#################################################################### Taller: CERT/CSIRT's tools : Con las manos en la masa Ponentes: Borja Guaita, Alex Gimenez y Jordi Guijarro. Resumen: La comunidad CERT/CSIRT no solo se caracteriza por la alta cooperación entre equipos de respuesta frente a incidentes sino también por participación de proyectos internacionales y el desarrollo de herramientas abiertas en el ámbito de la cyberseguridad. Descarga la imagen de disco con todo lo necesario para la realización del taller (VirtualBox): ftp://ftp.csuc.cat/NCN/csirt-tools.zip Material previo que puede resultar interesante consultar: CERT/CSIRT - What is it all about? https://www.enisa.europa.eu/activities/cert Common tools for CERTs - https://www.enisa.europa.eu/activities/cert/support/chiht ####################################################################
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Taller: CERT/CSIRT's tools : Con las manos en la masa
Ponentes: Borja Guaita, Alex Gimenez y Jordi Guijarro.
Resumen: La comunidad CERT/CSIRT no solo se caracteriza por la alta cooperaciónentre equipos de respuesta frente a incidentes sino también por participación de proyectosinternacionales y el desarrollo de herramientas abiertas en el ámbito de la cyberseguridad. Descarga la imagen de disco con todo lo necesario para la realización del taller (VirtualBox):
ftp://ftp.csuc.cat/NCN/csirt-tools.zip
Material previo que puede resultar interesante consultar:
CERT/CSIRT - What is it all about? https://www.enisa.europa.eu/activities/certCommon tools for CERTs - https://www.enisa.europa.eu/activities/cert/support/chiht
CSUC-CSIRTEcosistema de herramientasEcosistema de herramientas Gestión de incidentes con RTIRTratamiento de feeds con INTELMQNetwork Forensics y la pareja
NFDUMP/NFSENQ&A
New Catalan Universities services consortium (formerly known as CESCA)
Acceso a la gestión de las colas mediante permisos de usuarios i/o grupos
Funcionalidades extra mediante ”plugins”
Otras características: Campos y estructura personalizables Base de datos de conocimientos Detección automática de IPs y dominos con enlace
a las herramientas asociadas Creación de reports Open source
Ciclo de un incidente: Normalmente empezaría con una o varias
peticiones de incidente mediante llamada telefónica, correo, web, etc. en la cola ”Incident Report”
Una vez recibidos las peticiones de incidentes el equipo gestionará y clasificará estos en la cola ”Incidents”.
Tenemos la opción de crear un incidente a partir de una o varias peticiones.
A partir de aquí se valorará si abrir una investigación (cola ”Investigatios”)
Por último se puede crear una petición de bloqueo de IPs. Esto se realizaria en la cola ”Blocks”
Links: http://bestpractical.com/rtir
IntelMQ & IntelMQ Manager
IntelMQ = Thread Intel feeds + Message Queueing system
Herramienta orientada a: Recolección automática de eventos/incidentes Procesamiento de los eventos Envio de los resultados en diferentes formatos de
salida.
Basado en colas (Message Queues), redis, RabbitMQ, zmq
Fácil de configurar y modificar (python) Configuración mediante GUI (IntelMQ Manager) Ofrece una forma fácil de enviar los datos hacia
recolectores de logs tipo Splunk, ElastiSearch o bases de datos.
OpenSource
Click to add Title
Estructura de IntelMQ Bots individuales para cada tarea Ficheros de configuración:
runtime.conf: Parámetros de los bots startup.conf: Bots configurados en el arranque BOTS: Plantillas de todos los bots pipeline.conf: Describe como estan
interconectados los bots
Outputs: Splunk, ElasticSearch, PostgreSQL, MongoDB, fichero de texto...
IntelMQ Dataflow:
Añadiendo mejoras a los resultados (Expert bots)
ASN lookup Abuse contact Whois Deduplicación y filtros GeoIP DNS lookups
SMARTxAC is the collaboration between UPC BarcelonaTech (CCABA) and CSUC
L7 'space' (Apps Universe)
¿Qué es?
Es una interfaz gráfica para NFDUMP
NFDUMP: conjunto de herramientas para recopilar y procesar datos de nuestros equipos, mayoritariamente mediante los protocolos NetFlow y Sflow en línea de comandos. Parte del proyecto NfSen.
Distribuido bajo licencia BSD.
http://nfsen.sourceforge.net/
NFSEN
¿Qué nos permite?
-Navegar con facilidad por los datos proporcionados por nuestros equipos.
-Procesar los datos dentro de una ventana de tiempo.
-Crear archivos históricos y perfiles continuos.
-Configurar alertas basadas en ciertas condiciones.
-Escribir sus plugins propios para procesar los flujos cada cierto tiempo.
NFSEN
nfcapd - netflow capture daemon. Reads the netflow data from the network and stores the data into files.
nfdump - netflow dump.Reads the netflow data from the files stored by nfcapd
NFSEN - Arquitectura
NFSEN
NFSEN - Timeslot 2 semanas:
NFSEN - Stat TopN “proto udp”
NFSEN – Para qué lo podemos utilizar????
- para conocer qué tráfico y qué nodos estaban activos en un momento específico o en una ventana de tiempo.
- para ver el tráfico de entrada/salida entre AS, tráfico entre IPs o puertos fuente/destino
- identificar los protocolos más usados
En base a ésto podremos tomar decisiones.
NFSEN – Lab
- Para probar NFSEN podemos generar tráfico mediante “fprobe”: