Detecção de Tentativa de Hackeamento de Host Usando ELK

Tutoriais
ElasticSearch Kibana

O que é SIEM?

SIEM é a sigla para Security Information and Event Management. Trata-se de uma solução de software que fornece análise em tempo real de alertas de segurança gerados por hardware de rede e aplicativos. O SIEM coleta dados de log de várias fontes, como dispositivos de rede, servidores e aplicativos, e então correlaciona e analisa esses dados para identificar ameaças de segurança.

O SIEM pode ajudar organizações a melhorar sua postura de segurança ao oferecer uma visão centralizada de eventos de segurança em toda a infraestrutura de TI. Permite que analistas de segurança identifiquem rapidamente e respondam a incidentes de segurança e fornece relatórios detalhados para fins de conformidade.

Alguns dos principais recursos das soluções SIEM incluem:

  1. Coleta e análise de logs
  2. Correlação e alerta de eventos em tempo real
  3. Análise de comportamento de usuários e entidades
  4. Integração de inteligência de ameaças
  5. Relatórios de conformidade

O SIEM é frequentemente usado em conjunto com outras soluções de segurança, como firewalls, sistemas de detecção de intrusões e software antivírus, para fornecer monitoramento abrangente de segurança e capacidades de resposta a incidentes.

O que é ELK?

ELK é um acrônimo para um conjunto de ferramentas de software de código aberto usadas para gerenciamento e análise de logs: Elasticsearch, Logstash e Kibana.

O Elasticsearch é um motor de busca e análise distribuído que fornece uma pesquisa rápida e armazenamento eficiente de grandes volumes de dados. Ele é projetado para ser escalável e pode lidar com um grande número de consultas e operações de indexação em tempo real.

O Logstash é uma ferramenta de coleta e processamento de dados que permite coletar logs e outros dados de múltiplas fontes, como arquivos de log, syslog e outras fontes de dados, e transformar e enriquecer os dados antes de enviá-los ao Elasticsearch.

O Kibana é uma interface web que permite visualizar e analisar dados armazenados no Elasticsearch. Ele fornece uma variedade de visualizações interativas, como gráficos de linha, gráficos de barras e mapas de calor, bem como recursos como painéis e alertas.

Juntos, essas três ferramentas formam uma plataforma poderosa para gerenciar e analisar logs e outros tipos de dados, comumente referida como a pilha ELK ou pilha Elastic. A pilha ELK é amplamente utilizada em operações de TI, monitoramento de segurança e análise de negócios para obter insights a partir de grandes quantidades de dados.

Ingestão de Dados SIEM para ELK

A ingestão de dados SIEM na pilha ELK pode ser útil para organizações que desejam combinar as capacidades de gerenciamento de eventos de segurança do SIEM com os recursos de gerenciamento de logs e análise do ELK.

Aqui estão os passos de alto nível para ingerir dados SIEM no ELK:

  1. Configure o SIEM para enviar dados de log ao Logstash, que faz parte da pilha ELK.
  2. Crie um arquivo de configuração do Logstash que defina a entrada, filtros e saída para os dados do SIEM.
  3. Inicie o Logstash e verifique se ele está recebendo e processando corretamente os dados do SIEM.
  4. Configure o Elasticsearch para receber e armazenar os dados do SIEM.
  5. Crie visualizações e painéis do Kibana para exibir os dados do SIEM.

Aqui está um exemplo de um arquivo de configuração do Logstash que recebe mensagens Syslog de um SIEM e as envia para o Elasticsearch:

Python

  

	input {
	  syslog {
	    type => "syslog"
	    port => 5514
	  }
	}
	filter {
	  if [type] == "syslog" {
	    grok {
	      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
	      add_field => [ "received_at", "%{@timestamp}" ]
	      add_field => [ "received_from", "%{host}" ]
	    }
	  }
	}
	
	output {
	  elasticsearch {
	    hosts => ["localhost:9200"]
	    index => "siem"
	  }
}

Após configurar e executar o Logstash, os dados do SIEM serão ingeridos no Elasticsearch e podem ser visualizados e analisados no Kibana. É importante garantir que as medidas de segurança adequadas estejam em vigor para proteger os ambientes do SIEM e do ELK, e monitorar e alertar sobre quaisquer eventos de segurança.

Detecção de Tentativa de Hackeamento de Host

Detectar tentativas de hackeamento de host usando o SIEM no ELK envolve monitorar e analisar logs de sistema e tráfego de rede para identificar atividade suspeita que pode indicar uma tentativa de hackeamento. Aqui estão as etapas de alto nível para configurar a detecção de tentativas de hackeamento de host usando o SIEM no ELK:

  • Configure os hosts para enviar logs de sistema e tráfego de rede para um sistema centralizado de coleta de logs.
  • Configure o Logstash para receber e analisar os dados de logs e tráfego de rede dos hosts.
  • Configure o Elasticsearch para armazenar os dados de log analisados.
  • Use o Kibana para analisar os dados de log e criar painéis e alertas para identificar possíveis tentativas de hackeamento.

Aqui estão algumas técnicas específicas que podem ser usadas para detectar tentativas de hackeamento de host:

  • Monitorar tentativas de login falhas: Procure tentativas repetidas de login falhas a partir de um único endereço IP, o que pode indicar um ataque de força bruta. Utilize o Logstash para analisar os logs do sistema em busca de eventos de login falho e crie um painel ou alerta no Kibana para monitorar tentativas excessivas de login falho.
  • Monitorar tráfego de rede suspeito: Procure tráfego de rede para ou a partir de endereços IP ou domínios conhecidos como maliciosos. Utilize o Logstash para analisar dados de tráfego de rede e crie um painel ou alerta no Kibana para monitorar padrões de tráfego suspeitos.
  • Monitorar alterações no sistema de arquivos: Procure alterações não autorizadas em arquivos ou configurações do sistema. Utilize o Logstash para analisar eventos de alteração no sistema de arquivos e crie um painel ou alerta no Kibana para monitorar alterações não autorizadas.
  • Monitorar atividade de processos suspeitos: Procure processos que estejam sendo executados com privilégios elevados ou que estejam realizando ações incomuns. Utilize o Logstash para analisar eventos de processos e crie um painel ou alerta no Kibana para monitorar atividade de processos suspeitos.

Ao implementar essas técnicas e monitorar regularmente os logs e o tráfego de rede, as organizações podem melhorar sua capacidade de detectar e responder a tentativas de invasão de host usando SIEM no ELK.

Configurar Alert no ELK para Detectar Tentativa de Invasão de Host

Para configurar um alerta no ELK para detectar uma tentativa de invasão de host, você pode seguir estes passos gerais:

  • Crie uma consulta de pesquisa no Kibana que filtre logs para eventos de Tentativa de Invasão de Host. Por exemplo, você pode usar a seguinte consulta de pesquisa para detectar tentativas de login falho:
Python

  

from elasticsearch import Elasticsearch

es = Elasticsearch()

search_query = {
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "event.dataset": "auth"
          }
        },
        {
          "match": {
            "event.action": "failed_login"
          }
        }
      ]
    }
  }
}

res = es.search(index="siem", body=search_query)

for hit in res['hits']['hits']:
    print(hit['_source'])
  • Após criar sua consulta de pesquisa, salve-a como uma pesquisa salva no Kibana.
  • Vá para a interface de Alertas e Ações do Kibana e crie um novo alerta. Escolha a pesquisa salva que você criou no passo 2 como base para o alerta.
  • Graphical user interface, application Description automatically generated 
  • Configure o alerta para ser disparado quando uma certa threshold for atingida. Por exemplo, você pode configurar o alerta para disparar quando houver mais de 5 tentativas de login falhas dentro de uma janela de 5 minutos.
  • Configure o alerta para enviar uma notificação, como um email ou mensagem no Slack, quando ele for disparado.
  • Teste o alerta para garantir que ele está funcionando conforme o esperado.

Uma vez configurado, o alerta será disparado automaticamente quando detectar um evento de Tentativa de Hackear Host, como uma tentativa de login falha. Isso pode ajudar as organizações a detectar e responder a ameaças de segurança de forma eficiente e eficaz. É importante revisar e atualizar regularmente seus alertas para garantir que eles estejam detectando os eventos de segurança mais relevantes e importantes.

Conclusão

Usar o ELK para detectar tentativas de hackear hosts é uma abordagem eficaz para melhorar a postura de segurança de uma organização. O ELK oferece uma combinação poderosa de coleta de logs, análise, armazenamento, análise e capacidades de alerta, que permitem que as organizações detectem e respondam a tentativas de hackear hosts em tempo real.

Ao monitorar logs de sistemas e tráfego de rede, e usando consultas de pesquisa avançadas e mecanismos de alerta, o ELK pode ajudar as organizações a detectar uma ampla gama de tentativas de hackear hosts, incluindo tentativas de login falhas, tráfego de rede suspeito, alterações no sistema de arquivos e atividade de processos suspeita.

Implementar uma estratégia robusta de detecção de tentativas de invasão em hosts usando o ELK (Elasticsearch, Logstash, Kibana) requer planejamento cuidadoso, configuração e testes. No entanto, com a expertise e ferramentas adequadas, as organizações podem criar um sistema abrangente de monitoramento de segurança que oferece visibilidade em tempo real em sua rede, melhora os tempos de resposta a incidentes e ajuda a prevenir violações de segurança antes que ocorram.

Source:
https://dzone.com/articles/host-hack-attempt-detection-using-elk