TechNet: Introducción a Microsoft Operations Manager 2005. Ana Alfaro García Coordinadora de Eventos TechNet.

Slides:



Advertisements
Presentaciones similares
Copyright © 2007 Quest Software WebSeminar: Recuperación AD/Exchange Carles Martin Sales Consultant 27 de Abril de 2007.
Advertisements

JONATHAN SOLANO VILLEGAS
Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
Protección del ordenador
Análisis Forenses en Sist. Inf.
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
0/ Localizar la intranet en los tablet del alumno. Como la Intranet está instalada en algunos ordenadores, debemos localizarla primeramente para poder.
Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.
2.5 Seguridad e integridad.
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.
Juan Luis García Rambla MVP Windows Security
FOREFRONT TMG HTTPS INSPECTION Juan Luis García Rambla MVP Windows Security
SEGURIDAD INFORMÁTICA
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
La seguridad informática, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con.
Gusanos. Recogen información del usuario y posiblemente produzcan problemas de espacio o tiempo, pero no ocasionan daños graves. Bombas lógicas o.
VIRUS INFORMATICOS CLASIFICACION.
PROTECCIÓN DEL ORDENADOR
Programa Espía spyware.
HOL – FOR06. ► Introducción. ► Configuración de Forefront. ► Amenazas web: Solución Antimalware ► Amenazas de correo electrónico. Malware y Spam ► Protección.
1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.
Auditoría de Sistemas y Software
Windows XP Windows XP (cuyo nombre en clave inicial fue Whistler) fue hecho público el 25 de octubre de 2001 por Microsoft. Microsoft inicialmente sacó.
PROTECCIÓN DEL ORDENADOR
Respaldando la información
Administración de permisos
Diego Pastor Ralde. Client-side Vulnerabilities  Web Browsers  Office Software  Clients  Media Players.
VIRUS INFORMATICOS.
Tema 13: privacidad en la red Andrea Sánchez Ferriol Arancha Valero García.
Tema 4: Los Virus informáticos
PROTECCIÓN DEL ORDENADOR Kevin Victoria & Alex Clemente.
Dos años para un golpe El Ordenador del director general Revisando el servidor web secundario, encontró el nombre de usuario y número de IP del director.
PROTECCIÓN DEL ORDENADOR
 Un servidor basado en un procesador Intel que ejecute Windows Server 2003 debe tener al menos 128 MB de RAM. Microsoft recomienda también que haya.
ALUMNO: Juan Sebastián Vargas Bastidas ÁREA: Introducción A La Tecnología TEMA: DISCOS VIRTUALES Neiva-Huila (2013)
SOFTWARE MALWARE “MALICIOSO”.
COMPARTIR DOCUMENTOS JOHANCAMILO LESMES IPIALES TECNOLOGO GESTION ADMINISTRATIVA FICHA:
Cuentas de usuarios y grupos en windows 2008 server
 La seguridad es la característica de un sistema que está libre de todo peligro. Al se difícil de conseguir hablamos de sistemas fiables en vez de sistemas.
Introducción Recogida de evidencias Análisis de procesos. Análisis de ficheros y logs. Procedimiento.
 Los virus informáticos son programas que se introducen sin conocimiento del usuario en un ordenador para ejecutar en él acciones no deseadas.  Las.
Políticas de defensa en profundidad: - Defensa perimetral
Seguridad en la red José miguel Tardío Fernández José Manuel Sancho Gómez Jesús Vozmediano Vázquez.
Análisis forense en sistemas informáticos
Análisis forense en sistemas informáticos
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López.
C ONFIGURACIÓN Y ESTACIONES DE TRABAJO. R EQUERIMIENTOS DE INSTALACIÓN Para Windows XP Home Edición son: Procesador Pentium a 233 megahercios (MHz) o.
Seguridad Informática
File Transfer Protocol.
ABRIMOS NUESTRA, MMC PERSONALIZADA. NOS POSICIONAMOS DENTRO DE “ACTIVE DIRECTORY USERS AND COMPUTERS” Y LO EXPANDIMOS.
S EGURIDAD INFORMÁTICA Alejandro García yus. Entendemos por seguridad informática el conjunto de acciones, herramientas y dispositivos cuyo objetivo es.
ANTIMALWARE POR:RODRIGO MEJÍA.
Tema 1 – Adopción de pautas de seguridad informática
.¿Qué es la seguridad? se entiende como seguridad la característica de cualquier sistema informático o no, que indica que está libre de todo peligro,
Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.
VIRUS Características principales
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
INTERFAZ DE ACCESS  Access es un sistema gestor de bases de datos relacionales (SGBD). Una base de datos suele definirse como un conjunto de información.
MALWARE Juan Manuel Londoño Valentina Vanegas 9ºD.
CRISTIAN ESPINOSA. JUAN DAVID RUIZ 9-A. ¿ Qué es un Malware y cómo se puede prevenir? O Los Malware son programas informáticos diseñados por ciber delincuentes.
1 Seguridad en Redes Presentación 3 Sistemas Grado 11 Hernán Darío García.
GUARI, MARIELA ESTEFANIA L.U.:  ‘DEFINICION’ ‘Los Antivirus Cloud? (antivirus en la nube) son antivirus que aplican a los antivirus el concepto.
ANTIVIRUS CLOUD COMPUTING. Los antivirus cloud o antivirus en la nube, son antivirus que aplican a los antivirus el concepto cloud computing. Instalan.
DEFINICION Son antivirus especialmente diseñados para ofrecer protección desde la nube, salvaguardando al usuario contra nuevos códigos maliciosos prácticamente.
Antivirus Cloud Computing. Definición Antivirus Cloud Computing es un software de protección, que no consume muchos recursos y no necesita de un hardware.
WINDOWS SERVER 2008 r2 ADMINISTRACION DE RECURSOS: Con el Administrador de recursos del sistema de Windows del sistema operativo Windows Server® 2008 R2,
Transcripción de la presentación:

TechNet: Introducción a Microsoft Operations Manager Ana Alfaro García Coordinadora de Eventos TechNet

Análisis Forense Entornos Windows Juan Luis García Rambla MVP Windows Security

Agenda Introducción. Introducción. Sistemas de auditoría. Sistemas de auditoría. El análisis de los procesos. El análisis de los procesos. Gestión del sistema de ficheros. Acceso a recursos. Gestión del sistema de ficheros. Acceso a recursos. Software de análisis forense. Software de análisis forense.

Introducción

Introducción - Nos espían. - Nos acechan. - Nos atacan. - Nos acosan. - ¿ y que podemos hacer además de aplicar defensas? Elemental querido Watson….. ¡Analizar la circunstancia! Es decir como los de C.S.I.

El análisis forense Cuando algo ha pasado que nos queda: Cuando algo ha pasado que nos queda: Deducir que ha pasado. Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello. Qué acciones han sido consecuencia de ello. Qué podemos hacer para evitar que vuelva a suceder. Qué podemos hacer para evitar que vuelva a suceder.

Análisis basados en modelos. La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR. La ciencia forense informática se basa en un patrón de análisis basado en modelos. Uno de ellos puede ser el REDAR. R.E.D.A.R - Vocablo que significa: Echar las redes R.E.D.A.R - Vocablo que significa: Echar las redes RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones. RE gistro: Almacenar la información de lo que acontece en los logs, tanto de S.O. como en la de las aplicaciones. D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques y potenciales atacantes. D ectección de intrusos. Análisis de la información de red con objeto de determinar patrones de ataques y potenciales atacantes. A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia. A uditoRia: Evaluación de la información recogida que lleva consigo el análisis de una circunstancia.

Digital Forensics Research Workshops (DFRW) Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos: Este modelo es uno de los más seguidos y basa sus premisas en los siguientes procedimientos: Identificación. Identificación. Preservación. Preservación. Recogida. Recogida. Examinación. Examinación. Análisis. Análisis.

Modelo abstracto Este modelo llamado Modelo Forense Digital Abstracto, evoluciona del anterior y se basa en los siguientes procedimientos: Este modelo llamado Modelo Forense Digital Abstracto, evoluciona del anterior y se basa en los siguientes procedimientos: Identificación. Identificación. Preparación. Preparación. Estrategia de aproximación. Estrategia de aproximación. Preservación. Preservación. Recolección de datos. Recolección de datos. Examen de datos. Examen de datos. Análisis. Análisis. Presentación. Presentación. Retorno de evidencias. Retorno de evidencias.

¿Qué se necesita para hacer un análisis forense? Análisis de la intrusión. Análisis de la intrusión. Análisis de daños. Análisis de daños. Examinar eventos sospechosos. Examinar eventos sospechosos. Búsqueda de evidencias. Búsqueda de evidencias. Herramientas de análisis. Herramientas de análisis. Análisis de los ficheros de registro. Análisis de los ficheros de registro.

Sistemas de auditoría

La auditoria: la clave, a priori… Auditoría a priori… ¿Qué analizo? ¿Cómo lo hago? ¿Pero que es lo importante? ¿Cuándo lo hago? ¿Las estaciones de trabajo también? ¿A quien monitorizo? ¿Todos los servidores? ¿Con que herramientas lo hago? ¿Los ficheros? ¿Las impresoras? ¿La red? ¿Los dispositivos USB? ¿Las grabadoras? ¿El correo electrónico? ¿El acceso a la intranet? ¿El acceso a Inernet? ¿El acceso a la extranet? ¿Las bases de datos? Arggggggggggggggg!!!!!!!!!!!!

La auditoria: la clave, a posteriori… Auditoria a posteriori… Suele llegar tarde… Aunque si un ladrón comete un robo y le sale bien, lo volverá a intentar…

Auditar es importante La auditoría es necesaria para evaluar la información. La auditoría es necesaria para evaluar la información. A priori sin entrar en el modo paranoia. Hay que focalizar el registro de información de la base de negocio. A priori sin entrar en el modo paranoia. Hay que focalizar el registro de información de la base de negocio. A posteriori, siempre es mejor que nada.Si la jugada salió bien porque no intentarlo de nuevo. A posteriori, siempre es mejor que nada.Si la jugada salió bien porque no intentarlo de nuevo.

Auditoria de sistemas. Los registros de Windows. Los registros de Windows. Sistemas. Sistemas. Seguridad. Seguridad. Aplicaciones. Aplicaciones. El visor de sucesos. Ese gran desconocido. El visor de sucesos. Ese gran desconocido.

Auditoría de recursos Auditoría de accesos a objetos. Auditoría de accesos a objetos. Auditoría de carpetas. Auditoría de carpetas. Auditoría de ficheros. Auditoría de ficheros. Auditoría de impresoras. Auditoría de impresoras. Hay que focalizar la auditoría, en la información sensible. Hay que focalizar la auditoría, en la información sensible.

Auditoría de servicios Muchos de los servicios cuentan con sus propios logs. Muchos de los servicios cuentan con sus propios logs. Servidores Web. Servidores Web. Servidores de correo. Servidores de correo. Servidores de base de datos. Servidores de base de datos. Servidores de seguridad. Servidores de seguridad.

¿Qué debemos controlar? Accesos: identificar usuarios, puestos e IP. Accesos: identificar usuarios, puestos e IP. Qué información ha podido ser manipulada. Qué información ha podido ser manipulada. Cómo se ha podido realizar la intrusión. Cómo se ha podido realizar la intrusión. Cual era el objeto de la intrusión. Cual era el objeto de la intrusión. Podemos evitar nuevamente que se pueda producir la intrusión. Podemos evitar nuevamente que se pueda producir la intrusión.

Automatizar las auditorías Automatizar las auditorías es un procedimiento casi imposible, pero hay herramientas que facilitan esta tarea, recogiendo los datos y mostrando un pre-análisis de la información. Automatizar las auditorías es un procedimiento casi imposible, pero hay herramientas que facilitan esta tarea, recogiendo los datos y mostrando un pre-análisis de la información.

El análisis de los procesos

¿Poqué analizar procesos? Muchos de los riesgos se producen estando los sistemas activos. Muchos de los riesgos se producen estando los sistemas activos. Debemos buscar evidencias que determinen algo que pueda estar pasando. Debemos buscar evidencias que determinen algo que pueda estar pasando. El malware es utilizado habitualmente como una forma para obtener la información. El malware es utilizado habitualmente como una forma para obtener la información.

Manipulación de procesos Muchos procesos pueden ser manipulados por los atacantes para esconder aplicaciones que capturen datos. Muchos procesos pueden ser manipulados por los atacantes para esconder aplicaciones que capturen datos. Otras veces nos harán pasar procesos maliciosos por procesos de sistema, mediante la ingeniería social. Otras veces nos harán pasar procesos maliciosos por procesos de sistema, mediante la ingeniería social. ¿Conocemos realmente cuales son los procesos necesarios y cuales no? ¿Conocemos realmente cuales son los procesos necesarios y cuales no?

Analisis de los procesos Hay que controlar determinados aspectos en los procesos: Hay que controlar determinados aspectos en los procesos: Qué escucha detrás de cada puerto. Qué escucha detrás de cada puerto. Qué dependencias existente entre los procesos. Qué dependencias existente entre los procesos. Qué subprocesos y hebrás están ejecutándose detrás de los procesos. Qué subprocesos y hebrás están ejecutándose detrás de los procesos. Malware colgado de procesos pueden ser detectados mediante el análisis. Malware colgado de procesos pueden ser detectados mediante el análisis. ¿Quien se está conectando a nuestros procesos? ¿Quien se está conectando a nuestros procesos?

El malware nos acecha Numerosas aplicaciones malware son capaces de robarnos o manipular la información. Numerosas aplicaciones malware son capaces de robarnos o manipular la información. Que nosotros o las aplicaciones de seguridad que tengamos instalados no las vean no implican que no existan. Que nosotros o las aplicaciones de seguridad que tengamos instalados no las vean no implican que no existan. Pueden ser más inteligentes que nosotros. Pueden ser más inteligentes que nosotros. Herramientas comerciales pueden pasar por malware y malware pasar por herramientas comerciales. Herramientas comerciales pueden pasar por malware y malware pasar por herramientas comerciales.

Análisis online u offline Aunque la mayor parte de la información se mantendrá cuando volvamos a reiniciar el sistema, determinado tipo de software pudiera ser volátil. Aunque la mayor parte de la información se mantendrá cuando volvamos a reiniciar el sistema, determinado tipo de software pudiera ser volátil. Los análisis online no deberían ser intrusivos, para evitar la enquistación o malversación de la información. Los análisis online no deberían ser intrusivos, para evitar la enquistación o malversación de la información.

IATHook Herramienta de análisis de procesos que buscan ganchos de aplicaciones malware. Herramienta de análisis de procesos que buscan ganchos de aplicaciones malware.

Gestión del sistema de ficheros

Analisis del sistema de ficheros Analizar un sistema de ficheros no implica que debemos modificar la información. Analizar un sistema de ficheros no implica que debemos modificar la información. Es necesario realizar una copia de los datos que salvaguarde la información original de manipulaciones malintencionadas. Es necesario realizar una copia de los datos que salvaguarde la información original de manipulaciones malintencionadas. El análisis debe evaluarse desde la información proporcionadas por las auditorias, así como la recuperación de datos eliminados o modificados. El análisis debe evaluarse desde la información proporcionadas por las auditorias, así como la recuperación de datos eliminados o modificados.

Apostar por NTFS Los sistemas NTFS permiten un control más exhaustiva de la información. Los sistemas NTFS permiten un control más exhaustiva de la información. La recuperación de los datos es más factible, aunque haya sido eliminado o la partición haya sido formateada. La recuperación de los datos es más factible, aunque haya sido eliminado o la partición haya sido formateada. Admite unos sistemas de seguridad mejorados. Admite unos sistemas de seguridad mejorados. Deben utilizarse también en las estaciones de trabajo. Deben utilizarse también en las estaciones de trabajo. Control de los atributos NTFS. Control de los atributos NTFS.

Prever los cambios Una buena práctica es tener una copia de las firmas de los ficheros, en sistemas poco móviles. Una buena práctica es tener una copia de las firmas de los ficheros, en sistemas poco móviles. Comparar los ficheros de firmas con la situación actual. Comparar los ficheros de firmas con la situación actual. Comparar la información con posibles copias de seguridad y evaluar quien tiene acceso a las mismas: tanto físicamente como a través de la red. Comparar la información con posibles copias de seguridad y evaluar quien tiene acceso a las mismas: tanto físicamente como a través de la red.

Datos locales o remotos Hay que tener en cuenta ambas perspectivas. Hay que tener en cuenta ambas perspectivas. Si tenemos un sistema de almacenamiento remoto (NAS), debe contar con un sistema de auditoría. Si tenemos un sistema de almacenamiento remoto (NAS), debe contar con un sistema de auditoría. La información local suele estar más dispersa y es más difícil realizar el control. La información local suele estar más dispersa y es más difícil realizar el control. Hay que concienciar que los datos alojados en un servidor está más protegidos. Hay que concienciar que los datos alojados en un servidor está más protegidos.

Evaluación de datos Comparar los ficheros offline y online. Comparar los ficheros offline y online. Buscar posibles ficheros o carpetas ocultas. Buscar posibles ficheros o carpetas ocultas. Sospechar de acciones de Rootkit. Sospechar de acciones de Rootkit.

Cuidado con Internet ¿Sabemos donde estamos entrando? ¿Sabemos donde estamos entrando? ¿Controlamos la información que nos llega? ¿Controlamos la información que nos llega? El spyware: la amenaza en la sombra. El spyware: la amenaza en la sombra. Audita la información que nos llega a través de los Navegadores. Audita la información que nos llega a través de los Navegadores.

El registro La base de datos del sistema. La base de datos del sistema. ¿Qué nos oculta? ¿Qué nos oculta? ¿Es deducible la información? ¿Es deducible la información? Nos aporta muchas pistas que pueden indicar que se está ejecutando. Nos aporta muchas pistas que pueden indicar que se está ejecutando.

Filemon Control de acceso y atributos sobre ficheros: gestión de evidencias. Control de acceso y atributos sobre ficheros: gestión de evidencias.

Regmon Buscando información online en el registro. Buscando información online en el registro.

Software de análisis forense

Existe la posibilidad de utilizar herramientas para automatizar los procedimientos de análisis forense. Existe la posibilidad de utilizar herramientas para automatizar los procedimientos de análisis forense. En muchas circunstancias cuando no sabemos que hacer, ellas marcan las pautas y los métodos. En muchas circunstancias cuando no sabemos que hacer, ellas marcan las pautas y los métodos. Normalmente obtienen las información por nosotros, pero no nos la deducen. Eso es cosa nuestra. Normalmente obtienen las información por nosotros, pero no nos la deducen. Eso es cosa nuestra.

¿Qué hacen? Hacen copia binarias de discos. Hacen copia binarias de discos. Recopilan la información de los logs. Recopilan la información de los logs. Monitorizan los sistemas de ficheros. Monitorizan los sistemas de ficheros. Evalúan procesos. Evalúan procesos. Buscan elementos de malware. Buscan elementos de malware.

Encase Es una de las herramientas más afamadas y utilizadas. Es una de las herramientas más afamadas y utilizadas. Copia de datos. Realiza estudios de sistemas. Control de todo el sistema de ficheros. Control de ficheros. Control de procesos. Control de servicios web. Auditoría de información.

Encase

Helix Live-cd con herramientas para análisis forense. Live-cd con herramientas para análisis forense. Permite el análisis on-line y off-line. Permite el análisis on-line y off-line. Crea copia de discos y ficheros. Crea copia de discos y ficheros.

Boletín quincenal TechNews

Web MVPs

Próximas Acciones Listado de seminarios técnicos: Listado de seminarios técnicos: WebCast, Jornadas, Eventos y Seminarios: WebCast, Jornadas, Eventos y Seminarios: /default.mspx /default.mspx /default.mspx /default.mspx

Windows Server TechDay – Ampliando las fronteras tecnológicas de Windows Server. 13 de Marzo en Barcelona: 13 de Marzo en Barcelona: de Marzo en Madrid: 15 de Marzo en Madrid:

Contactos Juan Luis García Rambla Juan Luis García Rambla

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.