SlideShare una empresa de Scribd logo

Log management y SIEM

Websec México, S.C.
Websec México, S.C.
Tecnología
1 de 43
Descargar para leer sin conexión
Log crazyness
“The worst enemy of security is complexity” •  Bruce Schneier
Nuevos modelos de seguridad •  “Sexy defense” Ian Amit •  “Intrusion Detection Along the Kill Chain: Why Your Detection System Sucks and What To Do About It” John Flynn
Log??? Logs???
Importancia de…. •  “84% de los incidentes de seguridad (intrusiones exitosas) se han reflejado en los logs” * •  “Sólo el 8% de los incidentes de seguridad detectados por las empresas han sido por minar sus logs”* * [Verizon 2012]
Pwned!
Y ahora? Que hago? Cuida, quiere y “apapacha” a tus logs :)
¿Cómo?   Modelo   §  LogManagement   (Reac0vo)   —  “Jefe!  Fueron  los   hackers!”,       §  Abarca  todos  los  logs     Modelos   – SIEM    (Proac0vo)   •  “Jefe!  Hubo  intentos   de  ataque  en  X  y  Y   vector…”   •  Sólo  seguridad  
Versus
SIEM! § Security Information and Event Management § Especializado en seguridad § “Inteligente”
Lo bueno (ventajas) • Ventaja visualización de eventos (gráficas) • “Inteligencia” en la detección de eventos. • Compliance (PCI, ISO etc) / Auditoria. • Forense
Funcionamiento
Iniciemos….
Obligación del SIEM, (para llamarse así) 1. Recolección de datos 2. Normalización 3. Correlación 4. Generación y envio de informes (reportes) 5. Soporte en el flujo de seguridad en el manejo a incidentes (SOC, respuesta a incidentes)
Recolección SIEM Syslog scp/ ftp VBS/WMI
Normalización Firewall: Feb 25 12:11:24 bridge kernel: INBOUND TCP: IN=br0 PHYSIN=eth0 OUT=br0 PHYSOUT=eth1 SRC=220.228.136.38 DST=11.11.79.83 LEN=64 TOS=0x00 PREC=0x00 TTL=47 ID=17159 DF PROTO=TCP SPT=1629 DPT=139 WINDOW=44620 RES=0x00 SYN URGP=0 Time: 12:11:24 Action: Pass Src: 220.228.136.38 Dst: 11.11.79.83 Port: 139
Correlación Time: 12:11:24 Action: Block Src: w.x.y.z. Dst: a.b.c.d user: john Time: 12:12:54 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john Time: 12:14:16 Action: Pass Src: w.x.y.z. Dst: a.b.c.d user: john Time: 12:13:18 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john
Regla de oro #1: “No basarse en la tecnología, sino en la inteligencia y el pentest”
Receta 1. Que deseo resolver con el SIEM 2. Elegir el alcance de los datos a recolectar (sistemas) 3. Desarrollar la arquitectura 4. Crear un sistema de Log Management y después un SIEM J 5. Generar casos de uso del SIEM
You can't secure what you don't understand •  Bruce Schneier
Diseño •  ¿Qué deseo resolver con el SIEM? •  ¿Quienes somos? •  ¿Qué queremos asegurar?
Arquitectura
Arquitectura •  Medir los EPS •  Storage §  Definir la política de LogRetention Logs por segundo (en bytes) * 86400 = (almacenamiento día) + 25%
Arquitectura •  Hardware §  Almacenamiento de alta calidad (RPMs SAN) •  Expresiones regulares (cuidado!): Procesador y memoria RAM poderosa!
Fases de implementación • Fase 1: Crear un sistema LM § Comunicación entre dispositivos § Tiempo!
Fases de implementación • Fase 2: Llegar al SIEM como tal -Definir primeras pruebas de filtrado — Ejecutar primeros pasos de filtrado de logs –  (auténticaciones fallidas,web hacking, core dumps)
No olvidar… You can't secure what you don't understand Bruce Schneier
Casi Final! “Inteligencia” del SIEM Taxonomía Casos de uso
Casi Final! “Inteligencia” del SIEM ¿Cómo? • Vía el framework del SIEM • Todo es un evento (normalización)
Casos de uso, ejemplos: •  “Los usuarios no deben reenviar automáticamente correo fuera de la organización” Evento 1: Email de entrada, dominio del emisor es ejemplo.com Evento2: Email de salida, donde: • SUBJECT es el mismo que Evento1 pero con FWD: al inicio (contatenado) • SRCUSER es el mismo que Event 1 • DST USER (el dominio NO es ejemplo.com) Evento 3: sucede a los 3 segundos del evento 1
Casos de uso, ejemplos: •  “Detección de un escaneo de puertos en el ids y firewall ” If the system sees an event E1 where E1.eventType=portscan followed by an event E2 where E2.srcip=E1.srcip and E2.dstip=E1.dstip and E2.eventType=fw.reject then doSomething
Casos de uso, ejemplos: “Detección de puertos, vía escaneo” if (event E1.dstport != (Known_Open_Ports on event E1.dstip)) then doSomething
Pensemos/Imaginación •  Fuentes a integrar: •  Nuestras propias fuentes: §  Horarios de trabajo §  Ciclos de vacaciones §  Segmentos de red §  Comportamiento típico de nuestras aplicaciones •  SANS TOP 7 logs reports
Más casos Detección de equipo comprometido: Impresora HP como punto ciego, la cual fue comprometida
Más casos "Un dispositivo envía trafico HTTP/ SSH/FTP etc en lugar de LPD/IPR, IPP" Fuentes: Cruzar: NetFlow + Firewall + Sniffer
Pensemos/Imaginación •  Identificar autenticación (fallida o exitosa) a más de 5 computadoras en un periodo de 5 minutos •  Un usuario se autentica a la VPN en diferentes computadores en menos de 6 horas •  Se establece una conexión de VPN desde una computadora que no está en el sistema de administración activos y no es conocida por el servidor de antivirus
Pensemos/Imaginación •  Identifcar una cuenta que se ha firmado en una PC que no corresponde a su área •  (Idem en segmentos de la red) •  Desde la DMZ identificar una dirección de red que se comunique a más de 1 host por diferentes puertos en menos de 5 minutos. •  SPAM proveniente de las mismas IPs detectadas por el sistema IDS
Herramientas existentes •  Recolección de logs §  NXLog, Syslog-ng, logger, Apache2Syslog •  Pre-procesamiento de logs: LogPP •  Storage: §  PostgreSQL, MongoDB, etc •  Análisis §  R §  Hoja de cálculo §  LogStash •  Inteligencia §  OSSEC §  OSSIM §  Echidna §  iView •  Correlación §  SEC y Jess §  Echidna §  NXLog •  Reporteo §  Graphviz y Secviz.org
Conlusión •  Usar y encender tus Logs •  Primero un LM antes de SIEM •  No hay “balas de plata” •  Gana el pensamiento vs la tecnología •  Menos es más •  Casos de uso , caso de uso, casos de uso!.
Referencias •  Kent,Karen;Souppaya, Murugiah.Guide to Computer Security Log Management, NIST. •  Chuvakin, Anton; Schmidt, Kevin; Phillips, Chris. Logging and Log Management: The Authoritative Guide to Dealing with Syslog, Audit Logs, Events, Alerts and other IT ‘Noise’. •  Zeltser,Lenny;Chuvakin, Anton;Critical Log Review Checklist for Security Incidents •  Sweeny, Jonathan. Creating Your Own SIEM and Incident Response Toolkit Using Open Source Tools, SANS.
Gracias por su atención! Dudas? Víctor Gómez — victor@vgomez.com — @bytevic
ASIMX • Asimx.org • @asimx • Facebook.com/asimx • linkedin.com/asimx

Recomendados

Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)Jhonny D. Maracay
 
WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaLorena Arroyo
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windowsHenry Candelario
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores DedicadosNominalia
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de tiMario Nizama
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Gabriel Marcos
 

Recomendados

Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)Jhonny D. Maracay
 
WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaLorena Arroyo
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windowsHenry Candelario
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores DedicadosNominalia
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de tiMario Nizama
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Gabriel Marcos
 
Axxera siem spanish
Axxera siem spanishAxxera siem spanish
Axxera siem spanishReddy Marri
 
Alienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoAlienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoa3sec
 
Solución SIM - SIEM MANQIT
Solución SIM - SIEM MANQITSolución SIM - SIEM MANQIT
Solución SIM - SIEM MANQITMikel García Larragan
 
Security Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SMESecurity Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SMEAlienVault
 
Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Christian Peters
 
Takex TX-114FR Instruction Manual
Takex TX-114FR Instruction ManualTakex TX-114FR Instruction Manual
Takex TX-114FR Instruction ManualJMAC Supply
 
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015MONA
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )preverisk Group
 
Seminario 7
Seminario 7 Seminario 7
Seminario 7 Viviana Quiroz López
 
Fire Detection System - Cerberus
Fire Detection System - CerberusFire Detection System - Cerberus
Fire Detection System - CerberusCarlota Rodrigues
 
Metodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbicaMetodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbicaFelipe Vargas Rios
 
Takex MS-12TE Instruction Manual
Takex MS-12TE Instruction ManualTakex MS-12TE Instruction Manual
Takex MS-12TE Instruction ManualJMAC Supply
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datosMartha Solis
 
Nueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc SonyNueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc SonyTecnomania
 
Cushing
CushingCushing
CushingMaria Enriquez
 
Trabajo yohany word
Trabajo yohany wordTrabajo yohany word
Trabajo yohany worddahiaperez96
 
Development of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerningDevelopment of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerningYurley Xiomara Rojas Sanchez
 
EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III curriculo medico web
 
3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plomb3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plombWest Africa Trade Hub
 
Seminario 7 Cariología
Seminario 7 CariologíaSeminario 7 Cariología
Seminario 7 CariologíaIván Soto Bustos
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 

Más contenido relacionado

Destacado

Axxera siem spanish
Axxera siem spanishAxxera siem spanish
Axxera siem spanishReddy Marri
 
Alienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoAlienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoa3sec
 
Security Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SMESecurity Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SMEAlienVault
 
Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Christian Peters
 
Takex TX-114FR Instruction Manual
Takex TX-114FR Instruction ManualTakex TX-114FR Instruction Manual
Takex TX-114FR Instruction ManualJMAC Supply
 
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015MONA
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )preverisk Group
 
Fire Detection System - Cerberus
Fire Detection System - CerberusFire Detection System - Cerberus
Fire Detection System - CerberusCarlota Rodrigues
 
Metodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbicaMetodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbicaFelipe Vargas Rios
 
Takex MS-12TE Instruction Manual
Takex MS-12TE Instruction ManualTakex MS-12TE Instruction Manual
Takex MS-12TE Instruction ManualJMAC Supply
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datosMartha Solis
 
Nueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc SonyNueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc SonyTecnomania
 
Trabajo yohany word
Trabajo yohany wordTrabajo yohany word
Trabajo yohany worddahiaperez96
 
Development of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerningDevelopment of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerningYurley Xiomara Rojas Sanchez
 
EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III curriculo medico web
 
3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plomb3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plombWest Africa Trade Hub
 

Destacado (20)

Axxera siem spanish
Axxera siem spanishAxxera siem spanish
Axxera siem spanish
 
Alienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoAlienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgo
 
Solución SIM - SIEM MANQIT
Solución SIM - SIEM MANQITSolución SIM - SIEM MANQIT
Solución SIM - SIEM MANQIT
 
Security Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SMESecurity Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SME
 
Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012
 
Takex TX-114FR Instruction Manual
Takex TX-114FR Instruction ManualTakex TX-114FR Instruction Manual
Takex TX-114FR Instruction Manual
 
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )
 
Seminario 7
Seminario 7 Seminario 7
Seminario 7
 
Fire Detection System - Cerberus
Fire Detection System - CerberusFire Detection System - Cerberus
Fire Detection System - Cerberus
 
Metodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbicaMetodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbica
 
Takex MS-12TE Instruction Manual
Takex MS-12TE Instruction ManualTakex MS-12TE Instruction Manual
Takex MS-12TE Instruction Manual
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datos
 
Nueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc SonyNueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc Sony
 
Cushing
CushingCushing
Cushing
 
Trabajo yohany word
Trabajo yohany wordTrabajo yohany word
Trabajo yohany word
 
Development of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerningDevelopment of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerning
 
EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III
 
3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plomb3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plomb
 
Seminario 7 Cariología
Seminario 7 CariologíaSeminario 7 Cariología
Seminario 7 Cariología
 

Similar a Log management y SIEM

Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaJuan Astudillo
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajhon_f
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingJaime Andrés Bello Vieda
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...VOIP2DAY
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetMailjet
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupmatateshion
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 20104v4t4r
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows TAR Security
 

Similar a Log management y SIEM (20)

Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetya
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en Mailjet
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backup
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
 
Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows
 
Bajo Ataque 2.pptx
Bajo Ataque 2.pptxBajo Ataque 2.pptx
Bajo Ataque 2.pptx
 

Más de Websec México, S.C.

Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonEstadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonWebsec México, S.C.
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are backWebsec México, S.C.
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Websec México, S.C.
 
Mi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeMi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeWebsec México, S.C.
 
Escribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapEscribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapWebsec México, S.C.
 
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...Websec México, S.C.
 
Pwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PalePwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PaleWebsec México, S.C.
 
CPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonCPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonWebsec México, S.C.
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Explotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaExplotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaWebsec México, S.C.
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmWebsec México, S.C.
 
Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Websec México, S.C.
 
Seguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranSeguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranWebsec México, S.C.
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaCPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaWebsec México, S.C.
 

Más de Websec México, S.C. (20)

Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonEstadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
 
Mi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeMi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of Code
 
Escribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapEscribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de Nmap
 
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
 
Pwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PalePwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon Pale
 
CPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonCPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino Calderon
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Explotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaExplotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis Colunga
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 
OSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickopsOSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickops
 
Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk
 
Seguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranSeguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel Beltran
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaCPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
 

Último

LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Marketing BRANDING
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfsharitcalderon04
 
La tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadLa tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadEduardoSantiagoSegov
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDAVIDROBERTOGALLEGOS
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 

Último (20)

LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdf
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
La tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedadLa tecnología y su impacto en la sociedad
La tecnología y su impacto en la sociedad
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 

Log management y SIEM

  • 1.
  • 3. “The worst enemy of security is complexity” •  Bruce Schneier
  • 4. Nuevos modelos de seguridad •  “Sexy defense” Ian Amit •  “Intrusion Detection Along the Kill Chain: Why Your Detection System Sucks and What To Do About It” John Flynn
  • 6. Importancia de…. •  “84% de los incidentes de seguridad (intrusiones exitosas) se han reflejado en los logs” * •  “Sólo el 8% de los incidentes de seguridad detectados por las empresas han sido por minar sus logs”* * [Verizon 2012]
  • 8. Y ahora? Que hago? Cuida, quiere y “apapacha” a tus logs :)
  • 9. ¿Cómo?   Modelo   §  LogManagement   (Reac0vo)   —  “Jefe!  Fueron  los   hackers!”,       §  Abarca  todos  los  logs     Modelos   – SIEM    (Proac0vo)   •  “Jefe!  Hubo  intentos   de  ataque  en  X  y  Y   vector…”   •  Sólo  seguridad  
  • 11. SIEM! § Security Information and Event Management § Especializado en seguridad § “Inteligente”
  • 12. Lo bueno (ventajas) • Ventaja visualización de eventos (gráficas) • “Inteligencia” en la detección de eventos. • Compliance (PCI, ISO etc) / Auditoria. • Forense
  • 15. Obligación del SIEM, (para llamarse así) 1. Recolección de datos 2. Normalización 3. Correlación 4. Generación y envio de informes (reportes) 5. Soporte en el flujo de seguridad en el manejo a incidentes (SOC, respuesta a incidentes)
  • 17. Normalización Firewall: Feb 25 12:11:24 bridge kernel: INBOUND TCP: IN=br0 PHYSIN=eth0 OUT=br0 PHYSOUT=eth1 SRC=220.228.136.38 DST=11.11.79.83 LEN=64 TOS=0x00 PREC=0x00 TTL=47 ID=17159 DF PROTO=TCP SPT=1629 DPT=139 WINDOW=44620 RES=0x00 SYN URGP=0 Time: 12:11:24 Action: Pass Src: 220.228.136.38 Dst: 11.11.79.83 Port: 139
  • 18. Correlación Time: 12:11:24 Action: Block Src: w.x.y.z. Dst: a.b.c.d user: john Time: 12:12:54 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john Time: 12:14:16 Action: Pass Src: w.x.y.z. Dst: a.b.c.d user: john Time: 12:13:18 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john
  • 19. Regla de oro #1: “No basarse en la tecnología, sino en la inteligencia y el pentest”
  • 20. Receta 1. Que deseo resolver con el SIEM 2. Elegir el alcance de los datos a recolectar (sistemas) 3. Desarrollar la arquitectura 4. Crear un sistema de Log Management y después un SIEM J 5. Generar casos de uso del SIEM
  • 21. You can't secure what you don't understand •  Bruce Schneier
  • 22. Diseño •  ¿Qué deseo resolver con el SIEM? •  ¿Quienes somos? •  ¿Qué queremos asegurar?
  • 24. Arquitectura •  Medir los EPS •  Storage §  Definir la política de LogRetention Logs por segundo (en bytes) * 86400 = (almacenamiento día) + 25%
  • 25. Arquitectura •  Hardware §  Almacenamiento de alta calidad (RPMs SAN) •  Expresiones regulares (cuidado!): Procesador y memoria RAM poderosa!
  • 26. Fases de implementación • Fase 1: Crear un sistema LM § Comunicación entre dispositivos § Tiempo!
  • 27. Fases de implementación • Fase 2: Llegar al SIEM como tal -Definir primeras pruebas de filtrado — Ejecutar primeros pasos de filtrado de logs –  (auténticaciones fallidas,web hacking, core dumps)
  • 28. No olvidar… You can't secure what you don't understand Bruce Schneier
  • 29. Casi Final! “Inteligencia” del SIEM Taxonomía Casos de uso
  • 30. Casi Final! “Inteligencia” del SIEM ¿Cómo? • Vía el framework del SIEM • Todo es un evento (normalización)
  • 31. Casos de uso, ejemplos: •  “Los usuarios no deben reenviar automáticamente correo fuera de la organización” Evento 1: Email de entrada, dominio del emisor es ejemplo.com Evento2: Email de salida, donde: • SUBJECT es el mismo que Evento1 pero con FWD: al inicio (contatenado) • SRCUSER es el mismo que Event 1 • DST USER (el dominio NO es ejemplo.com) Evento 3: sucede a los 3 segundos del evento 1
  • 32. Casos de uso, ejemplos: •  “Detección de un escaneo de puertos en el ids y firewall ” If the system sees an event E1 where E1.eventType=portscan followed by an event E2 where E2.srcip=E1.srcip and E2.dstip=E1.dstip and E2.eventType=fw.reject then doSomething
  • 33. Casos de uso, ejemplos: “Detección de puertos, vía escaneo” if (event E1.dstport != (Known_Open_Ports on event E1.dstip)) then doSomething
  • 34. Pensemos/Imaginación •  Fuentes a integrar: •  Nuestras propias fuentes: §  Horarios de trabajo §  Ciclos de vacaciones §  Segmentos de red §  Comportamiento típico de nuestras aplicaciones •  SANS TOP 7 logs reports
  • 35. Más casos Detección de equipo comprometido: Impresora HP como punto ciego, la cual fue comprometida
  • 36. Más casos "Un dispositivo envía trafico HTTP/ SSH/FTP etc en lugar de LPD/IPR, IPP" Fuentes: Cruzar: NetFlow + Firewall + Sniffer
  • 37. Pensemos/Imaginación •  Identificar autenticación (fallida o exitosa) a más de 5 computadoras en un periodo de 5 minutos •  Un usuario se autentica a la VPN en diferentes computadores en menos de 6 horas •  Se establece una conexión de VPN desde una computadora que no está en el sistema de administración activos y no es conocida por el servidor de antivirus
  • 38. Pensemos/Imaginación •  Identifcar una cuenta que se ha firmado en una PC que no corresponde a su área •  (Idem en segmentos de la red) •  Desde la DMZ identificar una dirección de red que se comunique a más de 1 host por diferentes puertos en menos de 5 minutos. •  SPAM proveniente de las mismas IPs detectadas por el sistema IDS
  • 39. Herramientas existentes •  Recolección de logs §  NXLog, Syslog-ng, logger, Apache2Syslog •  Pre-procesamiento de logs: LogPP •  Storage: §  PostgreSQL, MongoDB, etc •  Análisis §  R §  Hoja de cálculo §  LogStash •  Inteligencia §  OSSEC §  OSSIM §  Echidna §  iView •  Correlación §  SEC y Jess §  Echidna §  NXLog •  Reporteo §  Graphviz y Secviz.org
  • 40. Conlusión •  Usar y encender tus Logs •  Primero un LM antes de SIEM •  No hay “balas de plata” •  Gana el pensamiento vs la tecnología •  Menos es más •  Casos de uso , caso de uso, casos de uso!.
  • 41. Referencias •  Kent,Karen;Souppaya, Murugiah.Guide to Computer Security Log Management, NIST. •  Chuvakin, Anton; Schmidt, Kevin; Phillips, Chris. Logging and Log Management: The Authoritative Guide to Dealing with Syslog, Audit Logs, Events, Alerts and other IT ‘Noise’. •  Zeltser,Lenny;Chuvakin, Anton;Critical Log Review Checklist for Security Incidents •  Sweeny, Jonathan. Creating Your Own SIEM and Incident Response Toolkit Using Open Source Tools, SANS.
  • 42. Gracias por su atención! Dudas? Víctor Gómez — victor@vgomez.com — @bytevic