SlideShare a Scribd company logo

PRESENTACION bajo costo.pptx

Download as PPTX, PDF
C
ChristianAlbertoVega1

equipos de monitoreo de bajo costo

Internet
1 of 34
Temario • ¿Qué es un centro de monitoreo de redes? • ¿Para que sirve?. • ¿Qué se necesita para instalar un centro de monitoreo de redes?. • Herramientas para un CM. • Suricata • Maltrail • Elasticsearch. • Logstash. • Kibana. • Observium.
Temario • Csirt • ¿Qué es un CSIRT? • ¿Para que sirve? • ¿Cómo lo creo? • Planificación. • Ejecución. • Cierre. • MISP (Ricardo Monreal)
¿Qué es un centro de monitoreo de redes?
¿Para qué sirve?, O ¿por qué necesitamos uno? http://imgbiblio.vaneduc.edu.ar/fulltext/files/TC121046.pdf
¿Qué se necesita para instalar un centro de monitoreo de redes?.
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Sistema operativo: Debian 9 Url descarga: https://www.debian.org/CD/http-ftp/ apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev apt-get install apt-transport-https software-properties-common wget apt-get install curl apt-get install openjdk-8-jdk apt-get install screen apt-get install htop
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Suricata es un motor de detección de amenazas de red gratuito, de código abierto, maduro, rápido y robusto. El motor Suricata es capaz de detección de intrusión en tiempo real (IDS), prevención de intrusión en línea (IPS), monitoreo de seguridad de red (NSM) y procesamiento de pcap fuera de línea. https://suricata-ids.org/
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: apt-get install suricata nano /etc/oinkmaster.conf url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules nano /etc/suricata/suricata.yaml HOME_NET: "[10.0.0.0/24]“ suricata -c /etc/suricata/suricata.yaml -i interface_monitorear (ocupar SCREEN) tail -f /var/log/suricata/http.log
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Prueba correcta ejecución: tail -f /var/log/suricata/http.log
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Maltrail es un sistema de detección de tráfico malicioso, que utiliza listas públicas (negras) que contienen rastros maliciosos y / o generalmente sospechosos, junto con rastros estáticos compilados a partir de varios informes de AV y listas personalizadas definidas por el usuario, donde el rastro puede ser cualquier cosa del nombre del dominio https://github.com/stamparm/maltrail
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: apt-get install git python-pcapy git clone https://github.com/stamparm/maltrail.git cd maltrail python sensor.py Python server.py
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Elasticsearch es un servidor de búsqueda basado en Lucene. Provee un motor de búsqueda de texto completo, distribuido y con capacidad de multi- tenencia con una interfaz web RESTful y con documentos JSON. Elasticsearch está desarrollado en Java y está publicado como código abierto bajo las condiciones de la licencia Apache. https://es.wikipedia.org/wiki/Elasticsearch
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add - echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-6.x.list apt-get update apt-get install elasticsearch nano /etc/elasticsearch/elasticsearch.yml ---> #network.host: 192.168.0.1 // modificar ip server systemctl restart elasticsearch systemctl enable elasticsearch
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Prueba correcta ejecución:
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Logstash es una herramienta para la administración de logs. Esta herramienta se puede utilizar para recolectar, parsear y guardar los logs para futuras búsquedas.2 La aplicación se encuentra basada en jRuby y requiere de Java Virtual Machine para correr. Como corre en JVM puede ser ejecutada en cualquier Sistema Operativo que corra JVM (Linux, Mac OS X, Windows).3 https://es.wikipedia.org/wiki/Logstash
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: apt-get install logstash nano /etc/logstash/conf.d/suricata_eve.conf
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración:
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: systemctl enable logstash.service systemctl start logstash.service tail -f /var/log/logstash/logstash-plain.log [2017-08-01T22:13:03,572][INFO ][logstash.agent ] Successfully started Logstash API endpoint {:port=>9600}
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Kibana es un complemento de visualización de datos de código abierto para Elasticsearch. Proporciona capacidades de visualización sobre el contenido indexado en un clúster de Elasticsearch. Los usuarios pueden crear diagramas de barras, líneas y dispersión, o gráficos circulares y mapas sobre grandes volúmenes de datos.
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: apt-get install kibana nano /etc/kibana/kibana.yml server.host: "localhost" --> modificar elasticsearch.hosts: [http://ipserver:9200] systemctl restart kibana systemctl enable kibana http://ipserver:5601
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Vizualización:
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Observium es una plataforma de monitoreo de red de autodescubrimiento de bajo mantenimiento que admite una amplia gama de tipos de dispositivos, plataformas y sistemas operativos como Cisco, Windows, Linux, HP, Juniper, Dell, FreeBSD, Brocade, Netscaler, NetApp y muchos más. Observium se enfoca en proporcionar una interfaz hermosa y potente pero simple e intuitiva para la salud y el estado de su red.
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: https://docs.observium.org/install_debian/
HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES
CSIRT EQUIPO DE RESPUESTA ANTE INCIDENTES DE SEGURIDAD COMPUTACIONAL
Estado del arte • Fuente: Estudio sobre el estado de la ciberseguridad en la industria en Chile 2017
¿Qué es un CSIRT? Un equipo de respuesta a incidentes en seguridad informática (CSIRT por sus siglas en inglés) es una organización cuyo propósito principal consiste en brindar servicios de respuesta a incidentes de seguridad informática a una comunidad en particular.
CSIRT FORMACION CONTINUA ESTRUCTURA INVESTIGACIÓN Y DESARROLLO Superficie Profundidad INFRAESTRUCTURA TECNOLÓGICA
¿Para qué sirve un CSIRT? La finalidad de prevenir, gestionar y responder a incidentes de seguridad de la información. Estos equipos suelen estar conformados por especialistas multidisciplinarios que actúan según procedimientos y políticas predefinidas, de manera que respondan, en forma rápida y efectiva, a incidentes de seguridad, además de coadyuvar a mitigar el riesgo de los ataques cibernéticos.
¿Cómo lo creo? • Etapas para la creación de un CSIRT: • PLANIFICACIÓN. • EJECUCIÓN. • CIERRE. * https://www.sites.oas.org/cyber/Documents/2016%20-%20Buenas%20Practicas%20CSIRT.pdf.
PLANIFICACIÓN • DEFINICIÓN. • CONSTITUCIÓN. • ALCANCE. • ORGANIZACIÓN Y RRHH * https://www.sites.oas.org/cyber/Documents/2016%20-%20Buenas%20Practicas%20CSIRT.pdf.
EJECUCIÓN • SELECCIÓN DE RECURSOS HUMANOS. • REQUISITOS DE FORMACIÓN. • INSTALACIÓN E INFRAESTRUCTURA. • POLÍTICAS Y PROCEDIMIENTOS * https://www.sites.oas.org/cyber/Documents/2016%20-%20Buenas%20Practicas%20CSIRT.pdf.
CIERRE • Listado de interesados • Documentos legales y constitución CSIRT • Instalación física, contratos, etc. • Recurso humano. • Manual de operaciones con políticas y procedimientos. • Infraestructura tecnológica y los respectivos contratos de soportes * https://www.sites.oas.org/cyber/Documents/2016%20-%20Buenas%20Practicas%20CSIRT.pdf. • Documentación cierre de proyecto:
SEGURIDAD DE LA INFORMACIÓN Gracias! Carlos Montoya Carlos.Montoya@whilolab.org

Recommended

¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 
AUTOMATIZACION DE LA RED.pptx
AUTOMATIZACION DE LA RED.pptxAUTOMATIZACION DE LA RED.pptx
AUTOMATIZACION DE LA RED.pptxHumbertoSalcedoMera
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
Present3
Present3Present3
Present3Rafael Cornejo Martinez
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo realA3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo reala3sec
 
Herramientas de monitoreo de redes
Herramientas de monitoreo de redesHerramientas de monitoreo de redes
Herramientas de monitoreo de redesMeztli Valeriano Orozco
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuJosé Moreno
 
Seguridad perimetral
Seguridad perimetralSeguridad perimetral
Seguridad perimetralJOSELITO EDBER MANCHEGO MEZA
 

Recommended

¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 
AUTOMATIZACION DE LA RED.pptx
AUTOMATIZACION DE LA RED.pptxAUTOMATIZACION DE LA RED.pptx
AUTOMATIZACION DE LA RED.pptxHumbertoSalcedoMera
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
Present3
Present3Present3
Present3Rafael Cornejo Martinez
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo realA3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo reala3sec
 
Herramientas de monitoreo de redes
Herramientas de monitoreo de redesHerramientas de monitoreo de redes
Herramientas de monitoreo de redesMeztli Valeriano Orozco
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuJosé Moreno
 
Seguridad perimetral
Seguridad perimetralSeguridad perimetral
Seguridad perimetralJOSELITO EDBER MANCHEGO MEZA
 
AlienVault
AlienVaultAlienVault
AlienVaultRicardo Castañeda
 
Ensayo backtrak
Ensayo backtrakEnsayo backtrak
Ensayo backtrakcitlalimtz2621
 
automatizacion de red.pptx
automatizacion de red.pptxautomatizacion de red.pptx
automatizacion de red.pptxHumbertoSalcedoMera
 
Monitorización En OpenSolaris
Monitorización En OpenSolarisMonitorización En OpenSolaris
Monitorización En OpenSolarisVictor M. Fernández
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridadRamiro Estigarribia Canese
 
Herramientas Integradas en OSSIM
Herramientas Integradas en OSSIMHerramientas Integradas en OSSIM
Herramientas Integradas en OSSIMAlienVault
 
Capitulo2
Capitulo2Capitulo2
Capitulo2erikita Sol
 
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Luis Sanchez
 
NcN_CSUC_CSIRT
NcN_CSUC_CSIRTNcN_CSUC_CSIRT
NcN_CSUC_CSIRTJordi Guijarro
 
CERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masaCERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masaCSUC - Consorci de Serveis Universitaris de Catalunya
 
Administracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software LibreAdministracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software Libremiltonvf
 
Manual Monitoreo
Manual MonitoreoManual Monitoreo
Manual MonitoreoYimy Pérez Medina
 
Monitorizacion de Sistemas
Monitorizacion de SistemasMonitorizacion de Sistemas
Monitorizacion de SistemasMiguel Angel López Moyano
 
Herramientas
HerramientasHerramientas
HerramientasBlanca Palma
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Gestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSGestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSPaloSanto Solutions
 
SISTEMAS DE MONITOREO LINUX
SISTEMAS DE MONITOREO LINUXSISTEMAS DE MONITOREO LINUX
SISTEMAS DE MONITOREO LINUXDiego Caceres
 
Avast! free antivirus
Avast! free antivirusAvast! free antivirus
Avast! free antiviruskevin Quispe Flores
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )preverisk Group
 

More Related Content

Similar to PRESENTACION bajo costo.pptx

Herramientas Integradas en OSSIM
Herramientas Integradas en OSSIMHerramientas Integradas en OSSIM
Herramientas Integradas en OSSIMAlienVault
 
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Luis Sanchez
 
Administracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software LibreAdministracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software Libremiltonvf
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Gestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSGestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSPaloSanto Solutions
 
SISTEMAS DE MONITOREO LINUX
SISTEMAS DE MONITOREO LINUXSISTEMAS DE MONITOREO LINUX
SISTEMAS DE MONITOREO LINUXDiego Caceres
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )preverisk Group
 

Similar to PRESENTACION bajo costo.pptx (20)

AlienVault
AlienVaultAlienVault
AlienVault
 
Ensayo backtrak
Ensayo backtrakEnsayo backtrak
Ensayo backtrak
 
automatizacion de red.pptx
automatizacion de red.pptxautomatizacion de red.pptx
automatizacion de red.pptx
 
Monitorización En OpenSolaris
Monitorización En OpenSolarisMonitorización En OpenSolaris
Monitorización En OpenSolaris
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Herramientas Integradas en OSSIM
Herramientas Integradas en OSSIMHerramientas Integradas en OSSIM
Herramientas Integradas en OSSIM
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
 
NcN_CSUC_CSIRT
NcN_CSUC_CSIRTNcN_CSUC_CSIRT
NcN_CSUC_CSIRT
 
CERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masaCERT/CSIRT's tools: Con las manos en la masa
CERT/CSIRT's tools: Con las manos en la masa
 
Administracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software LibreAdministracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software Libre
 
Manual Monitoreo
Manual MonitoreoManual Monitoreo
Manual Monitoreo
 
Monitorizacion de Sistemas
Monitorizacion de SistemasMonitorizacion de Sistemas
Monitorizacion de Sistemas
 
Herramientas
HerramientasHerramientas
Herramientas
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Gestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSGestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMS
 
SISTEMAS DE MONITOREO LINUX
SISTEMAS DE MONITOREO LINUXSISTEMAS DE MONITOREO LINUX
SISTEMAS DE MONITOREO LINUX
 
Avast! free antivirus
Avast! free antivirusAvast! free antivirus
Avast! free antivirus
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )
 

PRESENTACION bajo costo.pptx

  • 1. Temario • ¿Qué es un centro de monitoreo de redes? • ¿Para que sirve?. • ¿Qué se necesita para instalar un centro de monitoreo de redes?. • Herramientas para un CM. • Suricata • Maltrail • Elasticsearch. • Logstash. • Kibana. • Observium.
  • 2. Temario • Csirt • ¿Qué es un CSIRT? • ¿Para que sirve? • ¿Cómo lo creo? • Planificación. • Ejecución. • Cierre. • MISP (Ricardo Monreal)
  • 3. ¿Qué es un centro de monitoreo de redes?
  • 4. ¿Para qué sirve?, O ¿por qué necesitamos uno? http://imgbiblio.vaneduc.edu.ar/fulltext/files/TC121046.pdf
  • 5. ¿Qué se necesita para instalar un centro de monitoreo de redes?.
  • 6. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Sistema operativo: Debian 9 Url descarga: https://www.debian.org/CD/http-ftp/ apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libmagic-dev libcap-ng-dev libjansson-dev pkg-config libnetfilter-queue-dev apt-get install apt-transport-https software-properties-common wget apt-get install curl apt-get install openjdk-8-jdk apt-get install screen apt-get install htop
  • 7. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Suricata es un motor de detección de amenazas de red gratuito, de código abierto, maduro, rápido y robusto. El motor Suricata es capaz de detección de intrusión en tiempo real (IDS), prevención de intrusión en línea (IPS), monitoreo de seguridad de red (NSM) y procesamiento de pcap fuera de línea. https://suricata-ids.org/
  • 8. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: apt-get install suricata nano /etc/oinkmaster.conf url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules nano /etc/suricata/suricata.yaml HOME_NET: "[10.0.0.0/24]“ suricata -c /etc/suricata/suricata.yaml -i interface_monitorear (ocupar SCREEN) tail -f /var/log/suricata/http.log
  • 9. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Prueba correcta ejecución: tail -f /var/log/suricata/http.log
  • 10. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Maltrail es un sistema de detección de tráfico malicioso, que utiliza listas públicas (negras) que contienen rastros maliciosos y / o generalmente sospechosos, junto con rastros estáticos compilados a partir de varios informes de AV y listas personalizadas definidas por el usuario, donde el rastro puede ser cualquier cosa del nombre del dominio https://github.com/stamparm/maltrail
  • 11. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: apt-get install git python-pcapy git clone https://github.com/stamparm/maltrail.git cd maltrail python sensor.py Python server.py
  • 12. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Elasticsearch es un servidor de búsqueda basado en Lucene. Provee un motor de búsqueda de texto completo, distribuido y con capacidad de multi- tenencia con una interfaz web RESTful y con documentos JSON. Elasticsearch está desarrollado en Java y está publicado como código abierto bajo las condiciones de la licencia Apache. https://es.wikipedia.org/wiki/Elasticsearch
  • 13. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add - echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-6.x.list apt-get update apt-get install elasticsearch nano /etc/elasticsearch/elasticsearch.yml ---> #network.host: 192.168.0.1 // modificar ip server systemctl restart elasticsearch systemctl enable elasticsearch
  • 14. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Prueba correcta ejecución:
  • 15. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Logstash es una herramienta para la administración de logs. Esta herramienta se puede utilizar para recolectar, parsear y guardar los logs para futuras búsquedas.2 La aplicación se encuentra basada en jRuby y requiere de Java Virtual Machine para correr. Como corre en JVM puede ser ejecutada en cualquier Sistema Operativo que corra JVM (Linux, Mac OS X, Windows).3 https://es.wikipedia.org/wiki/Logstash
  • 16. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: apt-get install logstash nano /etc/logstash/conf.d/suricata_eve.conf
  • 17. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración:
  • 18. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: systemctl enable logstash.service systemctl start logstash.service tail -f /var/log/logstash/logstash-plain.log [2017-08-01T22:13:03,572][INFO ][logstash.agent ] Successfully started Logstash API endpoint {:port=>9600}
  • 19. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Kibana es un complemento de visualización de datos de código abierto para Elasticsearch. Proporciona capacidades de visualización sobre el contenido indexado en un clúster de Elasticsearch. Los usuarios pueden crear diagramas de barras, líneas y dispersión, o gráficos circulares y mapas sobre grandes volúmenes de datos.
  • 20. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: apt-get install kibana nano /etc/kibana/kibana.yml server.host: "localhost" --> modificar elasticsearch.hosts: [http://ipserver:9200] systemctl restart kibana systemctl enable kibana http://ipserver:5601
  • 21. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Vizualización:
  • 22. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Observium es una plataforma de monitoreo de red de autodescubrimiento de bajo mantenimiento que admite una amplia gama de tipos de dispositivos, plataformas y sistemas operativos como Cisco, Windows, Linux, HP, Juniper, Dell, FreeBSD, Brocade, Netscaler, NetApp y muchos más. Observium se enfoca en proporcionar una interfaz hermosa y potente pero simple e intuitiva para la salud y el estado de su red.
  • 23. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES Instalación y configuración: https://docs.observium.org/install_debian/
  • 24. HERRAMIENTAS DE UN CENTRO DE MONITOREO DE REDES
  • 25. CSIRT EQUIPO DE RESPUESTA ANTE INCIDENTES DE SEGURIDAD COMPUTACIONAL
  • 26. Estado del arte • Fuente: Estudio sobre el estado de la ciberseguridad en la industria en Chile 2017
  • 27. ¿Qué es un CSIRT? Un equipo de respuesta a incidentes en seguridad informática (CSIRT por sus siglas en inglés) es una organización cuyo propósito principal consiste en brindar servicios de respuesta a incidentes de seguridad informática a una comunidad en particular.
  • 28. CSIRT FORMACION CONTINUA ESTRUCTURA INVESTIGACIÓN Y DESARROLLO Superficie Profundidad INFRAESTRUCTURA TECNOLÓGICA
  • 29. ¿Para qué sirve un CSIRT? La finalidad de prevenir, gestionar y responder a incidentes de seguridad de la información. Estos equipos suelen estar conformados por especialistas multidisciplinarios que actúan según procedimientos y políticas predefinidas, de manera que respondan, en forma rápida y efectiva, a incidentes de seguridad, además de coadyuvar a mitigar el riesgo de los ataques cibernéticos.
  • 30. ¿Cómo lo creo? • Etapas para la creación de un CSIRT: • PLANIFICACIÓN. • EJECUCIÓN. • CIERRE. * https://www.sites.oas.org/cyber/Documents/2016%20-%20Buenas%20Practicas%20CSIRT.pdf.
  • 31. PLANIFICACIÓN • DEFINICIÓN. • CONSTITUCIÓN. • ALCANCE. • ORGANIZACIÓN Y RRHH * https://www.sites.oas.org/cyber/Documents/2016%20-%20Buenas%20Practicas%20CSIRT.pdf.
  • 32. EJECUCIÓN • SELECCIÓN DE RECURSOS HUMANOS. • REQUISITOS DE FORMACIÓN. • INSTALACIÓN E INFRAESTRUCTURA. • POLÍTICAS Y PROCEDIMIENTOS * https://www.sites.oas.org/cyber/Documents/2016%20-%20Buenas%20Practicas%20CSIRT.pdf.
  • 33. CIERRE • Listado de interesados • Documentos legales y constitución CSIRT • Instalación física, contratos, etc. • Recurso humano. • Manual de operaciones con políticas y procedimientos. • Infraestructura tecnológica y los respectivos contratos de soportes * https://www.sites.oas.org/cyber/Documents/2016%20-%20Buenas%20Practicas%20CSIRT.pdf. • Documentación cierre de proyecto:
  • 34. SEGURIDAD DE LA INFORMACIÓN Gracias! Carlos Montoya Carlos.Montoya@whilolab.org