Guillermo Rodriguez nos compartió en el #DragonJARCON 2020 una charla titulada "Como implementar un potente SOC con herramientas Open Source" cuya descripción es: ostraremos como implementar un potente y de bajo costo centro de operaciones de seguridad, utilizando herramientas accesibles y de código libre. Contaremos sobre estructura, desafíos, procedimientos y herramientas útiles para lograr los objetivos del SOC. Como armar un centro de operaciones de seguridad para defender tu organización o la de tus clientes, de costo accesible y con herramientas open source que son muy potentes. En esta presentación te mostraremos cómo lo hicimos nosotros y tuvimos éxito, con una herramienta que cubrió muchas de las necesidades y una estructura organizacional eficiente para defender y responder de manera segura ante incidentes. Mostraremos nuestra experiencia de manera detallada para que se pueda replicar, y defender mejor los activos de información.Contamos con vasta experiencia en el ámbito de seguridad de la información, implementamos a comienzos de este año 2020 nuestro SOC y ha ido escalando muy bien y con éxito en lograr sus objetivos de comunicación efectiva, proactiva y respondiendo adecuadamente para la mitigación y remediación de los incidentes que surgieron. Esta es una gran oportunidad de presentar un sistema y estructura de operación de seguridad para la defensa que ha sido éxitoso, es replicable y escalable. <center><iframe src="https://www.youtube.com/embed/H94MvBlakcI" width="100%" height="750" frameborder="0" allowfullscreen="allowfullscreen"></iframe></center> ----------------------------------------------------------------------------------------------- Youtube: DragonJARtv (http://bit.ly/DragonJARtv) Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb) Twitter: @DragonJAR (http://bit.ly/DragonJARt) Instagram: Dragon.JAR (http://bit.ly/DragonJARig) Discord: https://invite.gg/DragonJAR Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)

1. COMO IMPLEMENTAR
UN POTENTE SOC CON
HERRAMIENTAS OPEN
SOURCE
Oficina de Datasec en Latinoamérica
Patria 716, Montevideo, Uruguay
(+598) 2711 04 20

2.  ¿QUIENES SOMOS?
 OBJETIVOS DE UN SOC
 ETAPAS DE MADURACIÓN Y CONTROL DEL
ENTORNO
 ROLES DE INTEGRANTES DEL SOC
 HERRAMIENTAS DE GESTIÓN, MONITOREO Y ALERTA
 ADMINISTRACIÓN DE INCIDENTES Y RESPUESTAS
TEMARIO

3. Datasec
Firma presente en el mercado internacional desde 1987, pionera en el área
del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad
en sistemas de la información (TI).
Guillermo Rodríguez
 Hacker Ético Certificado (EC-Council CEH v8).
 15 años de experiencia en el área de la seguridad informática.
 8 años como Pentester.
 Más de 70 proyectos de gran relevancia a nivel nacional e internacional.
 Auditor interno para asegurar el cumplimiento de la normativa PCI DSS
en importantes empresas nacionales (Uruguay).
 Dedicado al análisis de cyber riesgos, soporte y mantenimiento de
herramientas de seguridad.
 Speaker en la 1er conferencia de cyber-seguridad “CharruaCon” en
Montevideo 2017.
¿QUIENES SOMOS?

4. SOC el HOME SWEET HOME
del Blue Team

5. OBJETIVOS DEL SOC

8. ALCANCES

10. ETAPAS DE MADURACIÓN Y CONTROL DEL
ENTORNO

11. PROCESOS DE TRABAJO

12. PROCESOS DE TRABAJO

14. ROLES DE INTEGRANTES DEL SOC

15. ROLES DE INTEGRANTES DEL SOC

17. HERRAMIENTAS DE GESTIÓN,
MONITOREO Y ALERTA

19. HERRAMIENTAS OPEN SOURCE

20. WAZUH SIEM TOOL TO RUL’ THEM ALL

21. CAPACIDADES WAZUH

22. ARQUITECTURA SINGLE SERVER

23. ARQUITECTURA DUAL SERVER

24. ARQUITECTURA WAZUH

25. El servidor Wazuh se encarga de analizar los datos
recibidos de los agentes, procesar eventos a través de
decodificadores y reglas, y usar la inteligencia de amenazas
para buscar IOC (Indicadores de compromiso) conocidos.
Un solo servidor Wazuh puede analizar datos de cientos o
miles de agentes y escalar horizontalmente cuando se
configura en modo de clúster.
El servidor también se utiliza para administrar los agentes,
configurándolos y actualizándolos de forma remota cuando
sea necesario. Además, el servidor puede enviar órdenes a
los agentes, por ejemplo, para activar una respuesta cuando
se detecta una amenaza.
ARQUITECTURA WAZUH

26. ARQUITECTURA WAZUH

27. INTERFAZ WEB

28. INTERFAZ WEB

29. HARDENING TIPS

30. CIS BENCHMARKS (PROPETARY)

31. VULNERABILIDADES

32. OSQUERY

33. CONTROL DE INTEGRIDAD
Hasheo

34. VIRUSTOTAL

35. VIRUSTOTAL

36. OPENSCAP

37. COMPLIANCE CON NORMATIVAS

38. COMPLIANCE CON NORMATIVAS

39. MITRE ATT&CK

43. IOC VS IOA

44. DOCUMENTACIÓN

45. BLOG

46. COMUNIDAD

47. SERVICIOS
Training 3 días – U$S 1800 por persona
Soporte anual para 50 agentes y 1 manager – U$S 4400
Wazuh Cloud – Consulte con alberto@wazuh.com

48. EDICIÓN DE REGLAS

49. EDICIÓN DE REGLAS

50. EDICIÓN DE REGLAS

51. EDICIÓN DE REGLAS

52. REGLAS

53. WHO?

54. WHO?

55. WHO?

56. CONFIGURACIÓN Y TROUBLESHOOTING

57. ACCESO A APIS

59. DESAFÍO 1: STORAGE

60. DESAFÍO 1: STORAGE

61. DESAFÍO 1: STORAGE

62. EPS

63. DESAFÍO 2: AUTOMATIZACIÓN

64. DESAFÍO 2: AUTOMATIZACIÓN

65. DESAFÍO 2: AUTOMATIZACIÓN

71. DESAFÍO 2: AUTOMATIZACIÓN

72. RL: PRUEBAS-SIMULACROS

73. AUTOEVALUACIÓN

74. AUTOEVALUACIÓN

75. MODELO DE MADURACIÓN

76. MODELO DE MADURACIÓN

78. Link a Drive con
Docs
¡GRACIAS! contacto@datasec-soft.com
https://www.datasec-soft.com/
https://uy.linkedin.com/datasec
https://twitter.com/datasecsoft