Herramientas Open Source para construir tu propio HIDS

By albert
30 Jul 2019

Hemos hablado en artículos anteriores de las funcionalidades que tienen los HIDS como en los Blogs “Monitorización de eventos de seguridad” y en “IDS, IPS, HIDS, NIPS, SIE, qué es esto”. Ahora vamos a explicar con qué herramientas podemos crear nuestro propia arquitectura; robusta, funcional y lo mejor de todo, gratis.
Una opción que existe en el mercado y que es una de nuestras favoritas es el motor OSSEC. Es una herramienta de código libre que realiza comprobación de integridad de ficheros, hace análisis de registros, detecta rootkits, genera alertas basadas en tiempo y respuestas activas. Al ser una herramienta de código abierto se ha utilizado como base para el desarrollo de una solución HIDS que integra esta y otras tecnologías y que se unen para formar una solución más versátil llamada Wazuh.

Qué es Wazuh?

También es un proyecto de código libre, es una herramienta de seguridad cuya función es la detección y visibilidad de las amenazas junto con el cumplimiento de estándares en materia de seguridad, nació como un Fork de Ossec HIDS y luego se integró con la solución ELK, transformándose en una solución más completa (https://documentation.wazuh.com/current/getting-started/index.html)
Con las herramientas anteriores (Ossec potenciada por Wazuh), obtenemos toda nuestra lógica de HIDS necesarios, pero para hacer más fuerte esta solución la uniremos con un motor de base de datos no relacional (Elasticsearch) que guardará todos nuestros eventos de seguridad. Además utilizaremos todo el potencial de Kibana para mostrar esos eventos de seguridad, estamos hablando de las herramientas opensource ELK Stack.

Qué es el stack?

Es el acrónimo de algunos proyectos de código libre, en este caso hablamos de:

  • ElasticSearch: motor o base de datos de búsqueda y análisis de información
  • Logstash: herramienta de procesamiento de información por el lado del server que es capaz de recibir data desde múltiples fuentes de forma paralela, la transforma y luego la envía a algún lugar, generalmente a nuestro motor de búsqueda o base de datos ElasticSearch
  • Kibana: nos permite ver la información de forma gráfica. 

A estas tres herramientas se han ido sumando otras como beat (filebeat), por eso la necesidad de hablar de ELK stack que involucra a estas tres, pero también a las nuevas que se han ido sumando en el tiempo (https://www.elastic.co/elk-stack)
Para construir su propio sistema de monitores HIDS, recomendamos la instalación de esta solución Wazuh + ELK stack. Un ejemplo de la solución a desplegar con un cluster elk, es el siguiente:
open_source_hids
 
Si tienes alguna pregunta, no dudes en contactar con nosotros!!!
Autor: Felipe Concha

Los comentarios están cerrados.