ELK

T-Pot è la piattaforma honeypot all-in-one, opzionalmente distribuita, multiarch (amd64, arm64), che supporta oltre 20 honeypot e innumerevoli opzioni di visualizzazione. Le mappe di attacco dal vivo animate e molti strumenti di sicurezza per migliorare ulteriormente l’esperienza d’uso.

T-Pot è integrabile con NOX, per fornire strategie di Deception.

La Deception automatizza la creazione di trappole all’interno della rete emulando o integrando risorse software esistenti. Le emulazioni possono avvenire anche su dispositivi come bancomat, sistemi di vendita, router, dispositivi medici e molto altro.

Le macchine che fanno parte della HoneyNet (rete di Honeypot) sono utilizzate per attirare gli aggressori, simulando il comportamento di macchine vulnerabili agli attacchi informatici. In questo modo gli attaccanti cercheranno di hackerare l’honeypot invece dell’infrastruttura vera, questo farà diminuire in prima battuta gli attacchi verso l’infrastruttura in produzione.

Una volta penetrati, gli attaccanti, cercheranno di stabilire una backdoor con la quale esfiltrare dati sensibili. Ed è quindi immediato l’allarme verso NOX. Essendo la trappola una risorsa apparentemente importante, l’aggressore, è facile che vi continui ad iniettare malware che in automatico NOX analizzerà in modo dinamico fornendo un report al personale addetto alla sicurezza.

L’integrazione del software di Cyber Security NOX con l’ultima versione di ELK (Elasticsearch, Logstash, Kibana) rappresenta un passo importante per la gestione dei dati di sicurezza. ELK è una suite di strumenti open-source progettata per raccogliere, analizzare e visualizzare i dati in modo efficiente.

Elasticsearch è il motore di ricerca e analisi dei dati, che consente di effettuare ricerche in tempo reale su grandi volumi di dati. Logstash è utilizzato per la raccolta e la trasformazione dei dati, mentre Kibana è utilizzato per creare dashboard personalizzate per la visualizzazione dei dati.

L’integrazione di NOX con ELK consente di creare dashboard personalizzate per la visualizzazione dei dati di sicurezza, in modo da poter identificare rapidamente eventuali minacce e prendere decisioni informate per la protezione della rete. Inoltre, l’architettura multi-tenant personalizzabile di ELK consente di gestire i dati di sicurezza provenienti da diverse macchine, in modo da poterli centralizzare e analizzare in modo efficiente.

Inoltre, l’utilizzo di ELK consente di scalare facilmente l’infrastruttura per gestire grandi volumi di dati, rendendola ideale per ambienti aziendali in crescita. In sintesi, l’integrazione di NOX con ELK rappresenta una soluzione completa per la gestione dei dati di sicurezza, fornendo una visualizzazione personalizzabile dei dati, una gestione multi-tenant personalizzabile e la possibilità di centralizzare i dati

Per effettuare l’integrazione con il vostro sistema ELK, seguire i seguenti passi.

1. Salvare il nox-alerts templates sul vostro server ospitante ELK, è un file json che permetterà di indicizzare i dati di NOX.
2. Utilizzare il comando curl per inviare il template a Elasticsearch. Il comando è simile a questo: “curl -XPUT http://[indirizzo_IP_elasticsearch]:9200/_template/[nome_template] -H ‘Content-Type: application/json’ -d @[percorso_file_template.json]”
3. Verificare che il template sia stato creato correttamente utilizzando il comando: “curl -XGET http://[indirizzo_IP_elasticsearch]:9200/_template/[nome_template]”

Per importare una dashboard in Kibana tramite un file JSON, è possibile seguire i seguenti passaggi:

1. Vi forniremo un file .ndjson che vi permetterà di importare le dashboard pre-configurate di NOX direttamente in Kibana.
2. Accedere all’interfaccia web di Kibana utilizzando l’indirizzo http://[indirizzo_IP_kibana]:5601/
3. Fare clic sul menu “Management” e selezionare “Saved Objects”.
4. Fare clic sul pulsante “Import” e selezionare il file JSON della dashboard.
5. Verificare che la dashboard sia stata importata correttamente, andando nella sezione “Dashboard” e controllando se è presente tra quelle disponibili.

NOX mette a disposizione una serie di strumenti per gestire le integrazione tra cui l’Integration Test

Lo strumento Integration Test permette di verificare se è già presente l’integrazione con il vostro strumento remoto e eventualmente di testare se la vostra integrazione personalizzata è attiva e a regime.

Esempio pratico:

Si vuole testare se i log del Fortigate sono indicizzabili da NOX.

Esempio di Log fortigate:

date=2019-05-10 time=11:50:48 logid="0001000014" type="traffic" subtype="local" level="notice" vd="vdom1" eventtime=1557514248379911176 srcip=172.16.200.254 srcport=62024 srcintf="port11" srcintfrole="undefined" dstip=172.16.200.2 dstport=443 dstintf="vdom1" dstintfrole="undefined" sessionid=107478 proto=6 action="server-rst" policyid=0 policytype="local-in-policy" service="HTTPS" dstcountry="Reserved" srccountry="Reserved" trandisp="noop" app="Web Management(HTTPS)" duration=5 sentbyte=1247 rcvdbyte=1719 sentpkt=5 rcvdpkt=6 appcat="unscanned"

Recuperando questo log, si potrà testare attraverso l’integration test se è attiva l’integrazione.

Basta copiare e incollare nell’integration tester e premere start. Se l’indicizzazione arriva alla fase 3 allora l’integrazione è a regime.