Académique Documents
Professionnel Documents
Culture Documents
INCIDENTES DE
CIBERSEGURIDAD
ELSA
Enterprise Log Search and Archive (ELSA)
es una herramienta de nivel empresarial
para buscar y archivar datos de NSM que
se originan en múltiples fuentes.
ELSA puede normalizar las entradas del
archivo de registro en un esquema
común que luego puede mostrarse en la
interfaz web de ELSA.
ELSA recibe los registros a través de
Syslog-NG, almacena los registros en las
bases de datos MySQL e índices usando
Sphinx Search.
PLATAFORMA DE DATOS COMUNES
REDUCCIÓN DE DATOS
La reducción de datos es la
identificación de los datos que deben
recopilarse y almacenarse para reducir
la carga de los sistemas.
Al limitar el volumen de datos, las
herramientas como ELSA serán mucho
más útiles.
PLATAFORMA DE DATOS COMUNES
NORMALIZACIÓN DE DATOS
La normalización de datos es el proceso de combinar datos de varias fuentes en
un formato común para la indexación y la búsqueda.
PLATAFORMA DE DATOS COMUNES
ARCHIVO DE DATOS
Retener los datos de NSM por tiempo
indefinido no es factible debido a problemas de
almacenamiento y acceso.
Los marcos de cumplimiento pueden requerir
el almacenamiento de datos durante un
período de tiempo específico.
ELSA puede configurarse para retener datos por
un período de tiempo. El valor predeterminado
es 90 días.
Los datos de alerta de Sguil se conservan
durante 30 días de forma predeterminada.
INVESTIGANDO DATOS DE RED
TRABAJANDO EN SGUIL
Dentro de Security Onion, el
primer lugar donde un analista
debe ir a verificar las alertas es
Sguil.
Sguil correlaciona
automáticamente alertas
similares en una sola línea y
proporciona una manera
eficiente para ver los eventos
correlacionados.
INVESTIGANDO DATOS DE RED
CONSULTAS DE SGUIL
El Generador de
consultas de Sguil,
simplifica la construcción
de consultas
personalizadas.
El analista de ciber
seguridad debe conocer
los nombres de los
campos y algunos
problemas con los
valores de los campos.
INVESTIGANDO DATOS DE RED
ALREDEDOR DE SGUIL
Sguil proporciona la
capacidad de "girar" la
investigación a otras
herramientas como ELSA,
Wireshark o Bro.
Las expresiones
regulares se ejecutan en
ELSA usando la función
grep.
INVESTIGANDO DATOS DE RED
La identificación de los actores de amenazas debe ocurrir a través de una investigación de evidencia
basada en principios y sistemática.
En una investigación basada en la evidencia, el equipo de respuesta a incidentes relaciona las tácticas,
técnicas y procedimientos (TPP) que se usaron en el incidente con otras hazañas conocidas para identificar
a los actores de amenazas.
Los aspectos de una amenaza que pueden ayudar en la atribución son la ubicación de los hosts o dominios
de origen, las características de los códigos utilizados en el malware, las herramientas utilizadas y otras
técnicas.
LABORATORIOS Y PRÁCTICAS
LAB. 4.1 – REGLAS DE SNORT Y FIREWALL
LAB. 4.2 - PRÁCTICA DE LABORATORIO EXTRAER UN EJECUTABLE DE UN PCAP
GRACIAS POR SU ATENCIÓN