en la tecnología, sino en la inteligencia y el pentest”
![Page 20: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/20.jpg)
Receta
1. Que deseo resolver con el SIEM 2. Elegir el alcance de los datos a recolectar
(sistemas) 3. Desarrollar la arquitectura 4. Crear un sistema de Log Management y
después un SIEM J 5. Generar casos de uso del SIEM
![Page 21: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/21.jpg)
You can't secure what you don't understand
• Bruce Schneier
![Page 22: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/22.jpg)
Diseño
• ¿Qué deseo resolver con el SIEM? • ¿Quienes somos?
• ¿Qué queremos asegurar?
![Page 23: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/23.jpg)
Arquitectura
![Page 24: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/24.jpg)
Arquitectura
• Medir los EPS
• Storage § Definir la política de LogRetention
Logs por segundo (en bytes) * 86400 = (almacenamiento día) + 25%
![Page 25: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/25.jpg)
Arquitectura
• Hardware § Almacenamiento de alta calidad (RPMs SAN)
• Expresiones regulares (cuidado!):
Procesador y memoria RAM poderosa!
![Page 26: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/26.jpg)
Fases de implementación
• Fase 1: Crear un sistema LM § Comunicación entre dispositivos
§ Tiempo!
![Page 27: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/27.jpg)
Fases de implementación
• Fase 2: Llegar al SIEM como tal
-Definir primeras pruebas de filtrado � Ejecutar primeros pasos de filtrado de
logs – (auténticaciones fallidas,web hacking, core dumps)
![Page 28: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/28.jpg)
No olvidar…
You can't secure what you don't understand
Bruce Schneier
![Page 29: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/29.jpg)
Casi Final! “Inteligencia” del SIEM
Taxonomía
Casos de uso
![Page 30: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/30.jpg)
Casi Final! “Inteligencia” del SIEM
¿Cómo?
• Vía el framework del SIEM • Todo es un evento (normalización)
![Page 31: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/31.jpg)
Casos de uso, ejemplos:
• “Los usuarios no deben reenviar automáticamente correo fuera de la organización”
Evento 1: Email de entrada, dominio del emisor es ejemplo.com Evento2: Email de salida, donde: • SUBJECT es el mismo que Evento1 pero con FWD: al inicio (contatenado) • SRCUSER es el mismo que Event 1 • DST USER (el dominio NO es ejemplo.com) Evento 3: sucede a los 3 segundos del evento 1
![Page 32: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/32.jpg)
Casos de uso, ejemplos:
• “Detección de un escaneo de puertos en el ids y firewall ”
If the system sees an event E1 where E1.eventType=portscan followed by an event E2 where E2.srcip=E1.srcip and E2.dstip=E1.dstip and E2.eventType=fw.reject then doSomething
![Page 33: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/33.jpg)
Casos de uso, ejemplos:
“Detección de puertos, vía escaneo”
if (event E1.dstport != (Known_Open_Ports on event E1.dstip)) then doSomething
![Page 34: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/34.jpg)
Pensemos/Imaginación
• Fuentes a integrar:
• Nuestras propias fuentes: § Horarios de trabajo § Ciclos de vacaciones § Segmentos de red § Comportamiento típico de nuestras aplicaciones
• SANS TOP 7 logs reports
![Page 35: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/35.jpg)
Más casos
Detección de equipo comprometido: Impresora HP como punto ciego, la cual fue comprometida
![Page 36: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/36.jpg)
Más casos
"Un dispositivo envía trafico HTTP/SSH/FTP etc en lugar de LPD/IPR, IPP" Fuentes: Cruzar: NetFlow + Firewall + Sniffer
![Page 37: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/37.jpg)
Pensemos/Imaginación
• Identificar autenticación (fallida o exitosa) a más de 5 computadoras en un periodo de 5 minutos
• Un usuario se autentica a la VPN en diferentes computadores en menos de 6 horas
• Se establece una conexión de VPN desde una computadora que no está en el sistema de administración activos y no es conocida por el servidor de antivirus
![Page 38: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/38.jpg)
Pensemos/Imaginación
• Identifcar una cuenta que se ha firmado en una PC que no corresponde a su área
• (Idem en segmentos de la red) • Desde la DMZ identificar una dirección de red
que se comunique a más de 1 host por diferentes puertos en menos de 5 minutos.
• SPAM proveniente de las mismas IPs detectadas por el sistema IDS
![Page 39: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/39.jpg)
Herramientas existentes
• Recolección de logs § NXLog, Syslog-ng, logger,
Apache2Syslog
• Pre-procesamiento de logs: LogPP
• Storage: § PostgreSQL, MongoDB, etc
• Análisis § R § Hoja de cálculo § LogStash
• Inteligencia § OSSEC § OSSIM § Echidna § iView
• Correlación § SEC y Jess § Echidna § NXLog
• Reporteo § Graphviz y Secviz.org
![Page 40: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/40.jpg)
Conlusión
• Usar y encender tus Logs • Primero un LM antes de SIEM • No hay “balas de plata” • Gana el pensamiento vs la tecnología • Menos es más • Casos de uso , caso de uso, casos de
uso!.
![Page 41: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/41.jpg)
Referencias
• Kent,Karen;Souppaya, Murugiah.Guide to Computer Security Log Management, NIST.
• Chuvakin, Anton; Schmidt, Kevin; Phillips, Chris. Logging and Log Management: The Authoritative Guide to Dealing with Syslog, Audit Logs, Events, Alerts and other IT �Noise�.
• Zeltser,Lenny;Chuvakin, Anton;Critical Log Review Checklist for Security Incidents
• Sweeny, Jonathan. Creating Your Own SIEM and Incident Response Toolkit Using Open Source Tools, SANS.
![Page 43: LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]](https://reader036.vdocuments.us/reader036/viewer/2022062513/55635f0fd8b42a734b8b4d8d/html5/thumbnails/43.jpg)
ASIMX
• Asimx.org • @asimx • Facebook.com/asimx • linkedin.com/asimx