let's talk about selks · dns ssh Éric leblond (stamus networks) let’s talk about selks 5...
TRANSCRIPT
![Page 1: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/1.jpg)
Let’s talk about SELKS
Éric Leblond
Stamus Networks
5 juin 2014
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 1 / 13
![Page 2: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/2.jpg)
Éric Leblond
[email protected] de Stamus NetworksCore développeur de l’IDS/IPS Suricata
[email protected] sur les interactions noyau-espace utilisateurHacking noyauMainteneur de ulogd2@Regiteric sur twitter
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 2 / 13
![Page 3: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/3.jpg)
Sécurité défensive
Un grand manque de sexyInterface réalisée par des techsProductivité peut-êtreMais pas de fun
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 3 / 13
![Page 4: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/4.jpg)
Sécurité défensive
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 4 / 13
![Page 5: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/5.jpg)
Suricata 2.0
EVENouvelle sortie unifiée en JSONBranchement facile de solutions comme Logstah ou Splunk
ContenuAlertesÉvénements :
HTTPFileTLSDNSSSH
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13
![Page 6: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/6.jpg)
Suricata + Kibana
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 6 / 13
![Page 7: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/7.jpg)
Un exemple d’événements
{"timestamp":"2014-06-05T09:59:03.829619","event_type":"ssh","src_ip":"1.2.3.4","src_port":49316,"dest_ip":"4.5.6.7","dest_port":22,"proto":"TCP","ssh":{
"client":{"proto_version":"2.0","software_version":"libssh-0.1"
},"server": {
"proto_version":"2.0","software_version":"OpenSSH_6.6.1p1 Debian-5"
}}
}
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 7 / 13
![Page 8: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/8.jpg)
Deny On Monitoring
def main_task ( args ) :setup_logging ( args )f i l e = open ( args . f i l e , ’ r ’ )while 1:
where = f i l e . t e l l ( )l i n e = f i l e . r ead l i ne ( )i f not l i n e :
# Dodot ime . sleep ( 0 . 3 )f i l e . seek ( where )
else :t ry :
event = json . loads ( l i n e )except j son . decoder . JSONDecodeError :
t ime . sleep ( 0 . 3 )break
i f event [ ’ event_type ’ ] == ’ ssh ’ :i f ’ l i b s s h ’ in event [ ’ ssh ’ ] [ ’ c l i e n t ’ ] [ ’ so f tware_vers ion ’ ] :
# Vas−y Francis , c ’ es t bon bon bonc a l l ( [ IPSET , ’ add ’ , args . ipse t , event [ ’ s r c_ ip ’ ] ] )
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 8 / 13
![Page 9: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/9.jpg)
Deny On Monitoring
Quelques retours utilisateurs
Dom est une des protections essentielles du réseau du FMI
Christine Lagarde
Dom, c’est vraiment bien contre le scan de porc
Marcela Lacub
Dom, y nique trop de scans
Dodo la saumure
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13
![Page 10: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/10.jpg)
Deny On Monitoring
Quelques retours utilisateurs
Dom est une des protections essentielles du réseau du FMI
Christine Lagarde
Dom, c’est vraiment bien contre le scan de porc
Marcela Lacub
Dom, y nique trop de scans
Dodo la saumure
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13
![Page 11: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/11.jpg)
Deny On Monitoring
Quelques retours utilisateurs
Dom est une des protections essentielles du réseau du FMI
Christine Lagarde
Dom, c’est vraiment bien contre le scan de porc
Marcela Lacub
Dom, y nique trop de scans
Dodo la saumure
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13
![Page 12: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/12.jpg)
Deny On Monitoring
Quelques retours utilisateurs
Dom est une des protections essentielles du réseau du FMI
Christine Lagarde
Dom, c’est vraiment bien contre le scan de porc
Marcela Lacub
Dom, y nique trop de scans
Dodo la saumure
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13
![Page 13: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/13.jpg)
SELKS
Une ISO live et installableBasée sur debian liveUn Suricata configuré et gérable par le web
ContenuSuricata : en version 2.0.1Elasticsearch : base de données, recherche plein texte.Logstash : collecte des infos et stockage dans ElasticsearchKibana : interface d’analyse des donnéesScirius : interface web de management de ruleset
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 10 / 13
![Page 14: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/14.jpg)
Capture d’écrans : le bureau
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 11 / 13
![Page 15: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/15.jpg)
Capture d’écrans : Scirius
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 12 / 13
![Page 16: Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny](https://reader033.vdocuments.net/reader033/viewer/2022042921/5f6ae2b059a38100381e28f1/html5/thumbnails/16.jpg)
Questions ?
ContactE-mail : [email protected] : @Regiteric
Plus d’infosSELKS : https://www.stamus-networks.com/open-source/#selks
Suricata : http://www.suricata-ids.org/Elasticsearch : http://www.elasticsearch.orgDOM : https://github.com/regit/DOM
Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 13 / 13