Realizado por: Sebastián Larrea Henao.
Inteligencia de amenazas
Una plataforma de inteligencia de amenazas automatiza el procesamiento y análisis de datos de múltiples fuentes mejorando la seguridad de SIEM. Esto alivia la sobrecarga del personal proporcionándoles un medio eficaz de análisis en tiempo real. De este modo, los equipos de seguridad pueden responder con mayor rapidez y precisión a las amenazas.
Documentación
Para la contrucción de la plataforma de inteligencia de amenazas se hizo uso de tres softwares open source, estos son: TheHive, Cortex y MISP. Con la integración de estas tecnologías se puede realizar la automatización de la gestión de los incidentes de seguridad, además mejora la confiabilidad y eficiencia de los reportes de amenazas generados para nuestros clientes.
Cada tecnología utilizada en el desarrollo de este proyecto cumple una función especifica para garantizar el correcto funcionamiento del proyecto, TheHive es una plataforma diseñada para facilitar la vida de los SOC, CSIRT, CERT y cualquier profesional de seguridad de la información que se ocupe de incidentes de seguridad que deban ser investigados y tomados medidas. rápidamente.
Cortex es una herramienta que permite analizar observables que se han recopilado, a escala, consultando una sola herramienta en lugar de varias, los objetos observables, como direcciones IP y de correo electrónico, URL, nombres de dominio, archivos o hashes, se pueden analizar uno por uno o en modo masivo mediante una interfaz web.
MISP es una plataforma de inteligencia contra amenazas especialmente utilizada para la compartición, almacenaje y correlación de Indicadores de compromiso, persiguiendo tener una comunidad colaborativa sobre amenazas existentes, cuyo objetivo es ayudar a mejorar las contramedidas utilizadas contra los ataques dirigidos y establecer acciones preventivas y de detección.
Junto con MISP, Cortex es el compañero perfecto para TheHive . TheHive le permite analizar decenas o cientos de observables en unos pocos clics aprovechando una o varias instancias de Cortex según sus necesidades de OPSEC y requisitos de rendimiento. Además, TheHive viene con un motor de plantillas de informes que le permite ajustar la salida de los analizadores Cortex a su gusto en lugar de tener que crear sus propios analizadores JSON para la salida Cortex.
TheHive y Cortex cuentan con un cliente API cada uno, ambos son consumidos a través de modulos de python, esto permite la creación de un script que ayude a la automatización ce estas tareas que deben ser ejecutadas por el FronEnd, lo cuál hace que el proceso de gestión de incidentes sea aún más eficientes.
El flujo de trabajo de nuestra plataforma consiste en el reenvío de logs de nuestros controles a TheHive a través de ElastAlert, para este procedimiento lo más importante es la elección de observables que contienen las alertas (Es decir, la información relevante que merece ser analizada). Luego de reenviadas las alertas a TheHive se crean casos en los cuales se corren analisis a los observables, esto dependiendo de que tipo de observables sean (Ip, dominio, hash, file), los analizadores utilizados para correr estos analisis son los que se encuentran contenidos en Cortex. Todo esto se puede hacer desde TheHive gracias a la posibilidad de integración de estas dos herramientas. Basado en los resultados obtenidos en los análisis tenemos la opción de ejecutar reponders, un responder es un programa que toma la entrada JSON y realiza una acción y produce un resultado básico de esa acción.
