
Material de apoio e links para artigos complementares.
Elastic Cloud
A Elastic disponibiliza um deployment para avaliação de 14 dias com todas as funcionalidades para as tratativas de um monitoramento de segurança. Na área de recursos dessa seção, tem um link para avaliação de 30 dias do Elastic Cloud.
Elastic Security em container
Crie e gerencie um deployment completo do Elastic Security local por meio de um container. Nesse tipo de arquitetura, é possível utilizar a versão opensource, sem custo, ou a versão paga com 30 dias para avaliação. Após o período de avaliação, o deployment volta para a versão opensource sem perda dos dados que já foram feitas a ingestão.
Elastic Security app é um espaço de trabalho altamente interativo projetado para analistas de segurança que fornece uma visão geral clara de eventos e alertas do seu ambiente.
Fleet Server é um componente que gerencia os Elastic Agents de forma centralizada. Suporta muitas conexões Elastic Agent e serve como um plano de controle para atualizar políticas de agente, coletar informações de status e coordenar ações entre Elastic Agents.
Elastic Agent é uma maneira única e unificada de adicionar monitoramento para logs, métricas e outros tipos de dados a um host podendo proteger hosts de ameaças de segurança, consultar dados de sistemas operacionais, encaminhar dados de serviços remotos ou hardware e muito mais.
Uma política (Policy) é uma coleção de entradas e configurações que define os dados a serem coletados por um Elastic Agent. Cada Elastic Agent só pode ser registrado em uma única política.
Threat Intelligence é o processo de identificar e analisar ameaças cibernéticas. O termo "inteligência de ameaças" pode se referir aos dados coletados sobre uma possível ameaça ou o processo de obter, processar e analisar esses dados para melhor compreender as ameaças.
NetFlow é um protocolo de rede desenvolvido pela Cisco para coletar informações de tráfego IP e monitorar o fluxo de rede. Ao analisar dados do NetFlow, você pode obter uma imagem do fluxo e volume do tráfego de rede. Os eventos são tradicionalmente exportados usando o User Datagram Protocol (UDP).
O NetFlow é uma tecnologia unidirecional, então quando o servidor responde à solicitação inicial do cliente, o processo funciona ao contrário e cria um novo registro de fluxo. Usar uma solução de monitoramento NetFlow pode permitir que você monitore e analise esses registros de fluxo de forma mais eficiente e eficaz para o tráfego dentro da rede, com isso, é possível identificar tráfego de rede anômalo como exfiltração de dados utilizando um protocolo incomum para essa finalidade.
Colete logs de auditoria e de sistema, do firewall pfsense, para investigação durante o monitoramento de segurança.
Os estudos não terminaram! Esse é o primeiro passo para o seu desenvolvimento profissional. Na seção de Recursos, entre no nosso grupo do Telegram para tirar suas dúvidas. Te espero lá!
Dados, é um problema atual de segurança e a Elastic entendeu bem essa dificuldade enfrentada por profissionais de segurança da informação e uniu seu poderoso motor de buscas, Elasticsearch, para acelerar buscas e correlação de eventos de segurança dando celeridade a operações de um SOC. A proposta deste curso é trazer uma visão geral da solução de SIEM, da Elastic, e como operá-la para investigação e auditoria de segurança.
SIEM (Security Information and Event Management), é uma solução de segurança que ajuda as organizações a reconhecer e lidar com possíveis ameaças e vulnerabilidades à segurança antes que elas tenham a chance de interromper as operações de negócios. Os sistemas SIEM ajudam as equipes de segurança corporativa a detectar anomalias de comportamento do usuário e usar inteligência artificial (IA) para automatizar muitos dos processos manuais associados à detecção de ameaças e resposta a incidentes.
Capacidades
Agregação de dados: o gerenciamento de log agrega dados de muitas fontes, incluindo rede, segurança, servidores, bancos de dados, aplicativos... Proporcionando a capacidade de consolidar dados monitorados para ajudar a evitar a perda de eventos cruciais.
Correlação: procura atributos comuns e vincula eventos em pacotes significativos. Esta tecnologia oferece a capacidade de realizar uma variedade de técnicas de correlação para integrar diferentes fontes, para transformar dados em informações úteis.
Alertas: análise automatizada de eventos correlacionados e produção de alertas, para para triagem dos eventos em uma operação de segurança (SOC). Os alertas podem ser enviados para um dashboard ou por meio de canais de terceiros, como e-mail.
Dashboards: visualização gráfica e intuitiva das informações produzidas pelos dados que foram enviados ao SIEM.
Conformidade: produção de relatórios que se adaptam aos processos existentes de segurança, governança e auditoria.
Retenção: manter dados, por longos períodos, para compliance de leis e normas de segurança da informação e privacidade de dados. Muito útil em investigações forenses onde se faz necessário análise de grandes quantidade de dados.
Este curso contempla os conceitos básicos do monitoramento de segurança com o apoio da solução Elastic Security, módulo SIEM abordando os seguintes tópicos:
Contextualização dos cenários de ameaças;
A importância de um SIEM nas atividades de um SOC;
Recursos do Elastic Security:
Componentes da Stack
Agentes de ingestão de dados:
Elastic Agent, Beats e integrações
Dashboards
Threat Intelligence
Detection rules
Análise de entidades
Monitoramento de um sistema Linux
Monitoramento de um sistema Windows
Timelines de investigação
Cases de investigação
Análise de dashboards para auditoria
Linguagens de consulta para threat hunting e resposta a incidentes:
KQL
EQL
Osquery