Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Antecedentes / Escenario
Los administradores de TI utilizan 5-Tuple cuando necesitan identificar los requisitos necesarios para crear
un entorno de red operativo y seguro. Los componentes de 5-Tuple son los siguientes: la dirección IP y el
número de puerto de origen, la dirección IP y el número de puerto de destino y el protocolo en uso.
En esta práctica de laboratorio también revisarán los archivos de registros para identificar los hosts
comprometidos y el contenido del archivo afectado.
Recursos necesarios
Servidor con al menos 3 GB de RAM y 10 GB de espacio libre en disco.
Versión más reciente de Oracle VirtualBox
Conexión a Internet
Una máquina virtual: VM Security Onion alternativa
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 1 de 10 www.netacad.com
Práctica de laboratorio: Host comprometido aislado utilizando el método de 5 componentes (5-Tuple)
c. Seleccionen el mensaje de raíz devuelto asociado con el Sensor seconion-eth1-1 para profundizar el
análisis. En la figura de abajo, se utiliza el ID de alerta 5.5846 y sus eventos correlacionados.
d. Hagan clic en el número que se encuentra debajo del encabezado CNT para seleccionar View
Correlated Events (Ver eventos correlacionados).
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 2 de 10 www.netacad.com
Práctica de laboratorio: Host comprometido aislado utilizando el método de 5 componentes (5-Tuple)
e. En la ficha nueva, haga clic derecho sobre el ID de alerta correspondiente a una de las alertas GPL
ATTACK_RESPONSE id check returned root y seleccione Transcripción. En este ejemplo se utiliza el
ID de alerta 5.5848.
f. Revisen las transcripciones correspondientes a todas las alertas. En la última alerta de la ficha
probablemente se mostrarán las transacciones entre el actor de la amenaza y el objetivo durante el
ataque.
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 3 de 10 www.netacad.com
Práctica de laboratorio: Host comprometido aislado utilizando el método de 5 componentes (5-Tuple)
b. Para ver todos los paquetes ensamblados en una conversación de TCP, hagan clic derecho sobre
cualquier paquete y seleccionen Follow TCP Stream (Seguir flujo de TCP).
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 4 de 10 www.netacad.com
Práctica de laboratorio: Host comprometido aislado utilizando el método de 5 componentes (5-Tuple)
c. Salgan de la ventana del flujo de TCP. Cierren Wireshark cuando hayan terminado de revisar la
información provista por Wireshark.
b. Cambien la fecha del campo From (Desde) a la fecha anterior a la fecha que aparece en Sguil. Hagan
clic en Submit Query (Enviar consulta).
c. Hagan clic en bro_notice.
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 5 de 10 www.netacad.com
Práctica de laboratorio: Host comprometido aislado utilizando el método de 5 componentes (5-Tuple)
e. Si un atacante se ha apoderado de 209.165.200.235, querrán determinar cuál fue el ataque que utilizó y
a qué pudo acceder el atacante.
b. Hagan clic derecho sobre el número que se encuentra debajo del encabezado de CNT y seleccionen
View Correlated Events (Ver eventos correlacionados) para ver todos los eventos relacionados.
Seleccionen el ID de alerta que comienza con 5. Esta alerta recopiló la información proveniente del
sensor en la interfaz seconion-eth1-1.
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 6 de 10 www.netacad.com
Práctica de laboratorio: Host comprometido aislado utilizando el método de 5 componentes (5-Tuple)
c. En la ficha nueva con todos los eventos correlacionados, hagan clic derecho sobre el ID de alerta y
seleccione Transcript (Transcripción) para ver cada alerta más detalladamente. En la última alerta
probablemente se mostrará la transmisión de TCP entre el atacante y la víctima.
d. También pueden hacer clic derecho sobre el ID de alerta y seleccionar Wireshark para revisar y guardar
el archivo pcap y el flujo de TCP.
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 7 de 10 www.netacad.com
Práctica de laboratorio: Host comprometido aislado utilizando el método de 5 componentes (5-Tuple)
c. Hagan clic en bro_ftp para ver los archivos de registro de ELSA relacionados con FTP.
¿Qué archivo se transfirió por FTP a 209.165.200.235? ¿Quién es el dueño de la cuenta que se utilizó
para transferir el archivo?
____________________________________________________________________________________
d. Hagan clic en info para ver las transacciones en el último registro. El campo reply_msg indica que esta
es la última entrada correspondiente a la transferencia del archivo confidential.txt. Hagan clic en Plugin >
getPcap (Complemento > getPcap). Introduzcan el nombre de usuario analyst y la contraseña
cyberops cuando el sistema se los solicite. Si es necesario, hagan clic en Submit (Enviar).
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 8 de 10 www.netacad.com
Práctica de laboratorio: Host comprometido aislado utilizando el método de 5 componentes (5-Tuple)
La transcripción de pcap se traduce utilizando tcpflow, y esta página también proporciona el enlace para
acceder al archivo pcap.
e. Para determinar el contenido del archivo afectado, hagan doble clic en el icono del escritorio para abrir
ELSA y así abrir una ficha nueva y realizar otra búsqueda.
f. Expandan FTP y hagan clic en FTP Data (Datos de FTP).
g. Cambien la fecha del campo From según sea necesario para incluir el período de interés, y hagan clic en
Submit Query.
h. Hagan clic en uno de los enlaces de Información y seleccionen getPcap en el menú desplegable para
determinar el contenido del archivo robado.
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 9 de 10 www.netacad.com
Práctica de laboratorio: Host comprometido aislado utilizando el método de 5 componentes (5-Tuple)
Paso 6: Limpieza
Apaguen la VM cuando hayan terminado.
Reflexión
En esta práctica de laboratorio han revisado los archivos de registro como analistas especializados en
ciberseguridad. Ahora resuman lo que aprendieron.
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 10 de 10 www.netacad.com