Hace ya un tiempo
hablamos de la distro Security Onion para monitorizar nuestra actividad de red.
Hicimos una configuración básica para empezar a jugar.
Seguimos jugando.
Vamos a actualizar la ditro. sudo apt-get update && sudo apt-get dist-upgrade. por costumbre :-)
Como vimos en anteriores post, para entrar en Snorby para repasar las alertas tenemos que acceder, siempre mediante
https://ip:444
Vamos a entrar en uno de los eventos que me ha monitorizado.
Como podéis ver, nos muestra vierta información sobre el evento, como por ejemplo la Policy o política que lo ha detectado, ip origen, destino, puertos. Interesante ver la opción del payload, en donde podemos ver el broadcast tanto en Hexadecimal como en ASCII.
Si ampliamos la información sobre el equipo "atacante" nos engancha con un Whois externo y con una resolución de nombres DNS, incluida resolución DNS inversa.
Otra opción interesante es la de búsqueda, permitiéndonos realizar todo el "juego" o combinaciones para estudiar o hacer un seguimiento a los eventos que nos interesan.
Podemos ampliar la información de Snorby añadiéndole clasificaciones para los eventos. Voy a crear una para identificar eventos que generan tráfico de red multidifusión, para estudiar posteriormente.
Entramos en un evento, y pinchamos sobre Perform Mass Classification, para atribuir a este tipo de eventos la categoría anteriormente creada.
Seleccionamos la categoría, y esta vez en vez de hacer la típica clasificación de ip origen para detectar un atacante, ponemos la dirección de multidifusión como destino de nuestra clasificación.
Aquí podemos ver los eventos atribuidos.
En las opciones de administración también podemos configurar nuestro servidor de whois favorito.
También podemos crear nuestros usuarios, para grupos de trabajo de más de uno :-).
Como siempre, espero que os guste este mini-post sobre Snorby, continuando la saga de Security Onion. Durante los próximos días seguiremos destripando esta distro.
Un saludo amigos !!!
Google +