Rocking your Windows Events with Elastic stack
Propaganda
Rocking your Windows Events with Elastic stack Rodrigo Montoro Pesquisador / Security Operations Center (SOC) [email protected] Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. # whoami • Security Researcher (Octopus SIEM LABS) • Author of 2 patents method to detect malware • Logging and pcap addicted • Dad • Triathlete / Trail Runner • Beer lover Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Agenda • Motivation • Windows Events • Elastic stack • Demonstrations • Conclusions Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Motivation Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Windows Events • 9 categories • 50+ subcategories • Hundreds differents Event IDs and fields • Differences between Windows Versions • Limit 300MB before erase old entries Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Elastic Stack (former ELK) Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. How it works together ? Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Winlogbeats • Open source • Monitor Windows Events • Applications • Security • System • Hardware • Encrypted communication • Easy to install Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Logstash (1/2) Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Logstash (2/2) Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Logstash filters ● grok ● cidr ● geoip ● mutate ● date ● xml ● cipher ● json ● translate/dict ● drop Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Pro TIP! • global.ip • global.workstation • global.username • global.something Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Logstash config sample Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Elasticsearch (1/2) • Open source, distributed, full text search engine • Based on Apache License • Rapid access to information • Stores data as structured JSON documents • Supports single system OR multi-node clusters Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Elasticsearch (2/2) • Easy to set up and scale – just add more nodes • Provides a RESTful API • Easy to create snapshots / backups • INSECURE by default Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Kibana • Discovery • Filters • Analysis • Visualization • Improving analysis • Creating visual response • Dashboards • Plugins Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Kibana Overview (demo) Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Python API Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. API Search sample Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Demonstrations • Kibana Overview • Python API • Confidential file access • RDP access from not allowed user • Threat Intel correlation • TopX per field Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Conclusions • Explore and understand all eventids and their fields • Be ready for forensics situation • Understand threat you are facing so you could "script" • Generate proactive alerts using Python API • Check new detections against old events • Make sure about Elastic stack hardening Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados. Thank you!!! [email protected] @spookerlabs / @ClavisSecurity Rodrigo “Sp0oKeR” Montoro Researcher / Security Operations Center (SOC) Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
