Webinar #31 – Gerenciando seus eventos do Windows com a pilha Elastic

10 de julho de 2016

Qual o objetivo deste novo webinar da Clavis Segurança da Informação?

Em um sistema Windows temos milhares de IDs de eventos, sendo divididos em 9 categorias e mais de 50 sub categorias. Os eventos salvam ações de uma máquina Windows, como login/logoff, execução de comandos, modificações de arquivos/registros, filtros de pacotes entre diversas outras ações. O Windows, por padrão, armazena esses eventos somente por um curto período de tempo (dependendo da configuração), tornando assim ações complexas de monitoria e forense.

No nosso dia a dia, usamos a pilha Elastic e scripts em Python para otimizar a agregação de dados e geração de alertas. Esse processo gera inteligência relevante para ser usada em análises históricas e telemetria de milhões de eventos diariamente, bem como alertar de forma proativa situações maliciosas.

Nessa apresentação, vamos explicar como configurar a sua política de auditoria no Windows e a pilha Elastic para processar e arquivar todas as informações, compartilhando algumas ideias para analisar seus dados.

Sobre o instrutor

Rodrigo Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em Open Source. Atualmente trabalha como pesquisador na Clavis e é sócio da Green Hat Segurança da Informação. Anteriormente trabalhou na Sucuri Security e Spiderlabs. Já palestrou em inúmeros eventos no Brasil (FISL, CONISLI, Latinoware, H2HC, BSides), EUA (Source Boston / Seattle, Toorcon, Bsides Las Vegas) e Canadá (SecTor). Possui 2 patentes na detecção de Malwares (PDF e cabeçalhos HTTP), resultados de suas pesquisas. Fundador e evangelista da comunidade Snort no Brasil desde 2003. Nas horas vagas faz triathlon e corrida em trilhas.