Capítulo 12: Análisis de datos de

intrusiones

Operaciones de Ciberseguridad v1.1

Capítulo 12: Objetivos

 COMPRENDER SOBRE MONITOREO DE LA SEGURIDAD DE LA RED.

 ANALIZAR CÓMO SE REGISTRAN, EVALÚAN, DERIVAN Y CONSERVAN

COMO PRUEBA LAS ALERTAS DE SEGURIDAD DE LA RED.
 CONOCER LOS TIPOS DE DATOS CON LOS QUE TRABAJAN A DIARIO LOS
ANALISTAS DE CIBERSEGURIDAD.

2
12.1.1.1 Security Onion

3
4
12.1.1.2. Herramientas de
detección para recopilar
datos de alertas

5
En la figura, se ejemplifica
una vista simplificada de la
manera en que algunos de
los componentes de
Security Onion funcionan
juntos.

6
CapME:
• Una aplicación web que permite la
visualización de transcripciones
producidas con las herramientas
tcpflow o Bro.
• Es posible tener acceso a CapME
desde la herramienta Enterprise Log
Search and Archive (ELSA)
Snort:
• Sistema de detección de intrusiones
en la red (NIDS, Network Intrusion
Detection System).
• Es una fuente importante de los
datos de alerta que se indexan en la
herramienta de análisis Sguil.
• Snort puede descargar
automáticamente reglas nuevas
utilizando el componente PulledPork
de Security Onion.
Bro:
• Un NIDS que utiliza más de un enfoque
con base en el comportamiento
• Utiliza políticas en forma de secuencias
de comando que determinan qué datos
registrar y cuándo emitir notificaciones
de alerta.
• Bro también puede enviar archivos
adjuntos para someterlos a análisis de
malware, bloquear el acceso a sitios
maliciosos y apagar una computadora
que parezca estar violando las políticas de
seguridad.

OSSEC:
• Un sistema de detección de intrusiones
con base en el host (HIDS, Host-based
Intrusion Detection System) que se
integra en Security Onion.
• Monitorea activamente las operaciones
del sistema del host, entre ellas, el
monitoreo de integridad de archivos, el
monitoreo de registros locales, el
monitoreo de procesos del sistema y la
detección de rootkits.
Suricata:
• Un NIDS que utiliza un enfoque basado en
firmas. También puede usarse para la
prevención de intrusiones en línea.
• Es similar a Bro; sin embargo, Suricata
utiliza la creación nativa de subprocesos,
que permite la distribución del
procesamiento de flujos de paquetes en
múltiples núcleos de procesador.
7
12.1.1.3 Herramientas de
análisis

8
Security Onion integra estos diferentes
tipos de datos y registros del sistema de
detección de intrusiones (IDS) en una
única plataforma mediante las
siguientes herramientas

9
 ELSA:
Sguil:
• Proporciona una interfaz para
una amplia variedad de
• Proporciona una consola registros de datos de NSM.
para que los analistas de • Es posible configurar el
ciberseguridad de alto registro de fuentes, como
nivel puedan investigar HIDS, NIDS, firewalls, clientes
las alertas de seguridad a y servidores de syslog, servicios
partir de una amplia de dominio y otros.
variedad de fuentes. • ELSA se configura para
• normalizar los registros de
• Sguil sirve como punto diversas fuentes de modo que
de partida para la se puedan representar,
investigación de alertas almacenar y usar siguiendo un
de seguridad. esquema común.
Wireshark
• Una aplicación de captura
de paquetes que está
integrada en el conjunto
de productos de Security
Onion.
• Puede abrirse
directamente con otras
herramientas y permite
ver capturas de paquetes
completos relevantes para
un análisis.
10
12.1.1.4. Generación de
alertas

11
Las alertas de seguridad son los mensajes de notificación que generan las herramientas, los sistemas y los
dispositivos de seguridad de NSM. Las alertas pueden adoptar muchas formas según la fuente.

Las alertas suelen incluir información de cinco tuplas cuando esté disponible, así como marcas de hora y la
información necesaria para identificar qué dispositivo o sistema generó la alerta

Cinco tuplas incluyen la siguiente información para el seguimiento de una conversación entre una aplicación
de origen y una de destino

• SrcIP: la dirección IP de origen para el evento.

• SPort: el puerto de la capa 4 de origen (local) para el

evento.

• DstIP: la dirección IP de destino para el evento.

• DPort: el puerto de la capa 4 de destino para el evento.

• Pr: el número de protocolo IP para el evento.

12
Sguil, los campos disponibles para los eventos en tiempo real son los siguientes:
ST
• El estado del evento. RT significa
tiempo real. La prioridad del
evento se categoriza usando
colores.
• Las prioridades dependen de la
categoría de la alerta. Hay cuatro
niveles de prioridad: muy baja,
baja, media y alta. Los colores van
del amarillo claro al rojo a medida
que la prioridad aumenta.
IDENTIFICACIÓN DE ALERTA:
• Este número de dos partes
representa el sensor que informa el
problema y el número de evento
para ese sensor.
CNT
• El recuento de la cantidad de
veces que se detectó este evento
para la misma dirección IP de
origen y de destino.
• El sistema determina que este
conjunto de eventos está
correlacionado.
FECHA Y HORA
• La fecha y hora del primer evento en
una serie de eventos correlacionados.
SENSOR
• El agente que informa el evento.
• Los sensores disponibles y sus
números de identificación pueden
encontrarse en la ficha de estado
del agente del panel que aparece
debajo de la ventana de eventos a
la izquierda.
• Desde el panel de estado del
agente, podemos ver que los
sensores de OSSEC, pcap y Snort
envían informes a Sguil.
MENSAJE DE EVENTO
• El texto que identifica el
evento. Se configura en la regla
que desencadenó la alerta.
• La regla asociada puede verse
en el panel derecho, justo
encima del paquete de datos.
13
14
12.1.1.5. Reglas y alertas

15
Las alertas pueden provenir de una serie de fuentes:

• NIDS: Snort, Bro y Suricata

• HIDS: OSSEC
• Administración y monitoreo de activos: sistema de detección de activos pasivos (PADS)
• Transacciones HTTP, DNS y TCP: registradas por Bro y pcaps
• Mensajes de syslog: de múltiples fuentes

La información en las
alertas que aparece en
Sguil diferirá en cuanto
al formato del mensaje,
ya que provienen de
fuentes diferentes.

16
12.1.1.6. Estructura de la
regla de Snort

17
El encabezado de la regla contiene:
la acción, el protocolo, las direcciones IP y
máscaras de red de origen y destino, y la
información del puerto de origen y de
destino.

Opciones de la regla contiene mensajes de

alerta e información sobre qué partes del
paquete deben ser inspeccionadas para
determinar si debe adoptarse la acción de
la regla.

La ubicación de la regla es la ruta al archivo

que contiene la regla y el número de línea
en la que la regla aparece para que sea
posible encontrarla y modificarla o
eliminarla si hace falta.

18
El encabezado de las reglas
El encabezado de la regla contiene la
información sobre:
la acción, el protocolo, las direcciones y el
puerto. Además, se indica la dirección del flujo
que desencadenó la alerta.

La estructura de la parte del encabezado es la

misma entre las reglas de alerta de Snort.
Snort puede configurarse para utilizar
variables a fin de representar direcciones IP
internas y externas. Estas variables,
$HOME_NET y $EXTERNAL_NET,
aparecen en las reglas de Snort. Permiten
simplificar la creación de reglas eliminando la
necesidad de detallar direcciones y máscaras
específicas para cada regla.
Snort también permite especificar en las reglas direcciones IP individuales, bloques de direcciones o
listas de cualquiera de estos.

Es posible especificar los rangos de puertos separando los valores superiores e inferiores del
rango con dos puntos. También hay disponibles otros operadores. 19