Defensa_ASIR_CMRE - Contenido educativo
Ajuste de pantallaEl ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:
Proyecto de Despliegue de Honeypot T-Pot e Integración con herramientas de Threat Intelligence
Buenas tardes, Carlos. Hoy, día 17 de enero, a las 6 y 25, estamos convocados a través
00:00:00
de Jefatura de Parlamento para la Defensa del Módulo Provisional de Proyecto de Ciclo
00:00:08
Formativo de Gado Superior de Administración de Sistemas Informáticos en Red.
00:00:12
Por ejemplo, esta grabación se usará en el entorno cerrado de Educamadrid con fines
00:00:16
educativos y solo estará a disposición de los profesores evaluadores en el aula virtual
00:00:20
para llevar a cabo la evaluación y calificación de la defensa del proyecto. En el aula virtual
00:00:25
los proyectos son informados de los criterios y los asesores son informados de los criterios
00:00:29
y de la rúbrica de calificación y el orden de la presentación del proyecto es el siguiente.
00:00:36
Tienes 15 minutos máximo para defender el proyecto y luego habrá 5 minutos para preguntas
00:00:41
por parte del tribunal. Dicho esto, tu tiempo de exposición comienza a partir de este momento.
00:00:47
Adelante y mucha suerte.
00:00:52
Vale, ahora me incluyo para controlar tiempo y te voy a compartir pantalla con la presentación.
00:00:53
Vale, y la voy a empezar ya. Arranco la presentación.
00:01:03
Confírmame que la ves bien.
00:01:11
Sí, sí. Se ha ido la cámara.
00:01:14
¿Se ha ido la cámara?
00:01:17
Ahora, vale. Me presento, soy Carlos Montes. Estoy presentando el proyecto que es la última asignatura
00:01:20
que tengo que aprobar para tener el módulo y mi proyecto es un despliegue de un honeypot,
00:01:28
un teapot, lo he desplegado en cloud y pues integración de información que he recopilado
00:01:34
en herramientas de 3D Intelligence para compartir con la comunidad de ciberseguridad.
00:01:39
La primera diapositiva es un índice de la presentación y quiero hacer una presentación sencilla.
00:01:44
He puesto 5 puntos, la elección del proyecto, explicar qué he querido hacer y por qué lo he querido hacer,
00:01:50
cómo ha sido el diseño y el despliegue de la herramienta, la información de la instalación
00:01:56
y la puesta en marcha, la fase análisis y una fase de conclusiones y aplicaciones
00:02:02
del proyecto que he visto en el mundo laboral.
00:02:06
La presentación, quiero dedicar más o menos unos 10 minutos a la presentación
00:02:11
y 5 minutos a compartir la herramienta para que se vea en funcionamiento todo lo que puede hacer.
00:02:15
La he vuelto a dejar activa durante esta semana para que siga recopilando información
00:02:22
y que podamos ver información reciente que hemos capturado.
00:02:27
La elección del proyecto, en primer lugar quiero definir que es un honeypot,
00:02:31
una definición propia, un poco en línea con las que he ido leyendo.
00:02:36
Un honeypot es un sistema señuelo que lo que intenta captar es tráfico atacante.
00:02:41
Simula tener vulnerabilidades y servicios expuestos a internet para que sean explotados
00:02:48
por los actores maliciosos que constantemente van escaneando la red.
00:02:55
¿Por qué elegí Teapot a la hora de elegir el proyecto?
00:03:00
Básicamente porque era una herramienta de open source, tenía unas herramientas integradas
00:03:04
también que eran bastante potentes a la hora del tratamiento de datos,
00:03:10
que es toda la pila LK, que está compuesta por Elasticsearch como motor de búsqueda,
00:03:14
Logstash y Kibana.
00:03:18
Y luego tenemos otras herramientas que no hemos utilizado para el proyecto
00:03:21
antes como SpiderFood y CyberChef a la hora de analizar IOCs, código fuscado
00:03:25
o hases maliciosos.
00:03:31
¿Por qué elegí esta temática?
00:03:35
Porque está relacionada un poco con mi ámbito laboral.
00:03:37
Yo trabajo en ciberseguridad y por casualidad de la vida dediqué allí,
00:03:40
o reinicié allí mi carrera.
00:03:48
Tengo un rol más de manager de personas, pero sí que me faltaba un conocimiento técnico
00:03:51
y eso hizo que quisiese hacer la formación profesional a distancia
00:03:55
y he querido hacer un proyecto relacionado con ciberseguridad.
00:03:59
¿Y cuáles son los objetivos que marqué para el proyecto?
00:04:04
Desplegar Teapot en cloud.
00:04:08
Elegí el cloud de Amazon, os explicaré por qué.
00:04:11
Que funcione correctamente, que reciba ataques y que pueda recopilar información
00:04:14
y traer indicadores de compromiso, que me voy a referir en el documento como IOCs
00:04:18
para compartir informaciones en plataformas de inteligencia de amenazas.
00:04:23
¿Cómo he hecho el diseño y el despliegue del proyecto?
00:04:29
En primer lugar lo que he hecho es una planificación.
00:04:35
He utilizado un diagrama de Gantt en el que he puesto todas las tareas
00:04:37
que tenía que llevar a cabo y las he dado un marco temporal que me sirviese de referencia
00:04:41
para ver cómo llevaba el proyecto.
00:04:45
He dividido el proyecto en fases.
00:04:48
Una primera fase es en la de selección del proyecto que me he ido informando
00:04:50
de las diversas opciones que tenía y he decidido a realizar este proyecto.
00:04:54
Una fase de despliegue y pruebas de funcionamiento.
00:05:02
Luego una fase de recopilación de datos para su análisis.
00:05:05
Y por último el análisis de los datos y la elaboración de la presentación y el proyecto.
00:05:10
Luego también obviamente al tenerlo en cloud los requisitos del despliegue.
00:05:17
He seguido en el repositorio de GitHub la guía que tenía de requisitos mínimos
00:05:24
y las recomendaciones.
00:05:33
La instancia que he lanzado de Amazon cumplía con las especificaciones
00:05:35
que me exigía Tipot para que desplegase y funcionase sin problema.
00:05:40
He tenido una máquina con 16 GB de RAM, creo que tenía que tener más de 128 GB de memoria
00:05:46
y computación con cuatro núcleos.
00:05:54
Toma de decisiones, ¿por qué he hecho el proyecto en cloud y no lo he hecho en local o on-premise?
00:05:58
Lo he hecho por varias razones. Primero escalabilidad.
00:06:06
Si hubiese necesitado más recursos, la computación cloud me permite
00:06:08
haber aumentado los recursos que hubiese necesitado para la máquina.
00:06:12
Si veo que me he quedado corto de memoria RAM o me he quedado corto de disco duro
00:06:15
podría haber ampliado en cualquier momento y que me permitía esa escalabilidad de costes.
00:06:21
Luego por seguridad.
00:06:25
Si lo tengo en computación en cloud voy a tener una dirección IP dedicada
00:06:27
totalmente segmentada de mi red doméstica, que es la que utilizo día a día
00:06:33
y en la que también me conecto para el trabajo y no quería correr ningún tipo de riesgo
00:06:36
o que una mala configuración hiciese que tuviese yo también algún problema de seguridad.
00:06:44
Luego que la computación en cloud también te permite tener unas reglas de conexiones
00:06:50
que funcionan un poco a modo de firewall muy sencillo, que me podría hacer de manera fácil
00:06:55
configurar las reglas de conexión, las reglas de entrada y salida del tráfico
00:07:01
y que tu pensamiento de que los rangos WWS, al ser rangos públicos que conocen los atacantes
00:07:07
es más fácil que esté monitorizando el tráfico que si yo tuviese alojado en mi red personal.
00:07:14
El diseño del proyecto es la instancia de AWS, he instalado un sistema operativo Debian 11
00:07:20
que es la versión más estable según el fabricante y he instalado Tipot.
00:07:27
Luego los puertos en la política de seguridad, del 1 al 64.000 son puertos abiertos
00:07:35
para que capte tráfico, a partir del 64.000 son restringidos y tenía el 64.295
00:07:39
para la conexión SSH a través de PuTTY, que es el sistema que he utilizado para la conexión
00:07:45
el 64.297 que es el que accedíamos al portal de administración y otra herramienta que es Cockpit
00:07:53
que casi no lo he utilizado, que era un poco más para el control de cómo iban los contenedores
00:08:01
es en el 64.294 y esas conexiones siempre las he restringido que solo se pudiese llegar
00:08:07
desde mi rango de IP doméstica para que estuviese aislado de los atacantes.
00:08:13
El despliegue de la instancia de AWS, cuando creas una instancia tienes que elegir
00:08:22
la región en la que lo creas y las necesidades que tienes de computación.
00:08:28
Elegí la región de Irlanda por cercanía y porque era más parecida a España
00:08:34
e instalé Debian 11, que era el sistema operativo que recomendaba el fabricante.
00:08:40
Luego establecí las políticas de seguridad conforme os he comentado y establecí la conexión SSH
00:08:49
mediante PuTTY y ahí mediante la consola de comandos es cuando hice la instalación del programa
00:08:54
descargué el repositorio de Github para que pudiese descargarse, lo instalé, etc.
00:09:01
Las fases de la instalación del Tipot. Primero en Debian no estaba activo el Github
00:09:07
me lo tuve que instalar, después de instalarlo ya pude descargar Tipot
00:09:15
y pude instalarlo mediante la línea de comandos.
00:09:21
Luego tuve una fase de ajuste de la herramienta siguiendo buenas prácticas
00:09:24
del soporte y del fabricante en su página web.
00:09:28
Realicé una prueba de funcionamiento, después de la instalación que viese que todo está funcionando
00:09:32
por ejemplo en la izquierda he activado un vídeo del mapa en el que se ve como
00:09:39
el mapa de ataques en tiempo real va registrando los ataques que se van recibiendo.
00:09:42
Y vi que funcionaba todo, recogía bien los datos, me aparecían bien en el Logstash
00:09:47
los tenía en los paneles de Kibana y los tuve funcionando 24 horas de manera interrumpida
00:09:51
y no había ningún problema.
00:09:57
Pasada esta fase ya pasé a la siguiente fase que es la de recogida de datos
00:10:02
que estuve durante una semana con el Tipot funcionando.
00:10:07
Entonces estuvo funcionando de manera interrumpida, verificaba constantemente
00:10:12
a diario que estaba funcionando sin problemas y también que se estaban recopilando
00:10:16
los logs en Logstash y que se estaban viendo en Kibana que es el dashboard
00:10:20
de visualización y también aproveché para ir personalizando ya los dashboards
00:10:26
con la información que consideraba más relevante.
00:10:30
Y ya pasé a la siguiente fase cuando ya había recopilado todos los datos.
00:10:35
Una fase de análisis de los datos que iba recopilando a través de los dashboards
00:10:38
de Kibana pues analizaba el dashboard de Tipot que es el dashboard general.
00:10:44
Ahí podía ver la información de todos los honeypots que compone Tipot
00:10:51
porque Tipot al final está compuesto por distintos honeypots.
00:10:57
Funcionaría más como una honeynet y estuve revisando los todos.
00:11:03
Entonces me quedé con Tipot en general e hice hincapié en Kauri
00:11:07
que es un Tipot que me recopilaba información que resultaba súper interesante
00:11:10
y distinta al resto.
00:11:14
Hubo, por ejemplo, hases, comandos que se han intentado ejecutar en la shell.
00:11:15
Había también intentos de descarga de archivos para que para parte de 3Dintel
00:11:21
creo que fue la que más, un poco de chicha, por hablar mal, podía recoger.
00:11:27
Entonces los datos que estaba buscando son los indicadores de compromiso
00:11:34
que son direcciones de IP atacantes, las vulnerabilidades que se han intentado
00:11:38
explotar más a menudo, las firmas y alertas del IDS que es Urikata,
00:11:42
los hases de malware, comandos y los puertos más atacados.
00:11:49
Y luego otra información adicional que he puesto como más de contexto
00:11:53
pues países que más ataques reciben, qué actividad ha habido desde España
00:11:56
o hubo desde España y también si veía algunos patrones de ataque.
00:12:04
Por ejemplo, he visto algunos patrones que me indicaban que se están haciendo
00:12:07
herramientas automatizadas para algunas explotaciones.
00:12:10
Y luego por último está la parte de la exportación y la compartición de datos
00:12:15
que lo que he hecho es subir la información a un nodo MISP.
00:12:19
Yo por mi trabajo tengo acceso al nodo MISP de mi empresa que está conectado
00:12:21
con el CCNCER, con CERS, con la red nacional de SOX.
00:12:25
Entonces he subido indicadores maliciosos, lo que pasa es que no lo he llegado
00:12:30
a publicar porque al ser digamos un trabajo personal no lo he querido publicar
00:12:36
en nombre de la empresa pero he hecho todo el proceso a falta de la publicación.
00:12:44
Y luego ya por último las aplicaciones que veo para el proyecto y las conclusiones.
00:12:51
Aplicaciones del proyecto, pues disponer de información nos va a permitir
00:12:55
creación de reglas personalizadas de firewall bloqueando tráfico
00:12:58
a direcciones IP maliciosas, tener una mejor selección de los países
00:13:02
desde los que permites el tráfico en función de las necesidades de tu empresa,
00:13:06
de tu entorno.
00:13:11
Importantísimo compartir información.
00:13:14
Si tú compartes información, indicadores de compromiso con la comunidad
00:13:16
digamos tenemos, es básico para que tengamos toda la información posible
00:13:22
y tú si sufres un ataque puedes recurrir a cualquiera de esas fuentes
00:13:25
para tener información.
00:13:29
Entonces el hacer comunidad y compartir es importante.
00:13:31
También se puede hacer threat hunting con reglas de detección
00:13:34
utilizando reglas Yara o reglas Snort.
00:13:37
Y luego también vulnerabilidades, pues podemos ver vulnerabilidades
00:13:40
que se estén explotando activamente que nos puede también servir
00:13:43
para tener nosotros una política de remediación en análisis de vulnerabilidades
00:13:46
o en nuestro entorno.
00:13:51
Y las conclusiones que he sacado después de hacer el proyecto.
00:13:53
La ventaja de la computación cloud que me ha sido súper competitivo,
00:13:56
que compartir información en una estrategia de ciberseguridad es básico,
00:14:00
que el Honeypot se puede dar como servicio,
00:14:05
puedes dar organizaciones medianas, pequeñas, que no tengan madurez suficiente
00:14:07
para tener uno propio, se lo puedes dar como servicio
00:14:11
y que también lo podemos utilizar en estrategias de thief hunting
00:14:14
y threat intelligence de búsqueda proactiva de amenazas
00:14:17
antes de que lleguen a nuestro entorno.
00:14:20
Y aquí finaliza lo que es la exposición de la presentación.
00:14:24
Creo que me quedan como unos dos minutos.
00:14:28
Os quería compartir un poco, enseñaros la herramienta.
00:14:30
Os voy a enseñar el mapa de ataques, que esto en tiempo real
00:14:39
te ve un ataque y te dice el Honeypot que te lo ha detectado,
00:14:46
el servicio que te ha atacado de una manera muy visual.
00:14:51
Es básicamente visual, pero sí que me interesaría un poco
00:14:55
enseñaros más la parte del dashboard de Kibana
00:15:00
porque es donde me ha permitido hacer investigación.
00:15:04
Todos estos dashboards los he podido personalizar,
00:15:08
he puesto los datos que me interesaban, he añadido dashboards nuevos
00:15:12
y aquí, por ejemplo, podemos ver en la última semana
00:15:17
los ataques que hemos recibido.
00:15:19
Y si filtramos por algún tipo de Honeypot,
00:15:22
pues nos va a filtrar todos estos datos.
00:15:28
Digamos, por ejemplo, estos son los de Kaori,
00:15:30
todos los que hubiésemos recibido.
00:15:32
Tiene mucha información.
00:15:34
¿Y qué nos permite?
00:15:36
Nos permite a la hora de analizar las gráficas, por ejemplo,
00:15:40
nos van a permitir establecer picos de actividad
00:15:44
donde hemos podido tener un ataque.
00:15:49
Aquí se ve claramente que hemos tenido ataques aquí en Dionea,
00:15:51
que hemos tenido un ataque en Honeytrap,
00:15:54
que lo hemos visto.
00:15:57
Y luego también recopilar información y sacar gráficas
00:15:59
para compartir.
00:16:02
Lo que hemos dicho un poco en la línea de anterioridad,
00:16:04
poder compartir toda la información.
00:16:07
Tenemos aquí desde las direcciones IP,
00:16:10
los puertos que han atacado, los países de origen,
00:16:12
las firmas de alerta del IDS
00:16:16
y las vulnerabilidades más explotadas.
00:16:21
Y esto es lo que he utilizado para la parte de análisis.
00:16:23
Si, por ejemplo, hubiese querido investigar más
00:16:26
sobre una dirección IP específica,
00:16:30
voy a copiar la dirección,
00:16:33
pues me puedo ir a esta parte de Discover,
00:16:35
que es donde podría buscar a través de queries,
00:16:39
en la parte de loctas,
00:16:46
todo este tipo de información
00:16:49
y sacar información específica
00:16:51
y hacer una investigación un poquito más profunda.
00:16:53
Y yo creo que ya está.
00:17:00
Aquí en Kaurios he sacado el, digamos,
00:17:02
este es el dashboard específico para Kauri,
00:17:07
que es donde, por ejemplo, he podido ver
00:17:10
información que me ha resultado superinteresante,
00:17:12
como la línea de comandos en la sede.
00:17:14
Por ejemplo, esto es un intento de descarga
00:17:20
de un archivo malicioso,
00:17:23
o más que descarga de su vida,
00:17:25
un archivo malicioso a mi red
00:17:27
o otros tipos de descargas de archivos maliciosos.
00:17:29
Por ejemplo, aquí he visto
00:17:34
que se han intentado descargar mineros.
00:17:36
Y esto es un resumen a grosso modo
00:17:40
y rápido del proyecto.
00:17:43
Creo que ya me estoy pasando de tiempo
00:17:45
y si quieres pasamos a la fase de preguntas.
00:17:48
¿Quieres que te comparta alguna pantalla
00:17:54
por si quieres preguntarme algo?
00:17:56
Tenía aquí varias preguntas que hacerte,
00:17:58
pero tampoco voy a hacerte muchas
00:18:00
porque algunas me las has resuelto.
00:18:02
La verdad es que es superinteresante
00:18:04
la cantidad de información que se puede tener
00:18:06
en una semana. Es impresionante.
00:18:08
Es impresionante.
00:18:10
¿Los con iPod que reciben más ataques?
00:18:14
¿Por qué son?
00:18:16
Los que yo he visto que hayan recibido
00:18:22
más ataques, normalmente...
00:18:24
Espera, te voy a compartir.
00:18:27
Cauri, por ejemplo.
00:18:32
Yo creo que es por los servicios que tienen expuestos.
00:18:36
Porque tienen servicios,
00:18:38
Samba, Telnet,
00:18:40
son muy atacados.
00:18:42
Todo lo que tenga que ver con conexiones remotos,
00:18:44
VLCs,
00:18:46
VNCs,
00:18:50
Samba, todo lo que te permita
00:18:52
y que sea poco seguro.
00:18:54
Porque Telnet, por ejemplo, es un protocolo
00:18:56
inseguro de transmisión de datos.
00:18:58
Pues son los que reciben más ataques.
00:19:00
Y también porque yo creo que son herramientas
00:19:02
y que van buscando. Y luego también, por ejemplo,
00:19:04
el de HoneyTrap
00:19:06
capta mucho tráfico
00:19:08
digamos
00:19:10
como spiders, como páginas
00:19:14
que están escaneando constantemente
00:19:16
Internet en busca de una primera
00:19:18
información preliminar.
00:19:20
Son los que más
00:19:22
info sacan. Hay otros que son
00:19:24
más específicos, por ejemplo,
00:19:26
dirigidos al correo, dirigidos a
00:19:28
protocolos de...
00:19:32
Desde aquí sí te lo busco
00:19:34
igual. Dirigidos a protocolos
00:19:36
de impresión. Es que hay
00:19:38
muchísimos. Cada honeypot
00:19:40
tiene una
00:19:42
utilidad que tiene muy
00:19:44
poquitos ataques.
00:19:46
Pero básicamente
00:19:48
yo creo que estos tres
00:19:50
es por los servicios que tienen expuestos.
00:19:52
¿Y luego cuáles son
00:19:54
las contraseñas de usuarios, por curiosidad,
00:19:56
que más utilizan?
00:19:58
Y también los comandos
00:20:00
que más utilizan.
00:20:02
Las contraseñas de usuarios,
00:20:04
todo lo que venga con root, administración,
00:20:06
como usuarios
00:20:08
son los que tienen
00:20:10
más interés.
00:20:12
Usuarios genéricos, guest, user,
00:20:14
admin,
00:20:16
todos esos son los que
00:20:18
suelen estar
00:20:20
más.
00:20:22
Y en cuanto a contraseñas, ¿qué más
00:20:24
utilizan? Secuencias numéricas,
00:20:26
secuencias de teclado,
00:20:28
todo este tipo de
00:20:32
secuencias. 1, 2, 3, 4, 5, 6, 7,
00:20:34
8, 9, 10.
00:20:36
1, 2, 3, 4, 5, QWERTY.
00:20:38
Combinaciones de QWERTY
00:20:40
con
00:20:42
teclado, con números que sean
00:20:44
sencillas. Son un poco todas
00:20:46
las que más se han visto.
00:20:48
Entonces, por ejemplo, si queremos
00:20:50
aquí en este apartado del
00:20:52
Password Tag Cloud, si quisiésemos
00:20:54
sacar
00:20:56
cuáles han sido las contraseñas
00:20:58
más sacadas, nos podríamos descargar
00:21:00
un CSV. Entonces, ¿qué podemos
00:21:02
utilizar este CSV? Lo podríamos
00:21:04
utilizar, oye, pues para echarle
00:21:06
un ojo y ver
00:21:08
la estructura
00:21:10
de contraseñas que no
00:21:12
vas a permitir y establecer unas reglas
00:21:14
de GPO en tu
00:21:16
entorno laboral.
00:21:18
O concienciación para
00:21:20
usuarios.
00:21:22
Por ejemplo, para la parte de análisis o
00:21:24
parte de subidas de IOCs, sí que
00:21:26
he descargado varios de estos archivos
00:21:28
que al final se te descarga un CSV, lo conviertes
00:21:30
con Excel y lo puedes establear
00:21:32
con columnas y
00:21:34
es bastante útil.
00:21:36
Aquí le he dado más
00:21:38
para que me salgan más. Si por defecto
00:21:40
te venían 50, pues he puesto
00:21:42
para que salgan más datos, que eso es
00:21:44
modificando la información
00:21:46
que te extrae.
00:21:48
Y luego, otra curiosidad,
00:21:50
que en el trabajo ponías una dirección que es
00:21:52
la que más te atacaron.
00:21:54
Desde la que más te atacaron,
00:21:56
no sé si investigaste,
00:21:58
era la 139.7
00:22:00
cuando hiciste 160.
00:22:02
Sí.
00:22:04
Desde la que recibías más ataques.
00:22:06
Yo creo que lo interesante
00:22:08
de esto, está genial
00:22:10
y está dimensionado.
00:22:12
Luego,
00:22:14
con las pruebas que vas obteniendo,
00:22:16
hacer un análisis forense
00:22:18
de ellas,
00:22:20
o incluso también añadir
00:22:22
en distintos
00:22:24
localizaciones
00:22:30
para hacer estadística.
00:22:32
Claro.
00:22:34
Lo único,
00:22:36
como distintas localizaciones es parecido,
00:22:38
cada vez que detenía la instancia
00:22:40
y tú la lanzas otra vez, tienes una dirección IP
00:22:42
distinta. Y lo mismo me pasaba
00:22:44
cuando se generaba mi IP dinámica desde casa,
00:22:46
que tenía que hacer algunos ajustes
00:22:48
de la configuración,
00:22:50
que es uno de los problemas que un día
00:22:52
digo, no funciona, no consigo entrar
00:22:54
y pensando un poco, digo, a ver si es esto
00:22:56
que he cambiado el IP
00:22:58
y fijo, fue eso.
00:23:00
Y la dirección IP
00:23:02
que más me atacó,
00:23:04
ahora mismo no
00:23:06
recuerdo cuál.
00:23:08
Esta telecomada era como curiosidad,
00:23:10
tampoco tiene mucha importancia.
00:23:12
¿Qué les ha parecido a tu empresa?
00:23:16
Ah, guay.
00:23:18
Lo vamos a implementar.
00:23:20
Lo vamos a implementar porque
00:23:24
estamos haciendo una herramienta
00:23:26
dentro del departamento,
00:23:28
es que tengo un rol más de manager,
00:23:30
estoy llevando gente. Entonces, técnicamente,
00:23:32
pues tampoco intervengo
00:23:34
demasiado, ¿no?
00:23:36
Pero tenemos
00:23:38
una herramienta propia de MDR
00:23:40
que es de
00:23:42
detección y respuesta
00:23:44
de incidentes.
00:23:46
La estamos desarrollando con herramientas
00:23:48
open source y una de las cosas que tenemos
00:23:50
es un honeypot. Y lo que tenemos que hacer
00:23:52
ahora también es un poco de una guía
00:23:54
de explotación o cómo
00:23:56
investigarlo, cómo aplicarlo.
00:23:58
Entonces, básicamente,
00:24:00
lo vamos a desarrollar
00:24:02
y voy a apoyarme
00:24:04
bastante en la parte del trabajo, porque ya
00:24:06
que tengo conocimiento, sí que me gusta
00:24:08
participar, ¿no? Porque
00:24:10
hay veces que, pues eso, cuando estoy
00:24:12
con las personas,
00:24:14
no están tan en contacto con
00:24:16
los equipos y con
00:24:18
la parte técnica, pues lo echas de menos
00:24:20
y a mí me gusta. Entonces, sí que
00:24:22
lo vamos a desplegar.
00:24:24
Pues está genial que
00:24:26
este proyecto te sirva para
00:24:28
tu trabajo y que lo puedas utilizar.
00:24:30
Me parece genial.
00:24:32
Vale, pues no se me ocurre nada más.
00:24:34
Gracias por la
00:24:36
presentación.
00:24:38
Gracias a ti por la ayuda.
00:24:40
Ha sido un placer autorizarte
00:24:42
y, bueno, pues nada.
00:24:44
Las notas en la situación son
00:24:46
el 25, entonces a partir de esa
00:24:48
fecha se darán las notas, ¿vale?
00:24:50
Vale, genial.
00:24:52
Perfecto. Luego,
00:24:54
también he puesto
00:24:56
un Google Drive con algo de info
00:24:58
por si de
00:25:00
soporte, lo he puesto en el anexo
00:25:02
y voy a subir ahí la presentación, porque
00:25:04
la subí en PDF
00:25:06
y justo hoy lo he leído
00:25:08
y ponía que se podía eso en PDF
00:25:10
y bueno, la subo ahí porque pesa un poco, con el vídeo tal
00:25:12
pesaba casi 18 o 20 megas.
00:25:14
La voy a subir ahí también y tengo subidos ahí algunos
00:25:16
vídeos capturando ataques,
00:25:18
alguna cosa que no he metido, pues lo he metido ahí.
00:25:20
Y luego en la parte de anexos
00:25:22
he metido algo
00:25:24
que he visto para integrarlo y que se hagan
00:25:26
reportes automáticos.
00:25:28
Lo que pasa es que he visto
00:25:30
muy poca información. Lo he visto solo de algún
00:25:32
honeypot específico y no sé si para la
00:25:34
instalación aislada. Entonces he estado haciendo alguna
00:25:36
prueba y lo he metido como anexos como se realizaría.
00:25:38
Y sí que lo he llegado a hacer
00:25:40
en mi, digamos
00:25:42
en el entorno, pero
00:25:44
no lo tengo probado.
00:25:46
Entonces, pues es una cosa
00:25:48
de la que saqué, pero vamos que el desarrollo
00:25:50
que tiene esto pues es
00:25:52
grande y con la ayuda seguro que
00:25:54
hacemos algo chulo
00:25:56
en la empresa porque tengo gente que
00:25:58
ahí me va a poder echar más una mano
00:26:00
más en serio.
00:26:02
Vale, pues estupendo.
00:26:04
Pues nada, lo dicho. Gracias.
00:26:06
Gracias a ti.
00:26:08
- Idioma/s:
- Autor/es:
- Francisco José González Constanza
- Subido por:
- Francisco J. G.
- Licencia:
- Reconocimiento
- Visualizaciones:
- 10
- Fecha:
- 17 de enero de 2024 - 19:09
- Visibilidad:
- Clave
- Centro:
- IES CIFP a Distancia Ignacio Ellacuría
- Duración:
- 26′ 10″
- Relación de aspecto:
- 1.78:1
- Resolución:
- 1920x1080 píxeles
- Tamaño:
- 290.36 MBytes
