Hola compañeros, en esta ocasión quiero contaros las posibilidades que tenemos a nuestro alcance para automatizar la respuesta a incidentes con PLAYBOOKS de ANSIBLE.
¿Qué es un playbook?
Usamos playbook de Ansible para aprovisionar, configurar, instalar, bastionar, comprobar, etc… de manera orquestada y automatizada, se lanza de una máquina y esta actúa sobre muchos dispositivos, ya que pueden ser equipos o servidores con Windows, Linux, Firewalls, switches, Routers… casi cualquier dispositivo.
Playbook según la wiki:
Manual de tácticas o Playbooks
Los Playbooks describen configuraciones, despliegue, y orquestación en Ansible, el formato del Playbook es YAML cada Playbook asocia un grupo de hosts a un conjunto de roles. Cada rol está representado por llamadas a lo que Ansible define como Tareas.
Contexto de automatización
Imaginemos que ya conocéis ansible playbooks y ahora supongamos que nos centramos en el sistema operativo Windows y que queremos detectar o reaccionar a un incidente como puede ser «malware,ramsomware,etc…», en este punto tenemos varias opciones.
1 Nos podemos crear nuestro playbooks para se ejecute en el host remoto, aunque también podemos combinarlos con scripts en PowerShell para detectar los indicadores de compromiso IOC y en caso que sea detectado que reaccione con una contención (desactivar la tarjeta de red), remediación (limpiar o desinfectar), notificación al quipo IR, aislamiento, etc.., esta opción no es la más viable aunque me gusta exponer las opciones que tenemos para que si surge el caso podamos hacer nuestra detección de IOC personalizada.
2 Otra opción sería tener instalados agentes Endpoints en los sistemas de manera que automáticamente notificaran esos IOC o alertas a un SIEM y este gracias a un programa de correlación y disparo pudiera iniciar la automatización con playbooks, que puede ser combinada con scripts en PowerShell para realizar la contención, remediación, alerta al equipo IR, etc.., en esta opción automatizamos la repuesta al incidente, en la anterior tendríamos que automatizar la detección y luego la respuesta, ahora veremos un ejemplo del proceso completo.
Os comparto un ejemplo de Respuesta a Incidentes en Windows de una fuente externa que resume el proceso, estos pasos podrían ser automatizados como comentaba en el ejemplo anterior, aquí ya la decisión de cada uno, pero debemos conocer las herramientas disponibles para saber que se puede hacer y luego valorar donde dedicar esfuerzos.
SIEM AZURE + IR
Tenemos muchas opciones o herramientas que pueden simplificar pasos para llegar a estas automatizaciones y que realizaran la función de disparador para ejecutar el playbook ante una respuesta a incidentes, otra opción de siem puede ser Sentinel este mediante Azure Logic Apps trae la posibilidad de ejecutar playbooks.
Existen otras alternativas a Azure que todos conocemos como puede ser AWS, para el caso de AWS su siem se llama Amazon GuardDuty.
SIEM AWS + IR
En este proveedor cloud tenemos Amazon GuardDuty que combinado con Security Hub nos permite realizar la automatización y respuesta a incidentes.
Resumiendo, 1º necesitamos agentes, equipos y un largo etc.. que pueda general esos logs, 2º recolección y correlación de un Siem, 3º que el siem tenga disponga de disparadores para poder automatizarlo con playbooks.
En el próximo artículo os mostraré un ejemplo de respuesta a incidentes con FORTINET + ANSIBLE
Hasta pronto!
Sin respuestas