Inicio Como montar un SIEM y EDR en Elastic Cloud GRATIS
Entrada
Cancelar

Como montar un SIEM y EDR en Elastic Cloud GRATIS

Vamos a aprender a como montar un SIEM con Elastic en Cloud con su EDR activado y además ponerlo a prueba en una máquina Windows virtual.

¿Qué es un SIEM?

Un SIEM (Security Information and Event Management) es un programa de monitorización que recopila, analiza y correlaciona logs en tiempo real.

Tener un SIEM es necesario por la capacidad de analizar logs fuera de la máquina, crear alertas en base a esos logs, integrar nuevas herramientas de detección y repuesta y al final correlacionar eventos en un entorno donde la comodidad y la velocidad de la muestra de los logs es importante.

Registro Elastic

Lo primero de todo es registrarse en Elastic donde te darán 15 días gratis sin pedir tarjeta

https://cloud.elastic.co/registration

Registro Elastic

Una vez registrado te pedirán algunos datos que te los puedes inventar

Registro Datos Elastic

Finalmente, nos pedirá donde crear nuestro deployment. Yo lo dejé por defecto

Registro Deployment Elastic

Añadir agentes

Los agentes son programas diseñados para enviar información de los logs del host al Stack de Elastic.

Para añadir un host y agregarle el agent vamos a instalar la ISO de windows en nuestro VMware o VirtualBox.

Después de hacer una correcta instalación de windows en nuestra máquina virtual, seguimos con la instalación del agente.

Paso Elastic

Nos aparecerá esta interfaz donde haremos clic en Management - Fleet

Fleet Elastic

Después, hacemos clic en Add agent

Add Agent Elastic

Creamos una policy llamada Windows

Agent Elastic

Lo dejamos en recommended Agent Elastic

Aquí copiamos el código para pegarlo en un powershell con privilegios en la máquina Windows Agent Elastic


Paso Windows

En nuestra máquina virtualizada iniciamos powershell como administrador.

Powershell Windows

Creamos una carpeta nueva y ejecutamos el código copiado de Elastic con botón derecho

Powershell Windows

Una vez finalice, en Elastic podremos ver que se ha completado correctamente.

Fleet Completado Windows

Fleet Completado Windows

Instalación de Sysmon

Sysmon es una utilidad que monitorea Windows de una forma la cual te provee de logs con información detallada sobre procesos, conexiones de red y más. Es uno de los mejores logs para investigar.

Vamos a descargar Sysmon desde aquí y la configuración necesaria desde aquí

Sysmon Windows


Una vez descargados, iniciamos powershell como administrador y ejecutamos el siguiente código

1
.\Sysmon64.exe -accepteula -i .\sysmonconfig-export.xml

Sysmon Windows


Para ver que el servicio está corriendo correctamente, ejecutamos el siguiente código

1
Get-Service | findstr 'Sysmon'

Sysmon Windows

Con esto hemos instalado Sysmon y nos hace falta poder enviarlo a Elastic

Instalación de Integraciones

Para enviar todos los logs del agent de Windows, hay que instalar una integración a la política existente.


Vamos a Management - Fleet - Agent Policy y hacemos clic en la política que creamos de Windows

Policy Windows

Clicamos en Add integration

Policy Windows

Buscamos Windows, hacemos clic y lo añadimos

Integration Windows

Integration Windows

Dejamos todo como está y guardamos

Integration Windows

Integration Windows

Ahora podremos recopilar todos los logs de Sysmon de forma correcta y nos faltaría el EDR.

Instalación del EDR

Un EDR (Endpoint Detection and Response) es una solución de seguridad diseñada para detectar, investigar y responder ante posibles amenazas de los endpoints conectados. Las técnicas de detección de un EDR son avanzadas y además nos provee de alertas a nuestro SIEM.

Para instalarlo hay que ir a integraciones y buscar Elastic Defend

EDR Windows

Añadimos Elastic Defend

EDR Windows

Lo dejamos todo por defecto

EDR Windows

Guardamos y desplegamos los cambios

EDR Windows


Verificación de la instalación

Buscamos en Security - Manage - Endpoints que todo se haya producido correctamente

EDR Windows

Una vez que nos aparezca nuestro host podremos:
Aislar la máquina, ejecutar comandos con “Respond” para poder hacer de respuesta a incidentes (aunque no es la mejor opción) y ver todos los detalles del host.

EDR Windows


Añadir Reglas

Vamos a añadir todas las reglas que nos proporciona Elastic Defend
En Alerts hacemos clic en Manage Rules

Rules Windows

Las seleccionamos todas y las habilitamos Rules Windows

Uso del EDR

Detección Doble extensión

Para ponerlo a prueba vamos a copiar el ejecutable de la calculadora y vamos a añadir de nombre calc.jpg para que haga de doble extensión y lo ejecutamos.

Al iniciar la calculadora podemos ver que ha bloqueado la ejecución por tener doble extensión ya que es una técnica de Masquerading utilizada para engañar al usuario. Calc Windows

Vamos al explorador de archivos y en vista marcamos Extensiones de nombre de archivo

Calc Windows

Ahora podremos ver que realmente tenía doble extensión y estábamos intentando enmascarar la extensión real que era .exe

Calc Windows

Esta incidencia ha aparecido en Alertas de Security (se ejecutó dos veces)

Alerta Windows

También si buscamos en Kibana calc.jpg nos aparece (Kibana se encuentra en Analytics - Discover)

Alerta Windows

Detección RTLO

Para probar otra técnica mas sofisticada hemos probado RTLO con esta herramienta https://github.com/BlackShell256/RTLO

Esta técnica haría bypass al antivirus pero sería bloqueado por el EDR.

Alerta Windows

Alerta Windows

Para más información de este tipo de técnicas de Masquerading visita: https://attack.mitre.org/techniques/T1036/

Esta entrada está licenciada bajo CC BY 4.0 por el autor.