Detección de Intentos de Hackeo con ELK

¿Qué es SIEM?

SIEM es la abreviatura de Security Information and Event Management. Se trata de una solución de software que proporciona análisis en tiempo real de alertas de seguridad generadas por hardware de red y aplicaciones. SIEM recopila datos de registro de múltiples fuentes como dispositivos de red, servidores y aplicaciones, y luego correlaciona y analiza estos datos para identificar amenazas de seguridad.

SIEM puede ayudar a las organizaciones a mejorar su postura de seguridad al proporcionar una vista centralizada de eventos de seguridad en toda la infraestructura de TI. Permite a los analistas de seguridad identificar y responder rápidamente a incidentes de seguridad y proporciona informes detallados para fines de cumplimiento.

Algunas de las características clave de las soluciones SIEM incluyen:

1. Recopilación y análisis de registros
2. Correlación y alerta de eventos en tiempo real
3. Análisis de comportamiento de usuarios y entidades
4. Integración de inteligencia de amenazas
5. Informes de cumplimiento

SIEM se utiliza a menudo en conjunto con otras soluciones de seguridad, como firewalls, sistemas de detección de intrusiones y software antivirus, para proporcionar capacidades de monitoreo de seguridad y respuesta a incidentes.

¿Qué es ELK?

ELK es un acrónimo para un conjunto de herramientas de software de código abierto utilizadas para el manejo y análisis de registros: Elasticsearch, Logstash y Kibana.

Elasticsearch es un motor de búsqueda y análisis distribuido que proporciona una búsqueda rápida y un almacenamiento eficiente de grandes volúmenes de datos. Está diseñado para ser escalable y puede manejar un gran número de consultas e indexaciones en tiempo real.

Logstash es una herramienta de recopilación y procesamiento de datos que te permite recopilar registros y otros datos de múltiples fuentes, como archivos de registro, syslog y otras fuentes de datos, y transformar y enriquecer los datos antes de enviarlos a Elasticsearch.

Kibana es una interfaz de usuario basada en web que te permite visualizar y analizar datos almacenados en Elasticsearch. Proporciona una gama de visualizaciones interactivas, como gráficos de líneas, gráficos de barras y mapas de calor, así como funciones como paneles y alertas.

Juntos, estas tres herramientas forman una plataforma poderosa para gestionar y analizar registros y otros tipos de datos, comúnmente conocida como la pila ELK o pila Elastic. La pila ELK se utiliza ampliamente en operaciones de TI, monitoreo de seguridad y análisis de negocios para obtener información de grandes cantidades de datos.

Ingesta de datos de SIEM en ELK

Ingerir datos de SIEM en la pila ELK puede ser útil para las organizaciones que deseen combinar las capacidades de gestión de eventos de seguridad de SIEM con las características de gestión de registros y análisis de ELK.

A continuación, se presentan los pasos de alto nivel para ingerir datos de SIEM en ELK:

1. Configura el SIEM para enviar datos de registro a Logstash, que es parte de la pila ELK.
2. Crear un archivo de configuración de Logstash que defina la entrada, los filtros y la salida para los datos del SIEM.
3. Iniciar Logstash y verificar que está recibiendo y procesando correctamente los datos del SIEM.
4. Configurar Elasticsearch para recibir y almacenar los datos del SIEM.
5. Crear visualizaciones y paneles de Kibana para mostrar los datos del SIEM.

Aquí hay un ejemplo de un archivo de configuración de Logstash que recibe mensajes Syslog de un SIEM y los envía a Elasticsearch:

	input {
	  syslog {
	    type => "syslog"
	    port => 5514
	  }
	}
	filter {
	  if [type] == "syslog" {
	    grok {
	      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
	      add_field => [ "received_at", "%{@timestamp}" ]
	      add_field => [ "received_from", "%{host}" ]
	    }
	  }
	}
	
	output {
	  elasticsearch {
	    hosts => ["localhost:9200"]
	    index => "siem"
	  }
}

Una vez que Logstash está configurado y en ejecución, los datos del SIEM se ingerirán en Elasticsearch y se podrán visualizar y analizar en Kibana. Es importante asegurarse de que se tengan las medidas de seguridad adecuadas para proteger el entorno del SIEM y ELK, y para monitorear y alertar sobre cualquier evento de seguridad.

Detectar Intento de Hackeo de Host

Detectar intentos de hackeo de host utilizando SIEM en ELK implica monitorear y analizar los registros del sistema y el tráfico de red para identificar actividad sospechosa que pueda indicar un intento de hackeo. Aquí están los pasos generales para configurar la detección de intentos de hackeo de host utilizando SIEM en ELK:

• Configurar los hosts para enviar registros del sistema y tráfico de red a un sistema centralizado de recopilación de logs.
• Configurar Logstash para recibir y analizar los datos de logs y tráfico de red de los hosts.
• Configurar Elasticsearch para almacenar los datos de logs analizados.
• Utilizar Kibana para analizar los datos de logs y crear paneles y alertas para identificar posibles intentos de hackeo.

Aquí hay algunas técnicas específicas que se pueden utilizar para detectar intentos de hackeo de host:

• Monitorear intentos fallidos de inicio de sesión: Buscar intentos fallidos repetidos de inicio de sesión desde una misma dirección IP, lo que podría indicar un ataque de fuerza bruta. Utilizar Logstash para analizar los registros del sistema en busca de eventos de inicio de sesión fallidos y crear un panel de control o alerta en Kibana para monitorear los intentos excesivos de inicio de sesión fallidos.
• Monitorear tráfico de red sospechoso: Buscar tráfico de red hacia o desde direcciones IP o dominios conocidos como maliciosos. Utilizar Logstash para analizar los datos de tráfico de red y crear un panel de control o alerta en Kibana para monitorear patrones de tráfico sospechosos.
• Monitorear cambios en el sistema de archivos: Buscar cambios no autorizados en archivos o configuraciones del sistema. Utilizar Logstash para analizar eventos de cambios en el sistema de archivos y crear un panel de control o alerta en Kibana para monitorear cambios no autorizados.
• Monitorear actividad de procesos sospechosos: Buscar procesos que se estén ejecutando con privilegios elevados o que estén realizando acciones inusuales. Utilizar Logstash para analizar eventos de procesos y crear un panel de control o alerta en Kibana para monitorear actividad de procesos sospechosos.

Al implementar estas técnicas y monitorear regularmente los registros y el tráfico de red, las organizaciones pueden mejorar su capacidad para detectar y responder a intentos de hackeo de hosts utilizando SIEM en ELK.

Configurar Alerta en ELK para Detectar Intento de Hackeo de Host

Para configurar una alerta en ELK para detectar un intento de hackeo de host, puede seguir estos pasos generales:

• Crear una consulta de búsqueda en Kibana que filtre los registros para eventos de Intento de Hackeo de Host. Por ejemplo, puede utilizar la siguiente consulta de búsqueda para detectar intentos fallidos de inicio de sesión:

from elasticsearch import Elasticsearch

es = Elasticsearch()

search_query = {
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "event.dataset": "auth"
          }
        },
        {
          "match": {
            "event.action": "failed_login"
          }
        }
      ]
    }
  }
}

res = es.search(index="siem", body=search_query)

for hit in res['hits']['hits']:
    print(hit['_source'])

• Una vez que haya creado su consulta de búsqueda, guárdela como una búsqueda guardada en Kibana.
• Dirígete a la interfaz de Alertas y Acciones de Kibana e introduce una nueva alerta. Elige la búsqueda guardada que creaste en el paso 2 como base para la alerta.

• Configura la alerta para que se active cuando se cumpla un cierto umbral. Por ejemplo, puedes configurar la alerta para que se active cuando haya más de 5 intentos fallidos de inicio de sesión dentro de una ventana de 5 minutos.
• Configura la alerta para que envíe una notificación, como un correo electrónico o un mensaje de Slack, cuando se active.
• Prueba la alerta para asegurarte de que funciona como se espera.

Una vez configurada la alerta, se activará automáticamente cuando detecte un evento de intento de hackeo de host, como un intento fallido de inicio de sesión. Esto puede ayudar a las organizaciones a detectar y responder a las amenazas de seguridad de manera eficiente y efectiva. Es importante revisar y actualizar regularmente tus alertas para asegurarte de que están detectando los eventos de seguridad más relevantes e importantes.

Conclusión

El uso de ELK para detectar intentos de hackeo de host es un enfoque efectivo para mejorar la postura de seguridad de una organización. ELK ofrece una poderosa combinación de recopilación de registros, análisis, almacenamiento, análisis y capacidades de alerta, lo que permite a las organizaciones detectar y responder a intentos de hackeo de host en tiempo real.

Al monitorear los registros del sistema y el tráfico de red, y utilizando consultas de búsqueda avanzadas y mecanismos de alerta, ELK puede ayudar a las organizaciones a detectar una amplia gama de intentos de hackeo de host, incluyendo intentos fallidos de inicio de sesión, tráfico de red sospechoso, cambios en el sistema de archivos y actividad de procesos sospechosa.

Implementar una estrategia de detección de intentos de hackeo de hosts sólida mediante ELK requiere planificación cuidadosa, configuración y pruebas. Sin embargo, con la experiencia y herramientas adecuadas, las organizaciones pueden crear un sistema de monitoreo de seguridad integral que ofrezca visibilidad en tiempo real de su red, mejore los tiempos de respuesta a incidentes y ayude a prevenir las brechas de seguridad antes de que ocurran.