Detecção de Tentativa de Hackeamento de Host Usando ELK

Tutoriais
ElasticSearch Kibana

O que é SIEM?

SIEM é a sigla para Security Information and Event Management. Trata-se de uma solução de software que fornece análise em tempo real de alertas de segurança gerados por hardware de rede e aplicativos. O SIEM coleta dados de log de múltiplas fontes, como dispositivos de rede, servidores e aplicativos, e então correlaciona e analisa esses dados para identificar ameaças de segurança.

O SIEM pode ajudar as organizações a melhorar sua postura de segurança ao fornecer uma visão centralizada de eventos de segurança em toda a infraestrutura de TI. Permite que analistas de segurança identifiquem rapidamente e respondam a incidentes de segurança e forneça relatórios detalhados para fins de conformidade.

Alguns dos principais recursos das soluções SIEM incluem:

  1. Coleta e análise de logs
  2. Correlação e alerta de eventos em tempo real
  3. Análise de comportamento de usuários e entidades
  4. Integração de inteligência de ameaças
  5. Relatórios de conformidade

O SIEM é frequentemente usado em conjunto com outras soluções de segurança, como firewalls, sistemas de detecção de intrusões e software antivírus, para fornecer monitoramento abrangente de segurança e capacidades de resposta a incidentes.

O que é ELK?

ELK é um acrônimo para um conjunto de ferramentas de software livre usadas para gerenciamento e análise de logs: Elasticsearch, Logstash e Kibana.

O Elasticsearch é um motor de busca e análise distribuída que oferece uma pesquisa rápida e armazenamento eficiente de grandes volumes de dados. Projetado para ser escalável, pode lidar com um grande número de consultas e operações de indexação em tempo real.

O Logstash é uma ferramenta de coleta e processamento de dados que permite coletar logs e outros dados de múltiplas fontes, como arquivos de log, syslog e outras fontes de dados, e transformar e enriquecer os dados antes de enviá-los ao Elasticsearch.

O Kibana é uma interface web que permite visualizar e analisar dados armazenados no Elasticsearch. Oferece uma variedade de visualizações interativas, como gráficos de linha, gráficos de barras e mapas de calor, bem como recursos como painéis e alertas.

Juntos, estas três ferramentas formam uma plataforma poderosa para gerenciar e analisar logs e outros tipos de dados, comumente referida como o stack ELK ou Elastic stack. O stack ELK é amplamente utilizado em operações de TI, monitoramento de segurança e análise de negócios para obter insights a partir de grandes quantidades de dados.

Ingestão de Dados SIEM para o ELK

Ingerir dados SIEM no stack ELK pode ser útil para organizações que desejam combinar as capacidades de gerenciamento de eventos de segurança do SIEM com os recursos de gerenciamento e análise de logs do ELK.

Aqui estão os passos de alto nível para ingerir dados SIEM no ELK:

  1. Configure o SIEM para enviar dados de log ao Logstash, que faz parte do stack ELK.
  2. Crie um arquivo de configuração do Logstash que defina a entrada, filtros e saída para os dados do SIEM.
  3. Inicie o Logstash e verifique se ele está recebendo e processando os dados do SIEM corretamente.
  4. Configure o Elasticsearch para receber e armazenar os dados do SIEM.
  5. Crie visualizações e painéis do Kibana para exibir os dados do SIEM.

Aqui está um exemplo de um arquivo de configuração do Logstash que recebe mensagens Syslog de um SIEM e as envia para o Elasticsearch:

Python

  

	input {
	  syslog {
	    type => "syslog"
	    port => 5514
	  }
	}
	filter {
	  if [type] == "syslog" {
	    grok {
	      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
	      add_field => [ "received_at", "%{@timestamp}" ]
	      add_field => [ "received_from", "%{host}" ]
	    }
	  }
	}
	
	output {
	  elasticsearch {
	    hosts => ["localhost:9200"]
	    index => "siem"
	  }
}

Uma vez que o Logstash esteja configurado e em execução, os dados do SIEM serão ingeridos no Elasticsearch e podem ser visualizados e analisados no Kibana. É importante garantir que as medidas de segurança apropriadas estejam em vigor para proteger o ambiente do SIEM e do ELK, e para monitorar e alertar sobre quaisquer eventos de segurança.

Detecção de Tentativa de Hackear Host

Detectar tentativas de hackear hosts usando SIEM no ELK envolve monitorar e analisar logs de sistema e tráfego de rede para identificar atividade suspeita que pode indicar uma tentativa de invasão. Aqui estão as etapas de alto nível para configurar a detecção de tentativas de invasão de host usando SIEM no ELK:

  • Configure os hosts para enviar logs de sistema e tráfego de rede para um sistema central de coleta de logs.
  • Configure o Logstash para receber e analisar os dados de logs e tráfego de rede dos hosts.
  • Configure o Elasticsearch para armazenar os dados de logs analisados.
  • Use o Kibana para analisar os dados de logs e criar painéis e alertas para identificar potenciais tentativas de invasão.

Aqui estão algumas técnicas específicas que podem ser usadas para detectar tentativas de invasão de host:

  • Monitorar tentativas de login falhas: Procure tentativas repetidas de login falhas de um único endereço IP, que podem indicar um ataque de força bruta. Utilize o Logstash para analisar os logs do sistema para eventos de login falhos e crie um painel ou alerta no Kibana para monitorar tentativas excessivas de login falho.
  • Monitorar tráfego de rede suspeito: Procure tráfego de rede para ou proveniente de endereços IP ou domínios conhecidos como maliciosos. Utilize o Logstash para analisar dados de tráfego de rede e crie um painel ou alerta no Kibana para monitorar padrões de tráfego suspeitos.
  • Monitorar alterações no sistema de arquivos: Procure alterações não autorizadas em arquivos ou configurações do sistema. Utilize o Logstash para analisar eventos de alteração no sistema de arquivos e crie um painel ou alerta no Kibana para monitorar alterações não autorizadas.
  • Monitorar atividade de processos suspeita: Procure processos que estão sendo executados com privilégios elevados ou que estão realizando ações incomuns. Utilize o Logstash para analisar eventos de processos e crie um painel ou alerta no Kibana para monitorar atividade de processos suspeita.

Ao implementar essas técnicas e monitorar regularmente os logs e o tráfego de rede, as organizações podem melhorar sua capacidade de detectar e responder a tentativas de invasão de host usando SIEM no ELK.

Configurar Alert no ELK para Detectar Tentativa de Invasão de Host

Para configurar um alerta no ELK para detectar uma tentativa de invasão de host, você pode seguir estes passos gerais:

  • Crie uma consulta de pesquisa no Kibana que filtre logs para eventos de Tentativa de Invasão de Host. Por exemplo, você pode usar a seguinte consulta de pesquisa para detectar tentativas de login falhas:
Python

  

from elasticsearch import Elasticsearch

es = Elasticsearch()

search_query = {
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "event.dataset": "auth"
          }
        },
        {
          "match": {
            "event.action": "failed_login"
          }
        }
      ]
    }
  }
}

res = es.search(index="siem", body=search_query)

for hit in res['hits']['hits']:
    print(hit['_source'])
  • Após criar sua consulta de pesquisa, salve-a como uma pesquisa salva no Kibana.
  • Vá para a interface de Alertas e Ações do Kibana e crie um novo alerta. Escolha a pesquisa salva que você criou no passo 2 como base para o alerta.
  • Graphical user interface, application Description automatically generated 
  • Configure o alerta para ser acionado quando um determinado limite for atingido. Por exemplo, você pode configurar o alerta para ser acionado quando houver mais de 5 tentativas de login com falha dentro de uma janela de 5 minutos.
  • Configure o alerta para enviar uma notificação, como um email ou mensagem no Slack, quando ele for acionado.
  • Teste o alerta para garantir que ele está funcionando conforme o esperado.

Uma vez configurado o alerta, ele será acionado automaticamente quando detectar um evento de tentativa de invasão de host, como uma tentativa de login com falha. Isso pode ajudar as organizações a detectar e responder a ameaças de segurança de forma eficiente e eficaz. É importante revisar e atualizar regularmente seus alertas para garantir que eles estejam detectando os eventos de segurança mais relevantes e importantes.

Conclusão

Usar o ELK para detectar tentativas de invasão de host é uma abordagem eficaz para melhorar a postura de segurança de uma organização. O ELK oferece uma combinação poderosa de coleta de logs, análise, armazenamento, análise e capacidades de alerta, o que permite que as organizações detectem e respondam a tentativas de invasão de host em tempo real.

Ao monitorar logs do sistema e tráfego de rede, e usando consultas de pesquisa avançadas e mecanismos de alerta, o ELK pode ajudar as organizações a detectar uma ampla gama de tentativas de invasão de host, incluindo tentativas de login com falha, tráfego de rede suspeito, alterações no sistema de arquivos e atividade de processos suspeitos.

Implementar uma estratégia robusta de detecção de tentativas de invasão em hosts usando o ELK requer planejamento cuidadoso, configuração e testes. No entanto, com a expertise e ferramentas adequadas, as organizações podem criar um sistema abrangente de monitoramento de segurança que ofereça visibilidade em tempo real em sua rede, melhore os tempos de resposta a incidentes e ajude a prevenir violações de segurança antes que ocorram.

Source:
https://dzone.com/articles/host-hack-attempt-detection-using-elk