Visto: 555

Cinco pasos para la caza de amenazas con la Herramienta de monitoreo de seguridad de red gratuita de LogRhythm

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Una herramienta de monitoreo de red gratuita para analistas de seguridad de red.

Cuando trabajaba en Totem, una solución de software como servicio (SaaS) que ofrece evaluaciones de ciberseguridad y monitoreo de cumplimiento y gestión de activos de sistemas de control de edificios, la compañía siempre se esforzó por ayudar a empresas para encontrar formas de complementar su conjunto de herramientas de ciberseguridad existente con soluciones de monitoreo de red gratuitas o de bajo costo. Mi equipo y yo estábamos emocionados cuando escuchamos que LogRhythm proporcionó una versión gratuita de su producto de monitoreo de seguridad de red, LogRhythm NetMon Freemium.

Queríamos ver cómo NetMon Freemium podría ayudar a los analistas de seguridad de la red ("cazadores", como los llamamos) en las pequeñas empresas para establecer rápidamente el tráfico de la red, identificar anomalías y seguir investigando. En julio de 2017, recibimos permiso de un cliente de una pequeña empresa para crear un prototipo de NetMon Freemium en su red interna e investigar sus características.

 

1.- Establecer la red de destino

El primer paso para probar cómo NetMon Freemium podría ayudar a nuestro cliente a detectar amenazas en su red en tiempo real fue establecer el alcance de la red. La red objetivo de nuestro cliente tenía menos de 20 empleados y estaciones de trabajo, y menos de 25 Mbps de tráfico. Su red aloja dispositivos de oficina típicos, incluidos teléfonos, estaciones de trabajo, impresoras, servidores internos de aplicaciones y bases de datos, y un sistema de seguridad física local. Establecimos el alcance de visibilidad de NetMon Freemium como se muestra a continuación en la Figura 1.

202001 08 LogRhythm UI 01

Figura 1: Tráfico de red visible para LogRhythm NetMon Freemium

 

2.- Integración y pruebas

NetMon Freemium proporciona interfaces basadas en navegador y listas para usar que contienen una inmensa cantidad de datos de tráfico de red para un cazador. También le permite al cazador ajustar la interfaz frontal para satisfacer sus necesidades. Por ejemplo, la interfaz de usuario "Analizar" permite las siguientes configuraciones:

  • - Capacidad para configurar el período de visualización de datos durante minutos, horas, días, semanas y meses.
  • - Lucene consulta los campos de búsqueda elásticos detectados disponibles para filtrar el tráfico capturado.
  • - Resúmenes de metadatos de sesiones de flujo de red que incluyen ruta de aplicación, direcciones IP y direcciones MAC.
  • - Opción para activar la captura de paquetes para flujos de tráfico analizados.
  • - Habilidad de descargar archivos capturados y flujos de paquetes en formato PCAP.
  • - Funcionalidad de reproducción con red formateada PCAP.

 

Únicamente, la capacidad de formatear automáticamente y descargar PCAP hace de NetMon Freemium una herramienta valiosa para el cazador; otras herramientas gratuitas (y no tan gratuitas) carecen de esta capacidad.

Reducir el tiempo de análisis de un cazador en tareas forenses, como el tallado de archivos desde un flujo TCP, es imprescindible para una empresa con recursos de tiempo limitados.

 

3.- Tráfico de red de referencia con visualizaciones y paneles

A continuación, investigamos la efectividad de las visualizaciones integradas y paneles dentro de NetMon Freemium para establecer el tráfico de red para facilitar la identificación de anomalías.

Utilizamos la red forense de la red SANS DFIR del Instituto SANS y póster de análisis como guía práctica y lista de verificación ad hoc para el tráfico de red de referencia. El póster, DFIR-Network_v1_4-17, está disponible aquí para descargar con la cuenta SANS. Las explicaciones de los métodos analíticos descritos en la sección "Anomalías de tráfico de red" (NTA) del póster aclararon qué datos e información necesitábamos mostrar en las visualizaciones de Kibana.

A continuación, la Figura 2 muestra un ejemplo de un panel de Kibana basado en un NTA. Este panel contiene visualizaciones para cumplir con las anomalías "HTTP GET vs POST Ratio" y "HTTP Return Code Ratio" que se muestran en el póster de NTA.

202001 08 LogRhythm UI 02

Figura 2: Panel de Kibana que visualiza anomalías en el tráfico de red

 

4.- Use el panel de Kibana NTA para investigación

La siguiente tabla describe cómo un cazador usaría el tablero de Kibana NTA. La columna de la izquierda describe las actividades de referencia y la columna de la derecha describe las anomalías que podrían hacer que un cazador investigue actividades sospechosas en la red.

202001 08 LogRhythm UI 03Figura 3: Instrucciones para usar el panel de Kibana NTA para investigar actividades de red

 

5.- Analice los resultados de la evaluación.

Nuestro equipo utilizó la matriz que se muestra en la Figura 4 para evaluar cómo NetMon Freemium de LogRhythm podría ayudar al cazador a analizar el tráfico de red contra cada NTA para una pequeña empresa.

Utilizamos tres criterios para la evaluación:

1.- Facilidad de implementación: ¿Qué tan difícil fue implementar las visualizaciones?

  • - Fácil: las visualizaciones existentes, solo requieren de una reconfiguración simple
  • - Moderado: requiere muy poco desarrollo y reconfiguración
  • - Desafiante: no se puede crear desde el entorno "Visualizar", o requiere un desarrollo significativo (por ejemplo, secuencias de comandos Lua dentro de la herramienta)

 

2.- Facilidad de detección de anomalías: ¿Qué tan rápido puede el cazador descubrir anomalías después de establecer una línea de base?

  • - De un vistazo: Las desviaciones son inmediatamente aparentes dentro de las visualizaciones.
  • - Chequeo a profundidad: las desviaciones requieren referencias cruzadas con otra información organizada o un examen más profundo de las visualizaciones y la tabla de captura asociada para reconocer las rarezas; por ejemplo, un desplazamiento a través de la leyenda del gráfico puede ser requerido para detectar desviaciones

 

3.- ¿Se requieren herramientas adicionales? ¿Se requieren herramientas de red o software adicionales para completar el análisis?

  • - Sí: el análisis requiere, al menos, del uso de otra herramienta (Nmap, Wireshark, SIEM, registros de firewall, etc.)
  • - No: las interfaces listas para usar y las herramientas de desglose son suficientes para completar el análisis

 

202001 08 LogRhythm UI 04

Figura 4: Matriz utilizada para evaluar NetMon Freemium de LogRhythm para una pequeña empresa

 

Como se puede ver en la matriz, estamos satisfechos con NetMon Freemium como una adición efectiva al kit de herramientas de ciberseguridad para un cazador de pequeñas empresas. El costo del hardware necesario también era razonable para una típica pequeña empresa. El proceso para instalar e integrar el producto en el entorno de red de una empresa fue sencillo. LogRhythm incluso tiene un archivo de preguntas frecuentes que proporciona información sobre el hardware requerido para obtener los mejores resultados con NetMon Freemium.

 

Beneficios de NetMon Freemium

La interfaz de usuario y la experiencia en NetMon Freemium son intuitivas y fáciles de configurar para la mayoría de los NTA contra los que juzgamos la herramienta. Creamos con éxito paneles para 10 de las 11 NTA presentadas en el póster de SANS. NetMon Freemium se reunió con algunos de los NTA desde el primer momento y, en breve, pudimos ser capaces de crear tableros novedosos que podrían ayudar al cazador de amenazas a identificar otras anomalías.

La capacidad de profundizar en un paquete, flujo o PCAP segundos después de identificar una anomalía ayuda a un cazador a investigar de manera rápida y eficiente y la captura automática de paquetes de (todos, si lo desea) los flujos de tráfico que distinguen a NetMon Freemium de otras herramientas. NetMon Freemium podría ser la única herramienta que un cazador necesitaría para identificar una anomalía y determinar la causa raíz de varios NTA.

Una vez que la herramienta se haya instalado y configurado para el entorno empresarial, predijimos que un cazador de amenazas pasaría de media hora a una hora al día usando los paneles para establecer líneas de base del tráfico de red normal. Una vez que el cazador se sienta cómodo con las líneas de base, debería poder detectar rápidamente las anomalías durante el mismo período de media hora, y luego usar la herramienta para planificar y ejecutar

 

Comience con LogRhythm NetMon Freemium

LogRhythm NetMon Freemium es una herramienta valiosa para alguien que busca anomalías de tráfico en la red de una empresa, especialmente porque el software es gratuito. Aunque tiene algunas limitaciones de front / backend, cumple con las mejores prácticas de la industria para el análisis del tráfico de red. Ciertamente, puede ayudar al tráfico de red de referencia del cazador, identificar anomalías y continuar con la investigación.

 

Fuente de información: https://logrhythm.com/blog/five-steps-to-threat-hunting-free-network-security-monitoring-tool/