CA Module 27

Módulo 27: Trabajo con datos de
seguridad de la red
Materiales del Instructor
CyberOps Associate v1.0

Materiales para el instructor: Guía de planificación del módulo 27
Esta presentación en PowerPoint se divide en dos partes:
• Guía de planificación para el instructor
• Información que le ayudará a familiarizarse con el módulo
• Ayuda didáctica
• Presentación de la clase del instructor
• Diapositivas opcionales que puede utilizar en el aula
• Comienza en la diapositiva n.º 8
Nota: Elimine la Guía de Planificación de esta presentación antes de compartirla con otras personas.
Para obtener ayuda y recursos adicionales , diríjase a la Página principal del instructor y a los recursos del curso
para este curso. También puede visitar el sitio de desarrollo profesional en www.netacad.com, la página oficial de
Facebook de Cisco Networking Academy, o el grupo de Facebook exclusivo para instructores.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 2
¿Qué esperar en este módulo?
Para facilitar el aprendizaje, las siguientes características dentro de la GUI pueden ser incluidas en
este módulo:
Característica Descripción
Laboratorios prácticos Laboratorios diseñados para trabajar con equipos físicos.
Vídeos Exponga a los alumnos a nuevas habilidades y conceptos.
Auto-evaluaciones que integran conceptos y habilidades aprendidas a lo largo
Cuestionarios de módulo
de los temas presentados en el módulo.
Resumen del módulo Recapitula brevemente el contenido del módulo.

Verificar el Aprendizaje
• Las actividades de "Verifique su aprendizaje" están diseñadas para permitir que los
estudiantes determinen si están entendiendo el contenido y pueden continuar, o si es
necesario un repaso.
• Las actividades de "Verifique su aprendizaje" no afectan las calificaciones de los alumnos.
• No hay diapositivas separadas para estas actividades en el PPT. Se enumeran en el área de
notas de la diapositiva que aparece antes de estas actividades.

Módulo 27: Actividades
¿Qué actividades están asociadas con este módulo?
N.° de
Tipo de actividad Nombre de la actividad ¿Opcional?
página
Práctica de
27.1.5 Conversión de datos a un formato universal Recomendado
laboratorio
Práctica de
27.2.9 Tutorial de expresiones regulares Recomendado
laboratorio
Práctica de
27.2.10 Extracción de ejecutables de PCAP Recomendado
laboratorio
27.2.11 Video Interpretación de datos de HTTP y DNS para aislar a los atacantes Recomendado
Práctica de
27.2.12 Interpretación de datos de HTTP y DNS para aislar a los atacantes Recomendado
laboratorio
27.2.13 Video Aislamiento de hosts afectados mediante 5 tuplas Recomendado
Práctica de
27.2.14 Aislamiento de hosts afectados mediante 5 tuplas Recomendado
laboratorio
creación de
27.2.15 Investigar un exploit de malware Recomendado
prototipos
creación de
27.2.16 Investigación de un ataque en un host de Windows Recomendado
prototipos

Módulo 27: Mejores Prácticas
Antes de enseñar el Módulo 27, el instructor debe:
• Revisar las actividades y evaluaciones de este módulo.
• Tratar de incluir la mayor cantidad de preguntas que sean posibles, con el fin de mantener a
los estudiantes concentrados durante la presentación.
Tema 27.1
• Proporcione información general sobre las herramientas de Security Onion.
• Pida a los alumnos que visiten
https://github.com/Security-Onion-Solutions/security-onion/wiki/IntroductionToSecurityOnion
para obtener más información sobre las herramientas de Security Onion como ELK, Squil,
HIDS, etc.
• Pregunte a la clase qué entienden por el archivado de datos ¿Cuál es su importancia?

Módulo 27: Mejores Practicas
Tema 27.2
• Explique brevemente a Squil.
• Pida a la clase que visite el sitio: https://docs.securityonion.net/en/latest/sguil.html para
obtener más información sobre Squil.
• Demostración de video: Interpretar datos HTTP y DNS para aislar a los actores maliciosos.
• Demostración de video: Aislar host comprometido utilizando el método de 5 tuplas (5-Tuple)
Tema 27.3
• Demostrar a los estudiantes la interfaz de Kibana y explicar la personalización de los
tableros.

Módulo 27: Trabajo con datos de
seguridad de la red
CyberOps Associate v1.0

Objetivos del módulo
Título de módulo : Trabajo con datos de seguridad de la red
Título de módulo : Interpretar los datos para determinar el origen de una alerta.
Título del tema Objetivo del tema

Explicar cómo se preparan los datos para su uso en un
Una plataforma común para los datos
sistema de monitoreo de seguridad de la red (NSM).
Utilizar herramientas de seguridad de Onion para investigar
Investigación de datos de la red
los eventos de seguridad de la red.
Cómo mejorar el trabajo del analista de Describir las herramientas de monitoreo de red que mejoran
ciberseguridad la administración del flujo de trabajo.

27.1 Plataforma de datos
común

Una plataforma de datos común
ELK
Security Onion incluye Elastic Stack que consiste en Elasticsearch, Logstash y Kibana (ELK).
Componentes principales de ELK.
• Elasticsearch: una plataforma de núcleo
abierto para buscar y analizar los datos de
una organización en tiempo casi real.
• Logstash: permite la recopilación y
normalización de datos de red en índices de
datos que Elasticsearch puede buscar
eficientemente.
• Kibana: Proporciona una interfaz gráfica a
los datos compilados por Elasticsearch.
• Beats: Serie de complementos de software
que envían diferentes tipos de datos a los
almacenes de datos de Elasticsearch.
Reducción de datos
• La reducción de datos es la identificación de
los datos que deben recopilarse y guardarse
para reducir la carga de los sistemas.
• Si se limita el volumen de datos,
herramientas como Elasticsearch son mucho
más útiles.

Normalización de datos
• La normalización de datos es el proceso de combinar datos de varias fuentes en un
formato común.
• Un esquema común especifica los nombres y formatos de los campos de datos
requeridos.
• Por ejemplo, es posible representar en formatos diferentes las direcciones IPv6, las
direcciones MAC y la información de fecha y hora.
Formatos de direcciones IPv6 Formatos de MAC Formatos de fecha
2001:db8:acad:1111:2222::33 A7:03:DB:7C:91:AA Lunes, 24 de julio, 2017 7:39:35 p. m.

2001:DB8:ACAD:1111:2222::33 A7-03-DB-7C-91-AA Lun, 24 de julio de 2017 19:39:35 +0000
2001:DB8:ACAD:1111:2222:0:0:33 A70.3DB.7C9.1AA 2017-07-24T19:39:35+00:00
• La normalización de datos es necesaria para simplificar la búsqueda de eventos correlacionados.

Archivado de datos
• Conservar los datos de NSM indefinidamente no es viable por limitaciones de
almacenamiento y acceso.
• El período de retención para determinados tipos de información de seguridad puede
especificarse en marcos de trabajo para el cumplimiento.
• Los datos de alerta de Sguil se retienen durante 30 días de manera predeterminada. Este
valor se establece en el archivo securityonion.conf.
• Siempre es posible archivar los datos de Security Onion en dispositivos de almacenamiento
externo mediante un sistema de archivado de datos, de acuerdo con las necesidades y
capacidades de la organización.
Nota: Los lugares de almacenamiento para los diferentes tipos de datos de Security Onion
variarán en función de la implementación de Security Onion.

Práctica de laboratorio: conversión de datos a un formato
universal.
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
• Parte 1: usar herramientas de la línea de comando para normalizar las entradas de
registro manualmente.
• Parte 2 : normalizar el campo de la marca de tiempo.
• En la parte 3: deberá normalizarse el campo IPv6.

27.2 Investigación de datos
de la red

Uso de Sguil
• En Security Onion, el primer lugar
al que irá un analista especializado
en ciberseguridad para verificar
alertas es Sguil.
• Sguil correlaciona
automáticamente alertas similares
en una única línea y permite ver
eventos correlacionados
representados por esa línea.
• Para tener una idea de lo que ha
estado ocurriendo en la red, puede
resultar útil ordenar la columna
CNT para mostrar las alertas con Alertas de Sguil ordenadas en CNT
la frecuencia más alta.
Consultas de Sguil
• Las consultas pueden crearse en
Sguil utilizando Query Builder.
Simplifica la construcción de
consultas hasta cierto punto.
• Los analistas de ciberseguridad
deben conocer los nombres de
campo y y algunos problemas
con los valores de campo para
crear consultas de manera
efectiva en Sguil.
• Por ejemplo, Sguil almacena
direcciones IP en una
representación de números
enteros.
Alternar a otros programas desde Sguil
• Sguil permite que el analista de
ciberseguridad pueda alternar con
otras fuentes y herramientas de
información.
• Los archivos de registro están
disponibles en Elasticsearch.
• Las capturas de paquetes
relevantes se pueden mostrar en
Wireshark.
• Además, Sguil puede ofrecer abrir
la información en Passive Real-
time Asset Detection System
(PRADS) y Security Analyst
Network Connection Profiler
(SANCP).
Nota: La interfaz de Sguil menciona a PADS en lugar de PRADS. © 2020 Cisco o sus filiales. Todos los derechos reservados. Información
Manejo de eventos en Sguil
• Sguil es una consola que permite a
un analista de ciberseguridad
investigar, verificar y clasificar
alertas de seguridad.
• Tres tareas se pueden llevar a cabo
en Sguil para gestionar alertas:
• Se puede fijar la caducidad de las
alertas que, según se determinó,
son falsos positivos.
• Un evento se puede remitir
presionando la tecla F9.
• Es posible categorizar un evento.
• Sguil incluye siete categorías prediseñadas que pueden asignarse usando el menú que se ve
en la figura o presionando la tecla de función correspondiente.

Uso de ELK
• Logstash y Beats se utilizan para la
ingestión de datos en Elastic Stack.
• Kibana, que es la interfaz visual en
los registros, está configurada para
mostrar las últimas 24 horas por
defecto.
• Los registros se ingieren en
Elasticsearch en índices o bases de
datos independientes en función de
un intervalo de tiempo configurado.
• La mejor manera de supervisar los
datos en Elasticsearch es crear
paneles visuales personalizados.

Consultas en ELK
• Elasticsearch se basa en Apache Lucene, una biblioteca de software de motor de búsqueda
de código abierto con capacidades de indexación y búsqueda de texto completo.
• Usando bibliotecas de software Lucene, Elasticsearch tiene su propio lenguaje de consulta
basado en JSON llamado Query Domain Specific Language (DSL).
• Junto con JSON, las consultas de Elasticsearch utilizan elementos como operadores
booleanos, campos, rangos, comodines, expresiones regulares, búsqueda difusa y
búsqueda de texto.
• Elasticsearch se diseñó para interactuar con usuarios que utilizan clientes basados en web
que siguen el marco HTTP REST.
• Los métodos utilizados para ejecutar las consultas son URI, cURL, JSON y Dev Tools.
Nota: Las consultas de Elasticksearch avanzadas no se incluyen en el alcance de este curso. En los laboratorios, se
suministrarán los enunciados de consultas complejas si es necesario.

Investigación de llamadas de proceso o API
• Los programas de aplicación interactúan con un
sistema operativo a través de llamadas del sistema
a la interfaz de programación de la aplicación (API)
del sistema operativo.
• Si el malware puede engañar al SO del Kernel y
hacer que le permita realizar llamadas del sistema,
se hacen posibles muchos ataques.
• Las reglas OSSEC detectan cambios en los
parámetros basados en host.
• Las reglas de OSSEC desencadenarán una alerta
en Sguil.
• Cambiar a Kibana en la dirección IP del host le
permite elegir el tipo de alerta según el programa
que la creó.
• El filtrado de índices OSSEC da como resultado una vista de los eventos OSSEC que se
produjeron en el host, incluidos los indicadores de que el malware puede haber interactuado
con el Kernel del sistema operativo
Investigación de detalles de los archivos
• En Sguil, si un analista
especializado en ciberseguridad
sospecha del archivo, el valor de
hash puede enviarse a un sitio de
repositorio de malware en línea
para determinar si el archivo es un
malware conocido.
• En Kibana, Zeek Hunting se
puede utilizar para mostrar
información sobre los archivos que
han entrado en la red.
• Tenga en cuenta que en Kibana, el
tipo de evento se muestra como
bro_files, aunque el nuevo
nombre para Bro sea Zeek.
Práctica de laboratorio: tutorial de expresiones regulares

• Utilizar un tutorial en línea para estudiar expresiones regulares.
• Describir la información que coincide con expresiones regulares dadas.

Práctica de laboratorio: Extracción de un ejecutable de un PCAP
Analizar registros es muy importante, pero también lo es comprender de qué manera
suceden las transacciones de red al nivel de los paquetes.
En esta práctica de laboratorio, cumplirá el siguiente objetivo:
• Analizar el tráfico de un archivo pcap previamente capturado y extraer un ejecutable del
archivo.

Investigando los datos de la red
Video: Interpretar datos HTTP y DNS para aislar a los agentes
de amenaza
Vea el vídeo para ver un tutorial del laboratorio Security Onion Interpretar datos HTTP y DNS
para aislar a los agentes de amenaza

Investigando los datos de la red
Video: Interpretar datos HTTP y DNS para aislar a los atacantes
• Investigar las vulnerabilidades de inyección SQL y exfiltración de DNS mediante las
herramientas de seguridad Onion.

Investigación de datos de red
Vídeo - Aislar el host comprometido usando 5 tuplas
Vea el video para ver un tutorial del Aislamiento de Security Onion de un host comprometido
usando 5 tuplas.

Vídeo - Aisle el host comprometido usando 5 tuplas
• Utilizar la herramienta de Security Onion para investigar una vulnerabilidad.

Laboratorio - Investigar una vulnerabilidad de malware
• Utilizar Security Onion para investigar un ataque de malware más complejo, el uso de un
kit de ataque para infectar hosts.

Laboratorio - investigación de un ataque en un host de Windows
• Investigar un ataque a un host de Windows.
• Usar Sguil, Kibana y Wireshark en Security Onion para investigar el ataque.
• Examinar artefactos de vulnerabilidad.

27.3 ¿Cómo mejorar el
trabajo del analista de
ciberseguridad?

¿Cómo mejorar el trabajo del analista de ciberseguridad?
Paneles y visualizaciones
• Los paneles proporcionan una
combinación de datos y
visualizaciones que permite a los
analistas de ciberseguridad
centrarse en detalles e información
específicos.
• Los tableros suelen ser
interactivos.
• Kibana incluye la capacidad de
diseñar tableros personalizados.
• Además, otras herramientas que se
incluyen en Security Onion, como
Squert, proporcionan una interfaz
visual de los datos de NSM.
¿Cómo mejorar el trabajo del analista de ciberseguridad?
Administración del flujo de trabajo
• Los flujos de trabajo son la secuencia de procesos y procedimientos a través de los
cuales se completan las tareas de trabajo.
• Administración de flujos de trabajo
• Mejora la eficacia del equipo de ciberoperaciones.
• Aumenta la responsabilidad de personal.
• Se asegura de que todas las alertas posibles se traten correctamente.
• Sguil proporciona administración básica del flujo de trabajo, pero no es una buena
elección para las operaciones de gran tamaño. Hay sistemas de terceros disponibles que
se pueden personalizar.
• Consultas automatizadas añaden eficiencia al flujo de trabajo de ciberoperaciones. Estas
consultas buscan automáticamente incidentes de seguridad complejos que pueden evadir
otras herramientas

27.4 Resumen: Trabajo con
datos de seguridad de la red

Resumen: Trabajo con datos de seguridad de la red
¿Qué aprendí en este módulo?
• Una plataforma de supervisión de seguridad de red como ELK o Elastic Stack debe unir los
datos para su análisis.
• ELK consta de Elasticsearch, Logstash y Kibana con componentes, Beats, ElastAlert y
Curator.
• Los datos de red deben reducirse para que el sistema NSM procese solo los datos
relevantes.
• Los datos de red también deben normalizarse para convertir los mismos tipos de datos a
formatos coherentes.
• Sguil proporciona una consola que permite a un analista de ciberseguridad investigar,
verificar y clasificar alertas de seguridad.
• Las visualizaciones de Kibana proporcionan información sobre los datos de NSM al
representar grandes cantidades de formatos de datos que son más fáciles de interpretar.
• La gestión del flujo de trabajo añade eficiencia al trabajo del equipo SOC.

CA Module 27

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CA Module 27

Cargado por

Copyright:

Formatos disponibles

Módulo 27: Trabajo con datos de

CyberOps Associate v1.0

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

CyberOps Associate v1.0

Título del tema Objetivo del tema

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

2001:db8:acad:1111:2222::33 A7:03:DB:7C:91:AA Lunes, 24 de julio, 2017 7:39:35 p. m.

• La normalización de datos es necesaria para simplificar la búsqueda de eventos correlacionados.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

• En la parte 3: deberá normalizarse el campo IPv6.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

En esta práctica de laboratorio se cumplirán los siguientes objetivos:

• Describir la información que coincide con expresiones regulares dadas.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

• Usar Sguil, Kibana y Wireshark en Security Onion para investigar el ataque.

• Examinar artefactos de vulnerabilidad.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

También podría gustarte