Herramienta de Red Teams para rastrear y alertar sobre las actividades de Blue Teams

Comparte en redes sociales

Cuando se habla del equipo rojo con los clientes o se habla con nuestros compañeros, queda muy claro que no existe una definición común de «equipo rojo». Se explica de muchas formas diferentes, todas con diferentes objetivos y enfoques. Escuchamos cosas como simulación de adversario, pentesting más phishing, pentesting de carta blanca, jugar al defensor del diablo ofensivo o cosas en la línea de la definición del Departamento de Defensa de EE. UU . Para equipos rojos que no son de TI. Esto da como resultado muchas formas de servicios profesionales ofrecidos en el mercado.

En muchos sentidos, esto me recuerda a ‘hacker vs. cracker’ a finales de los 90, o la discusión más reciente sobre el uso de la palabra cyber. No tengo ninguna intención de intentar cerrar este debate.  En pocas palabras, el papel del equipo azul es defender, el papel del equipo rojo es atacar. La defensa no se hace solo en medidas preventivas. Igual de importante es la capacidad de detectar ataques y responder a ellos. Los equipos azules tienen herramientas para esto, pero en gran medida esto se reduce a las acciones y decisiones que toma el equipo azul cuando ocurre un ataque. Entonces, esto necesita ser entrenado.

RedELK SIEM de Red Team: herramienta para Red Teams para rastrear y alertar sobre las actividades de Blue Team, así como una usabilidad mejorada en operaciones a largo plazo.

Cumple dos objetivos:

  1. Mayor usabilidad y descripción general para los operadores del equipo rojo mediante la creación de una ubicación central donde se recopilan y enriquecen todos los registros operativos relevantes de varios servidores del equipo. Esto es ideal para búsquedas históricas dentro de la operación, así como para brindar una vista de solo lectura de la operación (por ejemplo, para el Equipo Blanco). Especialmente útil para operaciones de múltiples escenarios, servidores de equipos múltiples, miembros múltiples y meses. Entonces, formas súper fáciles de ver todas las capturas de pantalla, IOC, salida de pulsaciones de teclas, etc. \ o /
  2. Detecte al equipo azul al tener una ubicación central donde se recopilen y enriquezcan todos los registros de tráfico de los redirectores. Mediante consultas específicas, ahora es posible detectar que el Equipo Azul está investigando su infraestructura.

RedELK utiliza los componentes típicos Filebeat (envío), Logstash (filtrado), Elasticsearch (almacenamiento) y Kibana (visualización). Rsync se utiliza para una segunda sincronización de los datos del servidor del equipo: registros, pulsaciones de teclas, capturas de pantalla, etc. Nginx se utiliza para la autenticación en Kibana, además de servir las capturas de pantalla, los registros de balizas y las pulsaciones de teclas de forma sencilla en el navegador del operador. Se utiliza un conjunto de scripts de Python para un gran enriquecimiento de los datos de registro y para la detección del equipo azul.

Más información y descarga de RedELK:

https://github.com/outflanknl/RedELK

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: