Caros,
Estou vendendo a gravação do treinamento de OSSEC realizado no primeiro semestre desse ano. O Curso é baseado na versão 2.8.1, seguindo o manual de referência bem como na sua maioria com muita prática. Além de tudo, o curso é bem informal e vamos criando testes de acordo com pedido dos alunos. Grade do Curso (dividido em 13 aulas):
1. Entendo funcionamento OSSEC HIDS x NIDS
1.1. Funcionalidades OSSEC
1.2. Modos instalação
1.3. Sistemas suportados
2. Instalando o OSSEC
2.1. Requisitos
2.2. Modos instalação Local / Agente / Servidor
2.3. Replicando instalação
3. Configurações OSSEC
3.1. Cliente e Servidor
3.2. Alertas
3.3. Regras
4. Decoders/Regras
4.1. Entendendo os Decoders
4.2. Entendendo as Regras
4.3. Linkando decoders e regras
5. Sistema de Integridade e detecção de rootkits
5.1. O que é um rootkit?
5.2. Como funciona a detecção de rootkit do ossec
5.3. Monitorando a integridade de seu sistema (HIMS)
6. Active Response
6.1. Active Response disponíveis
6.2. Configuração de Active Response
6.3. Ferramentas Active Response
7.Usando interface web
7.1. Instalando a interface web
7.2. Analisando e pesquisando eventos
8. Integração básica Elastic Search / Kibana
Investimento: R$ 499,00
Interessado entrar em contato via comentário ou e-mail spooker@gmail.com
Happy Detection!
Rodrigo "Sp0oKeR" Montoro
Here I will post some security tips, articles / paper mine or from other blogs that I think interested . I Iove computer subjects related in special: - Penetration Tests - Network Intrusion Detection and Prevention - Network Behaviour - SIEM - Network Security Monitoring (NSM) - Incident Response - Firewall, - Host Intrusion Detection System - The Open Web Application Security Project (OWASP) - Capitulo Brasil - fuzzing - Vulnerability - Packet Analisys - Log Analysis - Beer =)
domingo, 19 de julho de 2015
quarta-feira, 1 de julho de 2015
TOP30 Emerging Threats (ET) Snort alerts e IP nos honeypots
Instalei em 3 sensores da honeynet o meu querido snort. Logicamente o Snort só detecta o que já conhece, visto que são regras de blacklist, mas acho interessante ter ele rodando em paralelo com os daemons.
Abaixo a lista das TOP30 regras que alertaram:
TOP30 IP de origem que geraram essas regras:
Pretendo colocar sensores internos em redes reais, o que acredito que adicionará outros alertas, porém é válido ativar essas regras caso não as possua.
Ainda estou em fase de testes e pretendo num futuro compartilhar essas informações de forma automatica (API) ou site.
Happy Snorting!
Rodrigo "Sp0oKeR" Montoro
Abaixo a lista das TOP30 regras que alertaram:
8241 [**] [1:2017162:2] ET SCAN SipCLI VOIP Scan [**]
5469 [**] [1:2402000:3709] ET DROP Dshield Block Listed Source group 1 [**]
4309 [**] [1:2001219:19] ET SCAN Potential SSH Scan [**]
2308 [**] [1:2011716:4] ET SCAN Sipvicious User-Agent Detected (friendly-scanner) [**]
2179 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433 [**]
2129 [**] [1:2010937:2] ET POLICY Suspicious inbound to mySQL port 3306 [**]
1862 [**] [1:2008578:6] ET SCAN Sipvicious Scan [**]
1162 [**] [1:2402001:3709] ET DROP Dshield Block Listed Source group 1 [**]
1031 [**] [1:2500108:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 55 [**]
624 [**] [1:2500132:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 67 [**]
568 [**] [1:2400000:2488] ET DROP Spamhaus DROP Listed Traffic Inbound group 1 [**]
280 [**] [1:2101411:12] GPL SNMP public access udp [**]
249 [**] [1:2500028:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 15 [**]
232 [**] [1:2500106:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 54 [**]
220 [**] [1:2500066:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 34 [**]
203 [**] [1:2403350:1829] ET CINS Active Threat Intelligence Poor Reputation IP TCP group 26 [**]
125 [**] [1:2403346:1829] ET CINS Active Threat Intelligence Poor Reputation IP TCP group 24 [**]
118 [**] [1:2500138:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 70 [**]
105 [**] [1:2009699:1] ET VOIP REGISTER Message Flood UDP [**]
92 [**] [1:2500022:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 12 [**]
90 [**] [1:2101616:9] GPL DNS named version attempt [**]
84 [**] [1:2500136:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 69 [**]
84 [**] [1:2010936:2] ET POLICY Suspicious inbound to Oracle SQL port 1521 [**]
73 [**] [1:2500100:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 51 [**]
68 [**] [1:2500062:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 32 [**]
52 [**] [1:2500102:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 52 [**]
47 [**] [1:2403331:1829] ET CINS Active Threat Intelligence Poor Reputation IP UDP group 16 [**]
45 [**] [1:2403333:1829] ET CINS Active Threat Intelligence Poor Reputation IP UDP group 17 [**]
44 [**] [1:2500140:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 71 [**]
43 [**] [1:2403324:1829] ET CINS Active Threat Intelligence Poor Reputation IP TCP group 13 [**]
TOP30 IP de origem que geraram essas regras:
1343 43.255.189.38
1063 61.240.144.66
796 155.94.64.250
767 23.92.80.90
755 218.77.79.43
648 23.92.80.27
528 61.240.144.65
438 61.240.144.64
414 61.240.144.67
369 61.160.224.130
351 46.165.249.2
351 185.94.111.1
327 222.186.27.171
326 61.160.224.128
313 192.187.115.202
289 188.138.1.239
242 124.158.12.201
235 23.92.80.95
234 173.193.12.244
233 188.227.186.16
231 69.64.33.115
227 46.165.210.84
225 71.6.135.131
220 62.210.71.22
218 192.3.8.210
215 94.102.49.168
210 61.160.224.129
207 23.92.80.97
195 162.244.35.24
189 222.186.21.133
Pretendo colocar sensores internos em redes reais, o que acredito que adicionará outros alertas, porém é válido ativar essas regras caso não as possua.
Ainda estou em fase de testes e pretendo num futuro compartilhar essas informações de forma automatica (API) ou site.
Happy Snorting!
Rodrigo "Sp0oKeR" Montoro
Assinar:
Postagens (Atom)