SlideShare una empresa de Scribd logo

LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]

Websec México, S.C.
Websec México, S.C.

El documento habla sobre la importancia de los logs y el uso de SIEM (Security Information and Event Management) para el análisis y correlación de logs. Resalta que la mayoría de incidentes de seguridad se reflejan en los logs pero pocas empresas los analizan. Explica cómo funciona un SIEM recolectando, normalizando y correlacionando datos de logs para generar informes y soportar la respuesta a incidentes. Finalmente, enfatiza la necesidad de definir casos de uso específicos para la "inteligencia" del SIEM.

1 de 43
Descargar para leer sin conexión
Log crazyness
“The worst enemy of security is complexity” •  Bruce Schneier
Nuevos modelos de seguridad •  “Sexy defense” Ian Amit •  “Intrusion Detection Along the Kill Chain: Why Your Detection System Sucks and What To Do About It” John Flynn
Log??? Logs???
Importancia de…. •  “84% de los incidentes de seguridad (intrusiones exitosas) se han reflejado en los logs” * •  “Sólo el 8% de los incidentes de seguridad detectados por las empresas han sido por minar sus logs”* * [Verizon 2012]
Pwned!
Y ahora? Que hago? Cuida, quiere y “apapacha” a tus logs :)
¿Cómo?   Modelo   §  LogManagement   (Reac0vo)   —  “Jefe!  Fueron  los   hackers!”,       §  Abarca  todos  los  logs     Modelos   – SIEM    (Proac0vo)   •  “Jefe!  Hubo  intentos   de  ataque  en  X  y  Y   vector…”   •  Sólo  seguridad  
Versus
SIEM! § Security Information and Event Management § Especializado en seguridad § “Inteligente”
Lo bueno (ventajas) • Ventaja visualización de eventos (gráficas) • “Inteligencia” en la detección de eventos. • Compliance (PCI, ISO etc) / Auditoria. • Forense
Funcionamiento
Iniciemos….
Obligación del SIEM, (para llamarse así) 1. Recolección de datos 2. Normalización 3. Correlación 4. Generación y envio de informes (reportes) 5. Soporte en el flujo de seguridad en el manejo a incidentes (SOC, respuesta a incidentes)
Recolección SIEM Syslog scp/ ftp VBS/WMI
Normalización Firewall: Feb 25 12:11:24 bridge kernel: INBOUND TCP: IN=br0 PHYSIN=eth0 OUT=br0 PHYSOUT=eth1 SRC=220.228.136.38 DST=11.11.79.83 LEN=64 TOS=0x00 PREC=0x00 TTL=47 ID=17159 DF PROTO=TCP SPT=1629 DPT=139 WINDOW=44620 RES=0x00 SYN URGP=0 Time: 12:11:24 Action: Pass Src: 220.228.136.38 Dst: 11.11.79.83 Port: 139
Correlación Time: 12:11:24 Action: Block Src: w.x.y.z. Dst: a.b.c.d user: john Time: 12:12:54 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john Time: 12:14:16 Action: Pass Src: w.x.y.z. Dst: a.b.c.d user: john Time: 12:13:18 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john
Regla de oro #1: “No basarse en la tecnología, sino en la inteligencia y el pentest”
Receta 1. Que deseo resolver con el SIEM 2. Elegir el alcance de los datos a recolectar (sistemas) 3. Desarrollar la arquitectura 4. Crear un sistema de Log Management y después un SIEM J 5. Generar casos de uso del SIEM
You can't secure what you don't understand •  Bruce Schneier
Diseño •  ¿Qué deseo resolver con el SIEM? •  ¿Quienes somos? •  ¿Qué queremos asegurar?
Arquitectura
Arquitectura •  Medir los EPS •  Storage §  Definir la política de LogRetention Logs por segundo (en bytes) * 86400 = (almacenamiento día) + 25%
Arquitectura •  Hardware §  Almacenamiento de alta calidad (RPMs SAN) •  Expresiones regulares (cuidado!): Procesador y memoria RAM poderosa!
Fases de implementación • Fase 1: Crear un sistema LM § Comunicación entre dispositivos § Tiempo!
Fases de implementación • Fase 2: Llegar al SIEM como tal -Definir primeras pruebas de filtrado — Ejecutar primeros pasos de filtrado de logs –  (auténticaciones fallidas,web hacking, core dumps)
No olvidar… You can't secure what you don't understand Bruce Schneier
Casi Final! “Inteligencia” del SIEM Taxonomía Casos de uso
Casi Final! “Inteligencia” del SIEM ¿Cómo? • Vía el framework del SIEM • Todo es un evento (normalización)
Casos de uso, ejemplos: •  “Los usuarios no deben reenviar automáticamente correo fuera de la organización” Evento 1: Email de entrada, dominio del emisor es ejemplo.com Evento2: Email de salida, donde: • SUBJECT es el mismo que Evento1 pero con FWD: al inicio (contatenado) • SRCUSER es el mismo que Event 1 • DST USER (el dominio NO es ejemplo.com) Evento 3: sucede a los 3 segundos del evento 1
Casos de uso, ejemplos: •  “Detección de un escaneo de puertos en el ids y firewall ” If the system sees an event E1 where E1.eventType=portscan followed by an event E2 where E2.srcip=E1.srcip and E2.dstip=E1.dstip and E2.eventType=fw.reject then doSomething
Casos de uso, ejemplos: “Detección de puertos, vía escaneo” if (event E1.dstport != (Known_Open_Ports on event E1.dstip)) then doSomething
Pensemos/Imaginación •  Fuentes a integrar: •  Nuestras propias fuentes: §  Horarios de trabajo §  Ciclos de vacaciones §  Segmentos de red §  Comportamiento típico de nuestras aplicaciones •  SANS TOP 7 logs reports
Más casos Detección de equipo comprometido: Impresora HP como punto ciego, la cual fue comprometida
Más casos "Un dispositivo envía trafico HTTP/ SSH/FTP etc en lugar de LPD/IPR, IPP" Fuentes: Cruzar: NetFlow + Firewall + Sniffer
Pensemos/Imaginación •  Identificar autenticación (fallida o exitosa) a más de 5 computadoras en un periodo de 5 minutos •  Un usuario se autentica a la VPN en diferentes computadores en menos de 6 horas •  Se establece una conexión de VPN desde una computadora que no está en el sistema de administración activos y no es conocida por el servidor de antivirus
Pensemos/Imaginación •  Identifcar una cuenta que se ha firmado en una PC que no corresponde a su área •  (Idem en segmentos de la red) •  Desde la DMZ identificar una dirección de red que se comunique a más de 1 host por diferentes puertos en menos de 5 minutos. •  SPAM proveniente de las mismas IPs detectadas por el sistema IDS
Herramientas existentes •  Recolección de logs §  NXLog, Syslog-ng, logger, Apache2Syslog •  Pre-procesamiento de logs: LogPP •  Storage: §  PostgreSQL, MongoDB, etc •  Análisis §  R §  Hoja de cálculo §  LogStash •  Inteligencia §  OSSEC §  OSSIM §  Echidna §  iView •  Correlación §  SEC y Jess §  Echidna §  NXLog •  Reporteo §  Graphviz y Secviz.org
Conlusión •  Usar y encender tus Logs •  Primero un LM antes de SIEM •  No hay “balas de plata” •  Gana el pensamiento vs la tecnología •  Menos es más •  Casos de uso , caso de uso, casos de uso!.
Referencias •  Kent,Karen;Souppaya, Murugiah.Guide to Computer Security Log Management, NIST. •  Chuvakin, Anton; Schmidt, Kevin; Phillips, Chris. Logging and Log Management: The Authoritative Guide to Dealing with Syslog, Audit Logs, Events, Alerts and other IT ‘Noise’. •  Zeltser,Lenny;Chuvakin, Anton;Critical Log Review Checklist for Security Incidents •  Sweeny, Jonathan. Creating Your Own SIEM and Incident Response Toolkit Using Open Source Tools, SANS.
Gracias por su atención! Dudas? Víctor Gómez — victor@vgomez.com — @bytevic
ASIMX • Asimx.org • @asimx • Facebook.com/asimx • linkedin.com/asimx

Recomendados

Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
ch4k4n
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)
Jhonny D. Maracay
 
WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)
Cristian Garcia G.
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Lorena Arroyo
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
Henry Candelario
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
Nominalia
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de ti
Mario Nizama
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)
Gabriel Marcos
 

Recomendados

Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
ch4k4n
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)
Jhonny D. Maracay
 
WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)
Cristian Garcia G.
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Lorena Arroyo
 
Recomendaciones adm windows
Recomendaciones adm windowsRecomendaciones adm windows
Recomendaciones adm windows
Henry Candelario
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
Nominalia
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de ti
Mario Nizama
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)
Gabriel Marcos
 
Axxera siem spanish
Axxera siem spanishAxxera siem spanish
Axxera siem spanish
Reddy Marri
 
Alienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoAlienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgo
a3sec
 
Solución SIM - SIEM MANQIT
Solución SIM - SIEM MANQITSolución SIM - SIEM MANQIT
Solución SIM - SIEM MANQIT
Mikel García Larragan
 
Security Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SMESecurity Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SME
AlienVault
 
Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Christian Peters
 
Takex TX-114FR Instruction Manual
Takex TX-114FR Instruction ManualTakex TX-114FR Instruction Manual
Takex TX-114FR Instruction Manual
JMAC Supply
 
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015MONA
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )
preverisk Group
 
Seminario 7
Seminario 7 Seminario 7
Seminario 7
Viviana Quiroz López
 
Fire Detection System - Cerberus
Fire Detection System - CerberusFire Detection System - Cerberus
Fire Detection System - CerberusCarlota Rodrigues
 
Metodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbicaMetodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbica
Felipe Vargas Rios
 
Takex MS-12TE Instruction Manual
Takex MS-12TE Instruction ManualTakex MS-12TE Instruction Manual
Takex MS-12TE Instruction Manual
JMAC Supply
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datos
Martha Solis
 
Nueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc SonyNueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc Sony
Tecnomania
 
Cushing
CushingCushing
Cushing
Maria Enriquez
 
Trabajo yohany word
Trabajo yohany wordTrabajo yohany word
Trabajo yohany word
dahiaperez96
 
Development of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerningDevelopment of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerning
Yurley Xiomara Rojas Sanchez
 
EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III
curriculo medico web
 
3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plomb3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plombWest Africa Trade Hub
 
Seminario 7 Cariología
Seminario 7 CariologíaSeminario 7 Cariología
Seminario 7 Cariología
Iván Soto Bustos
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
Marc Pàmpols
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
RootedCON
 

Más contenido relacionado

Destacado

Axxera siem spanish
Axxera siem spanishAxxera siem spanish
Axxera siem spanish
Reddy Marri
 
Alienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoAlienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgo
a3sec
 
Solución SIM - SIEM MANQIT
Solución SIM - SIEM MANQITSolución SIM - SIEM MANQIT
Solución SIM - SIEM MANQIT
Mikel García Larragan
 
Security Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SMESecurity Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SME
AlienVault
 
Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Christian Peters
 
Takex TX-114FR Instruction Manual
Takex TX-114FR Instruction ManualTakex TX-114FR Instruction Manual
Takex TX-114FR Instruction Manual
JMAC Supply
 
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015MONA
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )
preverisk Group
 
Seminario 7
Seminario 7 Seminario 7
Seminario 7
Viviana Quiroz López
 
Fire Detection System - Cerberus
Fire Detection System - CerberusFire Detection System - Cerberus
Fire Detection System - CerberusCarlota Rodrigues
 
Metodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbicaMetodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbica
Felipe Vargas Rios
 
Takex MS-12TE Instruction Manual
Takex MS-12TE Instruction ManualTakex MS-12TE Instruction Manual
Takex MS-12TE Instruction Manual
JMAC Supply
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datos
Martha Solis
 
Nueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc SonyNueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc Sony
Tecnomania
 
Cushing
CushingCushing
Cushing
Maria Enriquez
 
Trabajo yohany word
Trabajo yohany wordTrabajo yohany word
Trabajo yohany word
dahiaperez96
 
Development of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerningDevelopment of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerning
Yurley Xiomara Rojas Sanchez
 
EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III
curriculo medico web
 
3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plomb3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plombWest Africa Trade Hub
 
Seminario 7 Cariología
Seminario 7 CariologíaSeminario 7 Cariología
Seminario 7 Cariología
Iván Soto Bustos
 

Destacado (20)

Axxera siem spanish
Axxera siem spanishAxxera siem spanish
Axxera siem spanish
 
Alienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgoAlienvault 4 Seguridad y riesgo
Alienvault 4 Seguridad y riesgo
 
Solución SIM - SIEM MANQIT
Solución SIM - SIEM MANQITSolución SIM - SIEM MANQIT
Solución SIM - SIEM MANQIT
 
Security Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SMESecurity Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SME
 
Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012
 
Takex TX-114FR Instruction Manual
Takex TX-114FR Instruction ManualTakex TX-114FR Instruction Manual
Takex TX-114FR Instruction Manual
 
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )
 
Seminario 7
Seminario 7 Seminario 7
Seminario 7
 
Fire Detection System - Cerberus
Fire Detection System - CerberusFire Detection System - Cerberus
Fire Detection System - Cerberus
 
Metodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbicaMetodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbica
 
Takex MS-12TE Instruction Manual
Takex MS-12TE Instruction ManualTakex MS-12TE Instruction Manual
Takex MS-12TE Instruction Manual
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datos
 
Nueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc SonyNueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc Sony
 
Cushing
CushingCushing
Cushing
 
Trabajo yohany word
Trabajo yohany wordTrabajo yohany word
Trabajo yohany word
 
Development of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerningDevelopment of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerning
 
EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III EXAMENES BASICOS EN MASTOLOGIA. PARTE III
EXAMENES BASICOS EN MASTOLOGIA. PARTE III
 
3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plomb3 Regles et reglementations sur la detection du plomb
3 Regles et reglementations sur la detection du plomb
 
Seminario 7 Cariología
Seminario 7 CariologíaSeminario 7 Cariología
Seminario 7 Cariología
 

Similar a LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]

Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
Marc Pàmpols
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
RootedCON
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
Futura Networks
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetya
Juan Astudillo
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Ing. Inf. Karina Bajana Mendoza
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
Sykrayo
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
Egdares Futch H.
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
Conferencias FIST
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
jhon_f
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
Jaime Andrés Bello Vieda
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
VOIP2DAY
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en Mailjet
Mailjet
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backup
matateshion
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
4v4t4r
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
Alejandro Quesada
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
Francisco Javier Barrena
 
Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows
TAR Security
 
Bajo Ataque 2.pptx
Bajo Ataque 2.pptxBajo Ataque 2.pptx
Bajo Ataque 2.pptx
Hacking Bolivia
 

Similar a LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013] (20)

Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetya
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en Mailjet
 
Ssh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backupSsh, registro de acceso remoto y backup
Ssh, registro de acceso remoto y backup
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
 
Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows
 
Bajo Ataque 2.pptx
Bajo Ataque 2.pptxBajo Ataque 2.pptx
Bajo Ataque 2.pptx
 

Más de Websec México, S.C.

Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
Websec México, S.C.
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
Websec México, S.C.
 
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonEstadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Websec México, S.C.
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
Websec México, S.C.
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
Websec México, S.C.
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Websec México, S.C.
 
Mi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeMi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of Code
Websec México, S.C.
 
Escribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapEscribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de Nmap
Websec México, S.C.
 
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
Websec México, S.C.
 
Pwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PalePwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon Pale
Websec México, S.C.
 
CPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonCPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino Calderon
Websec México, S.C.
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Websec México, S.C.
 
Explotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaExplotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis Colunga
Websec México, S.C.
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
Websec México, S.C.
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
Websec México, S.C.
 
OSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickopsOSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickops
Websec México, S.C.
 
Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk
Websec México, S.C.
 
Seguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranSeguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel Beltran
Websec México, S.C.
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaCPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
Websec México, S.C.
 

Más de Websec México, S.C. (20)

Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonEstadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
 
Mi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeMi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of Code
 
Escribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapEscribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de Nmap
 
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
 
Pwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PalePwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon Pale
 
CPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonCPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino Calderon
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Explotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaExplotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis Colunga
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 
OSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickopsOSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickops
 
Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk
 
Seguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranSeguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel Beltran
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaCPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
 

Último

Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
mantenimientocarbra6
 
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
MiguelAtencio10
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
gisellearanguren1
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
larapalaciosmonzon28
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
cbtechchihuahua
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
AbrahamCastillo42
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
AMADO SALVADOR
 
Flows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos FeaturesFlows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos Features
Paola De la Torre
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
codesiret
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Festibity
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
NicandroMartinez2
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
MiguelAtencio10
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
larapalaciosmonzon28
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
YaniEscobar2
 
625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
yuberpalma
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
giampierdiaz5
 
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
70244530
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
AMADO SALVADOR
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
al050121024
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
larapalaciosmonzon28
 

Último (20)

Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
 
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
 
Flows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos FeaturesFlows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos Features
 
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
 
625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
 
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
 
Second Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro TapiaSecond Life, informe de actividad del maestro Tapia
Second Life, informe de actividad del maestro Tapia
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
 

LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]

  • 1.
  • 3. “The worst enemy of security is complexity” •  Bruce Schneier
  • 4. Nuevos modelos de seguridad •  “Sexy defense” Ian Amit •  “Intrusion Detection Along the Kill Chain: Why Your Detection System Sucks and What To Do About It” John Flynn
  • 6. Importancia de…. •  “84% de los incidentes de seguridad (intrusiones exitosas) se han reflejado en los logs” * •  “Sólo el 8% de los incidentes de seguridad detectados por las empresas han sido por minar sus logs”* * [Verizon 2012]
  • 8. Y ahora? Que hago? Cuida, quiere y “apapacha” a tus logs :)
  • 9. ¿Cómo?   Modelo   §  LogManagement   (Reac0vo)   —  “Jefe!  Fueron  los   hackers!”,       §  Abarca  todos  los  logs     Modelos   – SIEM    (Proac0vo)   •  “Jefe!  Hubo  intentos   de  ataque  en  X  y  Y   vector…”   •  Sólo  seguridad  
  • 11. SIEM! § Security Information and Event Management § Especializado en seguridad § “Inteligente”
  • 12. Lo bueno (ventajas) • Ventaja visualización de eventos (gráficas) • “Inteligencia” en la detección de eventos. • Compliance (PCI, ISO etc) / Auditoria. • Forense
  • 15. Obligación del SIEM, (para llamarse así) 1. Recolección de datos 2. Normalización 3. Correlación 4. Generación y envio de informes (reportes) 5. Soporte en el flujo de seguridad en el manejo a incidentes (SOC, respuesta a incidentes)
  • 17. Normalización Firewall: Feb 25 12:11:24 bridge kernel: INBOUND TCP: IN=br0 PHYSIN=eth0 OUT=br0 PHYSOUT=eth1 SRC=220.228.136.38 DST=11.11.79.83 LEN=64 TOS=0x00 PREC=0x00 TTL=47 ID=17159 DF PROTO=TCP SPT=1629 DPT=139 WINDOW=44620 RES=0x00 SYN URGP=0 Time: 12:11:24 Action: Pass Src: 220.228.136.38 Dst: 11.11.79.83 Port: 139
  • 18. Correlación Time: 12:11:24 Action: Block Src: w.x.y.z. Dst: a.b.c.d user: john Time: 12:12:54 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john Time: 12:14:16 Action: Pass Src: w.x.y.z. Dst: a.b.c.d user: john Time: 12:13:18 Action: Block Src: w.x.y.z. Dst: a.b.c.d User:john
  • 19. Regla de oro #1: “No basarse en la tecnología, sino en la inteligencia y el pentest”
  • 20. Receta 1. Que deseo resolver con el SIEM 2. Elegir el alcance de los datos a recolectar (sistemas) 3. Desarrollar la arquitectura 4. Crear un sistema de Log Management y después un SIEM J 5. Generar casos de uso del SIEM
  • 21. You can't secure what you don't understand •  Bruce Schneier
  • 22. Diseño •  ¿Qué deseo resolver con el SIEM? •  ¿Quienes somos? •  ¿Qué queremos asegurar?
  • 24. Arquitectura •  Medir los EPS •  Storage §  Definir la política de LogRetention Logs por segundo (en bytes) * 86400 = (almacenamiento día) + 25%
  • 25. Arquitectura •  Hardware §  Almacenamiento de alta calidad (RPMs SAN) •  Expresiones regulares (cuidado!): Procesador y memoria RAM poderosa!
  • 26. Fases de implementación • Fase 1: Crear un sistema LM § Comunicación entre dispositivos § Tiempo!
  • 27. Fases de implementación • Fase 2: Llegar al SIEM como tal -Definir primeras pruebas de filtrado — Ejecutar primeros pasos de filtrado de logs –  (auténticaciones fallidas,web hacking, core dumps)
  • 28. No olvidar… You can't secure what you don't understand Bruce Schneier
  • 29. Casi Final! “Inteligencia” del SIEM Taxonomía Casos de uso
  • 30. Casi Final! “Inteligencia” del SIEM ¿Cómo? • Vía el framework del SIEM • Todo es un evento (normalización)
  • 31. Casos de uso, ejemplos: •  “Los usuarios no deben reenviar automáticamente correo fuera de la organización” Evento 1: Email de entrada, dominio del emisor es ejemplo.com Evento2: Email de salida, donde: • SUBJECT es el mismo que Evento1 pero con FWD: al inicio (contatenado) • SRCUSER es el mismo que Event 1 • DST USER (el dominio NO es ejemplo.com) Evento 3: sucede a los 3 segundos del evento 1
  • 32. Casos de uso, ejemplos: •  “Detección de un escaneo de puertos en el ids y firewall ” If the system sees an event E1 where E1.eventType=portscan followed by an event E2 where E2.srcip=E1.srcip and E2.dstip=E1.dstip and E2.eventType=fw.reject then doSomething
  • 33. Casos de uso, ejemplos: “Detección de puertos, vía escaneo” if (event E1.dstport != (Known_Open_Ports on event E1.dstip)) then doSomething
  • 34. Pensemos/Imaginación •  Fuentes a integrar: •  Nuestras propias fuentes: §  Horarios de trabajo §  Ciclos de vacaciones §  Segmentos de red §  Comportamiento típico de nuestras aplicaciones •  SANS TOP 7 logs reports
  • 35. Más casos Detección de equipo comprometido: Impresora HP como punto ciego, la cual fue comprometida
  • 36. Más casos "Un dispositivo envía trafico HTTP/ SSH/FTP etc en lugar de LPD/IPR, IPP" Fuentes: Cruzar: NetFlow + Firewall + Sniffer
  • 37. Pensemos/Imaginación •  Identificar autenticación (fallida o exitosa) a más de 5 computadoras en un periodo de 5 minutos •  Un usuario se autentica a la VPN en diferentes computadores en menos de 6 horas •  Se establece una conexión de VPN desde una computadora que no está en el sistema de administración activos y no es conocida por el servidor de antivirus
  • 38. Pensemos/Imaginación •  Identifcar una cuenta que se ha firmado en una PC que no corresponde a su área •  (Idem en segmentos de la red) •  Desde la DMZ identificar una dirección de red que se comunique a más de 1 host por diferentes puertos en menos de 5 minutos. •  SPAM proveniente de las mismas IPs detectadas por el sistema IDS
  • 39. Herramientas existentes •  Recolección de logs §  NXLog, Syslog-ng, logger, Apache2Syslog •  Pre-procesamiento de logs: LogPP •  Storage: §  PostgreSQL, MongoDB, etc •  Análisis §  R §  Hoja de cálculo §  LogStash •  Inteligencia §  OSSEC §  OSSIM §  Echidna §  iView •  Correlación §  SEC y Jess §  Echidna §  NXLog •  Reporteo §  Graphviz y Secviz.org
  • 40. Conlusión •  Usar y encender tus Logs •  Primero un LM antes de SIEM •  No hay “balas de plata” •  Gana el pensamiento vs la tecnología •  Menos es más •  Casos de uso , caso de uso, casos de uso!.
  • 41. Referencias •  Kent,Karen;Souppaya, Murugiah.Guide to Computer Security Log Management, NIST. •  Chuvakin, Anton; Schmidt, Kevin; Phillips, Chris. Logging and Log Management: The Authoritative Guide to Dealing with Syslog, Audit Logs, Events, Alerts and other IT ‘Noise’. •  Zeltser,Lenny;Chuvakin, Anton;Critical Log Review Checklist for Security Incidents •  Sweeny, Jonathan. Creating Your Own SIEM and Incident Response Toolkit Using Open Source Tools, SANS.
  • 42. Gracias por su atención! Dudas? Víctor Gómez — victor@vgomez.com — @bytevic