martes, 5 de abril de 2016

Sandia Cyber Omni Tracker (SCOT). Herramienta para SOC gratuita.

Estimados amigos de Inseguros !!!

En el apartado de hoy vamos a hablar de una herramienta MUY interesante para la gestión del departamento de seguridad, o SOC (Security Operations Center). Sandia Cyber Omni Tracker. 

No es la primera vez que hablamos de este tipo de herramientas en el blog. Una herramienta muy interesante la comentamos con el artículo de MISP.

Realmente sería adecuado para la fase de respuesta a incidentes.


La herramienta no detecta incidentes ni nada por el estilo. Simplemente es un repositorio centralizado de conocimiento para que el trabajo de los analistas se comparta entre grupos grandes para encontrar patrones y compartir información.

Una vez seguido el proceso de instalación, automático, tenemos la herramienta disponible para su uso.

Después de realizar las configuraciones habituales y algunas de las recomendaciones que me indican los desarrolladores, paso a la fase de trasteo.



Como se aprecia en la imagen, podemos añadir información y ficheros. Automáticamente calcula los distintos hashes e identifica en amarillo los IOC´s.



La herramienta proporciona posibilidades de conexión con un api tipo REST para introducir eventos, al igual que podemos hacerlo mediante un simple buzón de correo de entrada.

El trabajo tiene muy buena pinta pero la herramienta es un poco "poco usable" al menos en los navegadores que he probado. Quizás sea un proyecto a seguir de cerca y su evolución para el futuro.

Como siempre recomiendo leer la documentación oficial en detalle y que cada uno haga sus pruebas.

Espero que os sirva de ayuda, gracias por leerme !!!