Analyst 
Fundamentals

Analyst Fundamentals

 

  • Por qué las organizaciones están enfocadas en "Security Intelligence".

  • They will get in!.

  • Administrando "Security Intelligence" de manera eficiente.

  • Manejo del ciclo de vida de una amenaza.

Capítulo I. el rol del analista

organizaciones enfocadas en security intelligence ?

La Prevención de Ataques es importante pero, los ataques pueden ser elaborados para evitar todas las medidas preventivas.

Las medidas de seguridad tradicionales son completamente importantes, pero son insuficientes por naturaleza. Las Organizaciones deben enfocarse en la seguridad con la siguiente mentalidad.

"Aún si no estamos comprometidos, podríamos estarlo en cualquier momento…”

the will get in!

Security intelligence de manera efectiva

Security Intelligence se centra en la creación de capacidades de detección y respuesta en una plataforma unificada. Motivo por el cual LogRhythm provee capacidades de visibilidad, colaboración y automatización.

manejo del ciclo de vida de una amenaza

Threat Lifecycle Management (TLM) refiere al flujo de trabajo sobre la plataforma de LogRhythm para minimizar los MTTD y MTTR. El flujo de trabajo para TLM se encuentra organizado en 6 etapas para la detección y respuesta:

Logrhythm y tu (el analista)

Basic administration

Capítulo II. conociendo la web console - parte i

 

  • Web Console.

  • Acciendo a la Web Console.

  • Exploración.

  • Análisis en los dashboards.

  • Análisis en el grid.

  • Administración de alarmas.

logrhythm Web console

La Consola WEB es usada para acceder a Logs, eventos y alarmas para resolver incidentes usando la herramienta integrada Case Management.

Debido a que es una aplicación basada en Web es posible acceder a ella usando los exploradores: Google Chrome, Internet Explorer 10 u 11, Mozilla FireFox o iPad/iPad Mini usando Safari.

Administrators

  • Global Administrators: Permisos para visualizar y administrar todos los componentes y Log Sources.
  • Restricted Administrators: Permisos para administrar algunos componentes y Log Sources restringido por entidades.

USUARIOS Y TIPOS DE PERFILES

Analysts

  • Global Analyst: Permisos para ver todos los datos colectados desde cualquier Log Source.
  • Restricted Analyst: Permisos específicos para datos colectados, pueden ser restringidos a Log Sources, Data Processor o Entidades de manera individual.

web console - barra de navegación

Pestañas a navegar

Verificación de estatus de conexión

Funciones adicionales

web console - rango de tiempo

Por defecto, cada Widget dentro de los Dashboards muestran información con respecto al rango de tiempo indicado para cada uno de ellos.

 

Podemos aplicar un rango de tiempo único para todos los componentes dentro de los Dashboards si es que se requiere.

webconsole - funciones

La Consola Web de LogRhythm está diseñada para soportar actividades de análisis tales como: Descubrimiento, Investigación y Manejo de datos de Eventos en Tiempo Real.

webconsole - Defautl dashboards

Executive Dashboard: Ideal para usuarios de nivel de gestión que realizan análisis, aseguran de que los requisitos por compliance cumplan, identifican actividades de alto riesgo y ayudan a gestionar el proceso de respuesta a incidentes.

Security Analyst Dashboard: Configurado para ingenieros de seguridad o analistas de centros de operaciones que monitorean amenazas y riesgos.

IT Operations Dashboard: Configurado para administradores de sistemas, administradores de red o profesionales de la mesa de ayuda que supervisan problemas operativos relacionados con la disponibilidad y el estado de los dispositivos, servicios y aplicaciones.

webconsole - widgetds

Current Processing Rate: Nos muestra el número de datos procesados en tiempo real.

Data Processing Trend: Muestra la tendencia de los datos procesados por LogRhythm a lo largo del tiempo

Top X: Muestra los primeros o últimos X valores de resultados para el metadato seleccionado.

Database Usage: Permite el fácil monitoreo de los niveles de las bases de datos mostrado bajo valor porcentual.

Component Status: Permite a los usuarios visualizar la salud todos los componentes del despliegue.

webconsole - custom widgetds

La Consola Web permite agregar, eliminar, reorganizar y cambiar el tamaño de los Widgets, así también, guardar el diseño del Dashboard. Permite la modificación de ajustes para mostrar información de los diferentes tipos de Metadatos disponibles.

webconsole - login

El acceso a la Consola Web dependerá de los siguientes aspectos:

  • Servidor donde se instaló el servicio.
  • Credenciales correctas creadas dentro de la Consola Cliente. 

webconsole - análisis

El análisis implica revisar los logs para detectar:

  • fluctuaciones
  • desviaciones
  • rarezas
  • actividades sospechosas.

webconsole - grid de análisis

Evidencia de riesgos y amenazas existirán en los datos forenses generados y colectados a lo largo de la organización. Estos datos pueden ser vistos mediante dos herramientas de análisis:

  • Dashboards
  • The Analyzer Grid

webconsole - detalles y acciones

Cada fila en el Analyzer Grid representa un evento o una serie de eventos. Dando click sobre la fila seleccionada se desplega la vista Details&Actions la cual contiene 3 sub vistas.

 

  • Event & Actions.
  • Log Message.
  • Inferred Identity

webconsole - visor de reglas de aie

webconsole - administración de alarmas

Cuando regla de alertamiento es disparada, la alarma es visualizada en el tab Alarms para su análisis.

webconsole - vista de grid

Permite visualizar información inicial en un formato de tabla.

webconsole - gestión de alarmas

Logrhythm habilita las actividades de gestión de alarmas de un analista con las siguientes características:

  • Sort and Filter.
  • Trend Chart.
  • Status.
  • Inspector Window.
  • Drilldown.
  • Add to Current Case.
  • SmartResponse.

webconsole - link para multiple alarmas

Para permitir una colaboración sencilla, LogRhythm permite compartir links con múltiples alarmas, las cuales se desplegarán con los ID´s que se adjunten a la liga:

https://xxx.xxx.xxx.xxx:8443/alarms/nnnnn,nnnnn,nnnnn

Basic administration

Capítulo III. conociendo la web console - parte ii

  • Herramientas de busqueda.

  • Gestión de casos.

  • Reportes.

  • Gestión de listas.

herramientas de busqueda

Otras de las funciones de la consola web son las búsquedas. La consola web de LogRhythm provee diversas herramientas para la ejecución de Búsquedas.

  • La Ventana de Búsqueda.
  • Syntaxis de Consulta bajo Lucene.
  • La página de Búsqueda.

webconsole - busquedas

La Ventana de Búsqueda es accesada mediante el botón Search localizado en la parte superior derecha de la Web Console.

Desde la ventana de Búsquedas, los analistas pueden especificar criterios para una nueva búsqueda, ejecutar alguna previamente ejecutada, editar los criterios utilizados en la última búsqueda y guardar estas mismas para un acceso rápido en el futuro.

busquedas con sintaxis de lucene search

Las consultas de sintaxis de Lucene, brindan la capacidad de filtrar los datos que se muestran en la consola web en función de los criterios especificados.

webconsole - página de busquedas

La página de búsquedas permite visualizar el historial de las búsquedas realizadas. De la misma manera permite la edición y ejecución de las búsquedas enlistadas.

webconsole - time out de queries

webconsole - guardando busquedas

Para un Acceso Rápido a búsquedas que se ejecutan rutinariamente, LogRhythm permite guardar las Búsquedas construidas.

webconsole - opciones adicionales de busquedas

webconsole - case managment

webconsole - página de casos

webconsole - reportes

webconsole - listas

Las listas son una parte importante de LogRhythm y pueden ser administradas desde la cosola cliente y desde la Webconsole.

Basic administration

Capítulo Iv. la tarea del analista

 

  • Fishing e-mail análisis.

  • Reunión de datos forences con LogRhythm.

  • Clasificación.

  • Investigación.

  • Neutralización de las amenazas.

  • Recuperación.

Phising email scenario

Durante este capítulo demostraremos el camino hacia el Manejo del Ciclo de Vida de una Amenaza (TLM) para el escenario en mención. En este escenario queremos detectar actividad sospechosa de e-mail seguido de un ataque y como es que se compromete un sistema interno. Desde aquí, como un analista, necesitarías utilizar la Consola Web de LogRhythm para seguir clasificando e investigando el escenario previo para observar qué sucedió desde que el incidente fue lanzado.

reuniendo información en logrhythm

reuniendo información en logrhythm

descubrimiento - revisión de datos y gráficas

descubrimiento - revisión de reportes

descubrimiento - monitoreo de nuevas alarmas

calificación

calificación - drill down

calificación - analyzer grid

calificación - pivote sobre datos relacionados

calificación de datos retornados

investigación

investigación - búsqueda

investigación - resultados de la búsqueda

investigación - busquedas por

investigación - rastreo mediante case management

neutralizar amenaza

neutralizar amenaza

recovery

mide tu mttd & mttr

AI Engine
Fundamentals

Basic administration

Capítulo i. introducción

 

  • Descripción de AI Engine

  • Flujo de datos.

  • Configuraciones comunes.

  • Reglas compuestas.

  • Acciones del AI Engine.

  • AI Engine Intelligence

AIE - DESCRIPCIÓN

flujo de datos

aie - configuraciones comunes

aie - reglas compuestas

LogRhythm permite el uso de uno o más bloques para Reglas Complejas o Compuestas. Cada bloque incluido puede contener criterios distintos de búsqueda.

aie - acciones

aie - también puede aprender

LogRhythm Analyst Fundamentas & AIE Introduction

By Julio César

LogRhythm Analyst Fundamentas & AIE Introduction

Courso de LogRhythm

  • 154
Loading comments...

More from Julio César