Mostrando postagens com marcador threathunting. Mostrar todas as postagens
Mostrando postagens com marcador threathunting. Mostrar todas as postagens

segunda-feira, 20 de novembro de 2017

Aumentando visibilidade nos endpoints com Facebook OSQUERY


Nas últimas semanas fizemos 3 apresentações introdutórias sobre OSQueryKolide Fleet e Elastic Stack, sendo Roadsec PRO SP, Roadsec Encerramento SP e na BHack em Belo Horizonte com o título "Threat Hunting e Visibilidade em endpoint com o Facebook OSQUERY".

A ideia dessa palestra foi mostrar o poder e a visibilidade de endpoint que a ferramenta OSQuery proporciona,  aproveitando também para dar uma rápida introdução a ferramentas auxiliares que ajudam no gerenciamento e alertas para melhor automação.

"Você responderia rapidamente quais versões de software suas estações / servidores estão utilizando? E quais portas estão em escuta? Ou Últimos usuários ou softwares recentemente adicionados a máquina? Pensando neste ponto cego existente na grande maioria das organizações, vamos apresentar o projeto OSQuery criado pelo facebook, e sua integração com a Elastic Stack, aumentando assim a visibilidade dos seus dispositivos, ajudando assim seus analistas terem respostas quase imediatas sobre qualquer pergunta relacionada aos dispositivos bem como dashboards e alertas para um monitoramento proativo."

Para resumir, o OSQuery permite realizar consultas(queries) no seu sistema operacional e de tudo que tem nele (softwares, registros, configurações, patches, portas em escuta, processos rodando entre diversas outras coisas). Os resultados aparecem divididos em tabelas tal qual ocorre nos bancos de dados SQL. A enorme gama de consultas e as combinações de queries com join, sort, etc... permitem obter informações detalhadas de cada endpoint, quase que instantaneamente. O que é perfeito para threat hunting em endpoints.

OSQuery é, como quase tudo que utilizamos, um software opensource, criado e mantido por engenheiros do Facebook. Um dos pontos interessantes é que ele é multiplataforma com suporte para Windows, Mac, Linux e FreeBSD.

Com intuito de um compartilhamento inicial sobre o assunto, abaixo estão os slides e demos que utilizamos, onde cobrimos tópicos como:

- osqueryi
- queries
- distributed queries
- discovery queries
- schedule / packs
- FIM (file integrity monitoring)
- Process Events
- kolide fleet
- elastic stack



Segue as duas demos com na narração meio gripada =)

osqueryi



Kolide Fleet



Pretendemos fazer posts mais específicos com os assuntos, bem como queries interessantes, monitoramentos de ameaças de momento, dicas e resolução de problemas. Adicionaremos o osquery também nos cursos de defesa do BlueOps pois o conteúdo oferecido pela ferramenta agrega valores em diversas grades dos treinamentos.

Happy Detection!

 Blue Team Operations (BlueOps)
Postado por às Nenhum comentário:
Marcadores: , , , , , ,

quinta-feira, 10 de agosto de 2017

Bem vindos ao Threat Hunter Brasil



Como muitos sabem o mercado de defesa é uma área totalmente carente e sem o glamour do lado ofensivo. Com base nisso, notamos que a grande maioria dos cursos sempre visam o lado ofensivo com teste de invasão em suas diversas granularidades e opções.

A idéia do Threat Hunter Brasil é tentar diminuir essa falta de informações na área defensiva, compartilhando informações desde a base da segurança como assuntos avançados. Dentre os tópicos podemos citar:

- Protocolos

- Sistemas de proteções
   - NIDS ( Sistema detecção de intrusos de rede)
   - HIDS ( Sistema de detecção de intrusos de host)
   - WAF (Web Application Firewall)
   - VA/VS (Vulnerability Assessment / Scanning)
 
- Hardening  

- Threat Intel

- SIEM
   - Elastic Stack
   - Splunk
   - AlienVault

- Análise de eventos
   - EventID
   - Sysmon
   - Audit Linux

- Threat Hunting

- Arquitetura de Segurança

- Honeypot ou Deception tools

- Análise malwares
 

Os meios que provavelmente divulgaremos as informações serão:

- Palestras em Eventos Nacionais / Internacionais
- Postagens com assuntos do nosso dia a dia
- Cursos especializados na área defensiva, criando uma "carreira defensiva".
- Webinar e podcasts
- Artigos

Em resumo acreditamos que um sistema de monitoramento e detecção de intrusos eficiente se baseiam no seguinte fluxo :


- Entender a superfície de ataque, sendo que para isso precisamos: Critical Security Control (CSC) 1 e 2 pelo menos (inventários hardware e software), a arquitetura de rede e caminho até seus ativos  e uma análise de riscos, justamente para saber quais os pontos principais a serem protegidos.

- Com base nessa tríade, escolhemos as fontes de dados, seja para monitoramento ativo, threat hunting ou resposta a futuros incidentes.

- Após as fontes, vamos enriquecer os dados para gerar alertas com contextos, porém já armazenando as infos.

A base desse blog sempre será conteúdos de profissionais para profissionais, utlizando esse mindset citado acima e uma equipe inicial constituída de profissionais trabalhando diversos setores e resolvendo tipo de incidentes dos mais variados.

Aproveitando estamos em construção de vários treinamentos na carreira de Defesa, no menu ao lado já poderá ver alguns conteúdo que serão ministrados possivelmente em formato EaD em breve.

Siga nosso blog e Happy Hunting!



Postado por às 4 comentários:
Marcadores: , , , , , , , ,
Assinar: Postagens (Atom)