jueves, 1 de junio de 2017

Threat Intelligence. Dame IOC´s-Consume IOC´s. MINEMELD OpenSource Palo Alto.

Estimados amigos de Inseguros !!!

En este blog junto con el de Eset España he hablado varias veces del Threat Intelligence y de herramientas que nos pueden ayudar para su gestión. Tambien teneis un video de PaellaCon con una charla que di al respecto.



En esta entrega de Inseguros no voy a profundizar en el uso del Threat Intelligence, para eso puedes tirar para atrás, pero si que voy a comentar un poco el uso de esta fabuloso herramienta similar a CIF pero bastante más ágil.

El concepto es MUY sencillo. Introducir IOC´s de distintas fuentes y lo exporto de distintas maneras.

En el mundo de la monitorización y los Security Operations Centers o SOC es irremediable contar con un conjunto de proveedores de inteligencia que ayuden la labor del analista a distinguir amenazas.

Estas fuentes deben ser libres por supuesto, de pago si lo consideras, externas y como no internas.

Imagina una alerta leve de un incidente a uno de nuestros activos. Contar con la información detallada del origen, y poder evaluar por ejemplo que se trata de una IP que lleva desde las 7:00 de la mañana barriendo una zona geográfica, y que un analista la ha considerado como maliciosa porque descarga una pieza de malware. Quizás a ti te haya una alerta del tipo respuesta DNS con contenido .ru ... pero tampoco vas a parar el mundo cada vez que esto sucede.. o si :-)

Al lío, vamos a "destripar" la herramienta para que juzgues por ti mismo.

El mundo de tener que pelearte con la máquina para instalar las cosas murió el día que aparecieron los how to´s verdad? claro que no :-) Murió con Docker/Ansible y las máquinas virtuales :-)


Podemos elegir cómo desplegar nuestras instalación, en un sistema bare-metal con todas las fuentes, o podemos hacer CLICK y que se despliegue la máquina en tu cloud favorito, externo o interno.

En mi caso despliego sobre Azure, me despliega una máquina pequeña mediante una plantilla, me abre los puertos ssh y https y en 3 minutos empieza a funcionar.

Mientras que empieza, puedas conectarte por ssh para ver el progreso.


Si todo ha ido bien se nos presentará un cuadro de mandos una vez hayamos hecho login con el usuario y password por defecto.


El primer concepto que debemos manejar es el de Node. Cada Node es un conjunto de configuraciones de entrada, procesamiento y salida. 

Hay un concepto de Prototype que es la configuración exacta del "parser" que va a recolectar la información. En el podemos configurar url,  intervalos, clasificación y demás. Vamos a ver por ejemplo un preconfigurado para AlienVault Reputation.


Creamos un Node que use este prototipo para que el proceso de recolección empiece.

Ahora tenemos esta fuente de información recolectando direcciones IP.

Ahora creamos otro node, del tipo OUTPUT en formato lista de ip pero podemos usar cualquier de las salidas disponibles, para que pasándole este input de Alienvault, genere una salida que podamos incorporar a cualquiera de nuestros sistemas que usen este formato.

Te dejo verlos durante un rato aquí: https://52.183.117.83/feeds/test
En formato CDIR: https://52.183.117.83/feeds/test?tr=1
En formato json: https://52.183.117.83/feeds/test?v=json-seq


El software pinta bien. Usa una arquitectura un poco rara o desconocida para mi, usando un motor de base de datos round robin=?!"·?!"·= y un servidor nginx

Ahora voy a cargarla lo más automáticamente las fuentes que manejo, en la actualidad, más de 120 y a ver cómo se comparta.

Espero que os guste la idea y que la manejes tu mismo.

Un saludo !!!