Estimados amigos de Inseguros !!!
En el post de hoy os voy a mostrar una herramienta que se emplea en algunos departamentos de ciberseguridad, en SOC o centros de respuesta a incidentes que me parece interesante. Se trata del proyecto DFIRTrack. El nombre lo indica todo, es una herramienta gráfica que nos permite documentar nuestras investigaciones, registrando los procesos que realizan los operadores y la información de valor.
Como sabéis los que estáis en las trincheras, igual de importante es atajar el problema, por ejemplo de un ransomware, desde la parte técnica en un cliente, como de la parte de registrar todas las actuaciones y así poder realizar una tarea de documentación, o incluso el mismo proceso, de manera ordenada y adecuada para el cliente.
A qué hora se abrió el incidente, quien lo revisó, qué equipos se analizaron, qué artefactos, que conclusiones por cada uno, esto es igual de importante hacerlo como documentarlo.
El proceso de instalación de la herramienta es muy sencillo y está muy bien documentado en la web del proyecto. Podemos optar por contenedores o instalaciones “nativas”.
Si usas docker como yo en un entorno cloud, Azure , ten la premisa de escribir en el fichero .env el hostname público del equipo, del estilo : https://mimamamemima.cloudapp.azure.com/ en el campo fqdn para que puedas usar la navegación https, por lo demás, poco más que levantar un docker-compose up
Como es normal, debemos configurar un poco las opciones a nuestro gusto, los tags, las opciones, personalizar la herramienta para que podamos registrar nuestros procesos operativos en ella. Por ejemplo, hemos añadido un tag Ransomware para poder clasificar la idiosincrasia del incidente o caso.
Una de las cosas interesantes que nos ofrece el software es la capacidad para diseñar workflows, en los que podamos anidar distintas tareas para guía al operador o gestor del incidente.
Estos workflows se vinculan a tareas sobre un sistema, no sobre un caso ... por lo que sirve para eso, para tener clara las tareas a hacer en cada sistema, pero a nivel macro, no podremos por ejemplo configurar un proceso que sea enviar a comercial una petición de precio...
La herramienta funciona bien y es estable, si bien, carece de algunas opciones que a mi me gustaría como el reporting, pero tenemos acceso a una API con la que podremos extraer artifacts y llevarnoslos a nuestro the hive o misp o cualquier otro proceso de orquestación que necesitemos.
Al menos, nos puede ayudar a definir un poco mejor el proceso de una respuesta a incidentes, la categorización,etc, sea con esta herramienta o con otra.
Como has podido ver, seguimos con esa visión de aportar elementos ofensivos y defensivos, según el role que te toque desempeñar.
Si estás interesado en servicios de formación donde puedas ampliar tu conocimiento tanto ofensivo como defensivo, puedes consultar el
Master de Ciberseguridad en Entornos Microsoft que hemos preparado en Verne para este 2021-2022.
Espero que os guste y lo probeis.
Gracias por leerme.