Palestra no GTS 27: OSS{ELK}C – Detectando ameaças em Larga Escala

ossec_destac

As empresas brasileiras, em muitos casos, além de combater os desafios diários da segurança cibernética necessitam estarem aderentes com normas internacionais (PCI-DSS, SOX, HIPPA, família ISO 2700 entre outras). Logo, atividades de coleta e retenção de logs, monitoramento de atividades de usuários, verificação de integridade do arquivos e a garantia da aplicabilidade de controles de segurança são requisitos mandatários nas empresas. Mas como implementá-los de forma eficiente na era do Big Data?

O OSSEC é um sistema de detecção de intrusão baseado em hosts multiplataforma de código-fonte aberto. Possui excelentes recursos para análise e integração de logs, verificação de integridade de arquivos, detecção de rootkits, alerta em tempo real e resposta ativa. Através da validação dos controles de segurança é possível utilizarmos o OSSEC para monitoramento do acesso de usuários, utilização de softwares indevidos, garantia das políticas de conformidades internas de sua empresa. Suporta diversos tipos de logs e pode ser instalado em vários sistemas operacionais, incluindo Linux, OpenBSD, FreeBSD, MAC OS X, Sun Solaris e Microsoft Windows. Todavia, dependendo do tamanho do seu ambiente e da política de retenção de logs, consultar essas informações de forma rápida em modo texto não é uma das atividades mais simples.

Dentro deste contexto, a palestra tem o objetivo de apresentar como realizar a análise de detecção de intrusões e atividades não conformes através do OSSEC HIDS e como consolidar, analisar e tratar este enorme volume de dados gerados com o Elastic Stack, reduzindo a janela de exposição de novas ameaças e dando mais agilidade no processo de identificação e resposta a incidentes de segurança da informação.

Através de uma linguagem clara, simples e objetivas iremos demonstrar como o OSSEC utiliza os decodificadores para normalizar os logs, as regras de detecção baseadas em assinaturas e as definições de políticas de conformidade. Utilizando a Elastic Stack para coletar os logs com o Logstash, armazenar os dados no Elasticsearch e exibir as informações no Kibana.

Abaixo segue a íntegra da palestra, ministrada por Rodrigo Montoro, na 27ª reunião do Grupo de Trabalho em Segurança de Redes (GTS).