Rocking your Windows Events with Elastic stack

Propaganda
Rocking your Windows Events
with Elastic stack
Rodrigo Montoro
Pesquisador / Security Operations Center (SOC)
[email protected]
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
# whoami
• Security Researcher (Octopus SIEM LABS)
• Author of 2 patents method to detect malware
• Logging and pcap addicted
• Dad
• Triathlete / Trail Runner
• Beer lover
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Agenda
• Motivation
• Windows Events
• Elastic stack
• Demonstrations
• Conclusions
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Motivation
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Windows Events
• 9 categories
• 50+ subcategories
• Hundreds differents Event IDs and fields
• Differences between Windows Versions
• Limit 300MB before erase old entries
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Elastic Stack (former ELK)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
How it works together ?
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Winlogbeats
• Open source
• Monitor Windows Events
• Applications
• Security
• System
• Hardware
• Encrypted communication
• Easy to install
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash (1/2)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash (2/2)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash filters
● grok
● cidr
● geoip
● mutate
● date
● xml
● cipher
● json
● translate/dict
● drop
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Pro TIP!
• global.ip
• global.workstation
• global.username
• global.something
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash config sample
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch (1/2)
• Open source, distributed, full text search engine
• Based on Apache License
• Rapid access to information
• Stores data as structured JSON documents
• Supports single system OR multi-node clusters
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch (2/2)
• Easy to set up and scale – just add more nodes
• Provides a RESTful API
• Easy to create snapshots / backups
• INSECURE by default
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana
• Discovery
• Filters
• Analysis
• Visualization
• Improving analysis
• Creating visual response
• Dashboards
• Plugins
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana Overview (demo)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Python API
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
API Search sample
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Demonstrations
• Kibana Overview
• Python API
• Confidential file access
• RDP access from not allowed user
• Threat Intel correlation
• TopX per field
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Conclusions
• Explore and understand all eventids and their fields
• Be ready for forensics situation
• Understand threat you are facing so you could "script"
• Generate proactive alerts using Python API
• Check new detections against old events
• Make sure about Elastic stack hardening
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Thank you!!!
[email protected]
@spookerlabs / @ClavisSecurity
Rodrigo “Sp0oKeR” Montoro
Researcher / Security Operations Center (SOC)
Copyright © 2016 Clavis Segurança da Informação. Todos os direitos reservados.
Download
Random flashcards
paulo

2 Cartões paulonetgbi

Anamnese

2 Cartões oauth2_google_3d715a2d-c2e6-4bfb-b64e-c9a45261b2b4

A Jornada do Herói

6 Cartões filipe.donner

Estudo Duda✨

5 Cartões oauth2_google_f1dd3b00-71ac-4806-b90b-c8cd7d861ecc

Matemática

2 Cartões Elma gomes

Criar flashcards