CÓDIGO DA DISCIPLINA: DEE345

SEGURANÇA DIGITAL - Aula 13

Prof. Jéfer Benedett Dörr

Departamento de Engenharias e Exatas - UFPR/Palotina

Docente de Segurança da Informação

Aula 13: Auditoria, Monitoramento e Detecção de Intrusões

Objetivos de Aprendizagem

Compreender e configurar pontos de coleta de logs em camadas do sistema.
Dominar ferramentas de gerenciamento e análise de logs (syslog, auditd, journalctl).
Implementar sistemas IDS/IPS (Snort, Suricata, Zeek).
Configurar honeypots para capturar atividades maliciosas.
Entender SIEM, EDR/XDR e SOAR para automação de segurança.
Utilizar ferramentas de auditoria preventiva (Nessus, Lynis, Tripwire).
Detectar ameaças avançadas (DNS poisoning, ARP spoofing, zero-day).

1. Conceito de Auditoria

Auditoria de segurança envolve coletar e analisar dados para identificar violações. Eventos críticos incluem:

Logins bem-sucedidos e falhos (ex.: brute force).
Mudanças de permissão/credenciais (ex.: escalação de privilégios).
Início/parada de serviços (ex.: parada do Apache).
Erros de sistema/kernel (ex.: falhas de segmentação).
Tráfego de rede suspeito (ex.: comunicações C2).

Exemplo prático: Múltiplas falhas de login em /var/log/auth.log indicam ataque de força bruta, exigindo bloqueio via fail2ban.

Por que Auditoria e Detecção são Importantes?

Auditoria e monitoramento são pilares da segurança cibernética, permitindo:

Detecção precoce de intrusões (ex.: ataques de força bruta).
Cumprimento de regulamentações (LGPD, GDPR, NIST).
Resposta a incidentes baseada em evidências.

2. Pontos de Coleta de Dados

Aplicação: Logs de servidores web (ex.: /var/log/apache2/access.log).
```
cat /var/log/apache2/access.log | grep "POST.*login"
```
Explicação: Filtra requisições POST para endpoints de login, detectando explorações.
Subsistema: Logs de autenticação/cron (ex.: /var/log/auth.log).
```
journalctl -u sshd --since "2025-06-10" | grep "Failed"
```
Explicação: Lista falhas de login SSH desde uma data específica.
Kernel: Mensagens em /var/log/kern.log ou dmesg.
```
dmesg --level=err,crit | grep -i "segfault"
```
Explicação: Detecta erros críticos do kernel, como falhas de segmentação.
Rede: Capturas de pacotes (ex.: tcpdump).
```
tcpdump -i eth0 port 80 -w web_traffic.pcap
```
Explicação: Captura tráfego HTTP para análise posterior.

Ferramenta Adicional: Zeek

sudo apt install zeek
zeek -i eth0 local
cat /usr/local/zeek/logs/current/conn.log

Explicação: Gera logs detalhados de conexões de rede, detectando tráfego anômalo.

3. Syslog (syslogd/rsyslog)

Configure em /etc/rsyslog.conf:

# Habilitar TCP
module(load="imtcp")
input(type="imtcp" port="514")

# Enviar logs para servidor remoto
*.* @@192.168.1.100:514

# Separar logs SSH
if $programname == 'sshd' then /var/log/sshd.log
& stop

Explicação: Recebe logs via TCP, envia para servidor remoto e isola logs SSH.

Teste com logger:

logger -p local0.alert -t TEST "Alerta de teste personalizado"

Explicação: Gera log personalizado no facility local0.

Ferramenta Adicional: Syslog-ng

sudo apt install syslog-ng
syslog-ng -F

Configuração: (/etc/syslog-ng/syslog-ng.conf)

source s_local { system(); internal(); };
destination d_auth { file("/var/log/auth.log"); };
filter f_auth { facility(auth); };
log { source(s_local); filter(f_auth); destination(d_auth); };

Explicação: Direciona logs de autenticação para arquivo específico.

4. Análise de Logs

Estudo de Caso: Detectando um Ataque Brute Force

# Logs de falha de autenticação no SSH
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr

# Saída esperada (IPs suspeitos):
# 192.168.1.15: 203 tentativas
# 91.234.1.22: 47 tentativas

Ação recomendada: Bloquear IPs com fail2ban ou via firewall.

Ferramentas

zgrep: Busca em logs comprimidos.
```
zgrep "error" /var/log/syslog*.gz
```
Explicação: Analisa logs antigos comprimidos.
journalctl: Logs do systemd.
```
journalctl -p 3 -u apache2 --since "1 hour ago"
```
Explicação: Lista erros do Apache na última hora.
sort | uniq -c: Conta eventos.
```
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c
```
Explicação: Conta tentativas de login falhas por IP.

Ferramenta Adicional: Graylog

docker run -d -p 9000:9000 -p 12201:12201/udp graylog/graylog

Explicação: Centraliza logs com interface web para análise.

5. IDS/IPS

5.1 Snort (NIDS)

# Instalar
sudo apt install snort

# Regra customizada (/etc/snort/rules/local.rules)
alert tcp any any -> any 445 (msg:"SMB exploit attempt"; content:"|FF|SMB"; sid:1000002; rev:1;)

# Modo IPS
sudo snort -c /etc/snort/snort.conf -i eth0 --daq afpacket --daq-mode inline -Q

Explicação: Detecta e bloqueia tentativas de exploração SMB.

5.2 Suricata

# Instalar
sudo apt install suricata
sudo suricata-update

# Regra customizada (/etc/suricata/rules/custom.rules)
alert http any any -> any any (msg:"Suspicious User-Agent"; content:"User-Agent: malicious"; sid:2000001; rev:1;)

# Analisar logs
cat /var/log/suricata/eve.json | jq '.event_type == "alert"'

Explicação: Detecta User-Agents maliciosos e filtra alertas JSON.

Snort vs. Suricata: Quando Usar?

Critério	Snort	Suricata
Performance	Mais leve	Multithread
Suporte a JSON	Não	Sim (Eve.json)

Recomendação: Use Snort para redes pequenas; Suricata para ambientes corporativos.

Ferramenta Adicional: Zeek

zeek -i eth0 scripts/detect-malicious.zeek

Script: (detect-malicious.zeek)

event http_header(c: connection, is_orig: bool, name: string, value: string) {
    if (name == "USER-AGENT" && /malicious/i in value)
        print fmt("Malicious User-Agent detected: %s", value);
}

Explicação: Detecta User-Agents maliciosos em tráfego HTTP.

6. Honeypots

Cowrie (SSH/Telnet):

git clone https://github.com/cowrie/cowrie.git
cd cowrie
pip install -r requirements.txt
bin/cowrie start

# Configuração (cowrie.cfg)
[ssh]
port = 2222

# Analisar logs
cat /var/log/cowrie/cowrie.json | jq '.eventid == "cowrie.session.connect"'

Explicação: Simula SSH e registra conexões de atacantes.

Dionaea (malware capture):

sudo apt install dionaea
sudo systemctl start dionaea

# Verificar downloads
cat /var/log/dionaea/dionaea.log | grep "download"

Explicação: Captura malware via serviços vulneráveis simulados.

T-Pot:
```
docker run -d -p 64294:64294 tpot
```
Explicação: Combina múltiplos honeypots com interface web.

7. EDR, XDR & SOAR

Wazuh (EDR):

sudo curl -s https://packages.wazuh.com/4.x/apt/deb/wazuh-agent_4.5.2-1_amd64.deb -o wazuh-agent.deb
sudo dpkg -i wazuh-agent.deb
sudo WAZUH_MANAGER="192.168.1.100" /var/ossec/bin/wazuh-control start

Explicação: Monitora endpoints com agentes leves.

Elastic SIEM:

# Filebeat (filebeat.yml)
filebeat.inputs:
- type: log
  paths:
    - /var/log/nginx/access.log
output.elasticsearch:
  hosts: ["localhost:9200"]

Explicação: Envia logs para análise no Kibana.

Cortex XSOAR:

playbook:
  name: Incident Response
  steps:
    - name: check_malware
      action: scan_file
      args:
        file_path: "{{ incident.file_path }}"
    - name: block_ip
      action: firewall_block
      args:
        ip: "{{ incident.src_ip }}"

Explicação: Automatiza resposta a incidentes.

8. SIEM

Fluxo: Coleta (filebeat) → Ingestão (Elasticsearch) → Alertas (Kibana).

POST /_search
{
  "query": {
    "bool": {
      "filter": [
        {"term": {"host.name": "web01"}},
        {"range": {"@timestamp": {"gte": "now-1h"}}},
        {"match": {"event.severity": "high"}}
      ]
    }
  }
}

Explicação: Busca alertas graves no host web01.

Como os Dados Fluem em um SIEM Moderno

graph LR A[Endpoints] -->|Syslog/Beats| B(Elasticsearch) B --> C{Kibana} C --> D[Alertas] C --> E[Dashboards]

⚠️ Melhor Prática: Protegendo seu Elasticsearch

Nunca exponha o Elasticsearch diretamente na internet.
Use autenticação básica: xpack.security.enabled: true

Ferramenta Adicional: Splunk

sourcetype=auth_log "Failed password" | stats count by src_ip

Explicação: Conta tentativas de login falhas por IP.

9. Auditoria Preventiva

Nessus:

/opt/nessus/bin/nessuscli scan -t 192.168.1.0/24 --policy "Advanced Scan"

Explicação: Varre vulnerabilidades em sub-rede.

Nmap:
```
nmap -O 192.168.1.10
```
Explicação: Detecta SO e serviços do host.

Tripwire:

tripwire --init
tripwire --update --twrfile /var/lib/tripwire/report/hostname-date.twr

Explicação: Monitora integridade de arquivos.

OSSEC:

sudo apt install ossec-hids
sudo /var/ossec/bin/ossec-control start

# Regra (/var/ossec/rules/local_rules.xml)
<rule id="100001" level="10">
  <if_sid>530</if_sid>
  <match>root login from</match>
  <description>Root login detectado</description>
</rule>

Explicação: Alerta logins como root.

Rootkit Hunter:

sudo apt install rkhunter
rkhunter --check --skip-keypress --report-warnings-only

Explicação: Detecta rootkits.

Lynis:
```
sudo lynis audit system
```
Explicação: Audita configurações de segurança.

Verificador de Integridade: Tripwire

O Tripwire monitora alterações em arquivos críticos do sistema, comparando o estado atual com uma “linha de base” previamente criada. Qualquer modificação não autorizada (adicionar, remover ou modificar arquivos) gera um alerta.

Prática Guiada: Tripwire

Instalação e configuração inicial:
sudo apt-get update sudo apt-get install tripwire
Durante o setup, responda às perguntas sobre o “site key” e “local key”.
Gerar a linha de base (base policy):
sudo tripwire --init
Isso cria o banco criptografado com o estado atual dos arquivos monitorados.
Simular uma alteração:
sudo touch /etc/ssh/ssh_config.modified
Cria um arquivo extra para forçar disparo de alerta.
Verificar integridade:
sudo tripwire --check
O Tripwire varre o sistema e gera um relatório em /var/lib/tripwire/report/.
Analisar o relatório:
Abra com:
sudo cat /var/lib/tripwire/report/$(ls /var/lib/tripwire/report | tail -n1)
Procure linhas marcadas como “Modified” ou “Added”.

Dica: Actualize sua linha de base sempre que mudanças legítimas forem aplicadas (após patch, instalação de pacote, etc.), usando sudo tripwire --update --twrfile .

10. Ferramentas de Linha de Comando

who -u: Lista usuários logados.
Explicação: Detecta sessões suspeitas.
ss -tulnp | grep ":22": Mostra processos na porta 22.
Explicação: Identifica serviços SSH ativos.
iftop -i eth0: Monitora banda.
Explicação: Detecta tráfego anômalo.

11. Extensões Avançadas

11.1 DNS Poisoning

sudo dnsmasq --addn-hosts=/etc/dnsmasq.d/fake_hosts

Explicação: Simula ataque de DNS poisoning.

11.2 IP & ARP Spoofing

sudo ettercap -T -M arp /192.168.1.10// /192.168.1.1//

Explicação: Intercepta tráfego via ARP spoofing.

11.3 Zero-Day e APTs

yara -r rules/malware.yar /var/www/html

Explicação: Detecta malware com regras YARA.

11.4 Modern Honey Network

docker run -d --name mhn -p 80:80 -p 8080:8087 honeyhunt/mhn
docker exec mhn /opt/mhn/scripts/install_hpfeeds.sh

Explicação: Centraliza dados de honeypots.

11.5 SIEM ELK + Filebeat

curl -X POST "localhost:5601/api/saved_objects/_import" -H "kbn-xsrf: true" -F file=@dashboard.ndjson

Explicação: Importa dashboards Kibana.

11.3.6 SOAR

playbook:
  name: Ransomware Response
  steps:
    - name: detect_ransomware
      action: scan_files
      args:
        pattern: "*.encrypted"
    - name: isolate_host
      action: isolate_endpoint
    - name: backup_restore
      action: restore_from_backup
      args:
        backup_id: "latest"

Explicação: Responde automaticamente a ransomwares.

12. Gráfico de Exemplo

Visualização de tentativas de login falhas por IP:

Desafio Prático: Simule um Ataque e Monitore

Suba um servidor web com Docker: docker run -d -p 80:80 nginx
Gere tráfego malicioso: nikto -h http://localhost
Analise os logs no Kibana usando a query: event.action: "scan"

Recursos Recomendados

Quiz de Avaliação – Aula 13

1. Para receber logs via UDP no rsyslog, qual módulo deve ser carregado em `/etc/rsyslog.conf`?

module(load="imuxsock")

module(load="imudp")

module(load="imfile")

module(load="imtcp")

CORRETO! O módulo imudp habilita a recepção de logs via UDP na porta 514.

INCORRETO. Para logs UDP é preciso carregar imudp, não imuxsock ou outros.

2. Qual parâmetro do auditctl define que um arquivo será monitorado para eventos de escrita e acesso?

-k

-p wa

-w

-r

CORRETO! O parâmetro -p wa monitora escrita (w) e acesso (a) no arquivo.

INCORRETO. Para monitorar write e attribute, usa-se -p wa.

3. Qual modo do Snort ativa bloqueio de tráfego quando uma regra é acionada?

Sniffer

Logger

IPS

IDS

CORRETO! No modo IPS, o Snort bloqueia ativamente o tráfego malicioso.

INCORRETO. Apenas o modo IPS reage ao tráfego, não o Sniffer ou Logger.

4. Qual comando exibe as últimas 50 entradas do kernel log no Linux?

dmesg --ctime | tail -n 50

journalctl -k -50

tail -n 50 /var/log/syslog

grep -i error /var/log/kern.log | head -n 50

CORRETO! O comando dmesg --ctime | tail -n 50 mostra as últimas 50 mensagens do kernel com timestamps humanos.

INCORRETO. Use dmesg --ctime | tail para logs do kernel; as outras opções apontam para syslog ou journal.

5. Qual ferramenta open source core é usada para rodar um honeypot SSH/Telnet?

Kippo

Cowrie

Dionaea

Honeyd

CORRETO! O Cowrie é o honeypot SSH/Telnet de alta interação.

INCORRETO. Embora relacionada, a ferramenta citada é o Cowrie, não Kippo ou Honeyd.

6. Qual comando netstat lista todas as conexões TCP estabelecidas com detalhes de PID?

netstat -ap

netstat -an | grep LISTEN

netstat -anp | grep ESTABLISHED

netstat -tulpn

CORRETO! O filtro `| grep ESTABLISHED` mostra conexões ativas, com PID via `-p`.

INCORRETO. Apenas `netstat -anp` exibe PID, mas sem `grep ESTABLISHED` lista todos os estados.

7. Qual ferramenta HIDS monitora alterações de integridade de arquivos e possui modo de inicialização?

Tripwire

AIDE

Snort

Suricata

CORRETO! O AIDE cria e verifica banco de dados de integridade.

INCORRETO. Snort e Suricata são IDS de rede, não verificadores de integridade de arquivos.

8. Qual plataforma centraliza logs, aplica correlação e gera alertas em tempo real?

Honeypot

Cowrie

SIEM

EDR

CORRETO! Um SIEM centraliza e correlaciona logs, gerando alertas em tempo real.

INCORRETO. Honeypots e EDR focam em endpoints; a plataforma que correlaciona logs é o SIEM.

SEGURANÇA DIGITAL - Aula 13

Prof. Jéfer Benedett Dörr

Aula 13: Auditoria, Monitoramento e Detecção de Intrusões

Objetivos de Aprendizagem

1. Conceito de Auditoria

Por que Auditoria e Detecção são Importantes?

2. Pontos de Coleta de Dados

Ferramenta Adicional: Zeek

3. Syslog (syslogd/rsyslog)

Ferramenta Adicional: Syslog-ng

4. Análise de Logs

Estudo de Caso: Detectando um Ataque Brute Force

Ferramentas

Ferramenta Adicional: Graylog

5. IDS/IPS

5.1 Snort (NIDS)

5.2 Suricata

Snort vs. Suricata: Quando Usar?

Ferramenta Adicional: Zeek

6. Honeypots

7. EDR, XDR & SOAR

8. SIEM

Como os Dados Fluem em um SIEM Moderno

⚠️ Melhor Prática: Protegendo seu Elasticsearch

Ferramenta Adicional: Splunk

9. Auditoria Preventiva

Verificador de Integridade: Tripwire

10. Ferramentas de Linha de Comando

11. Extensões Avançadas

11.1 DNS Poisoning

11.2 IP & ARP Spoofing

11.3 Zero-Day e APTs

11.4 Modern Honey Network

11.5 SIEM ELK + Filebeat

11.3.6 SOAR

12. Gráfico de Exemplo

Desafio Prático: Simule um Ataque e Monitore

Recursos Recomendados

Quiz de Avaliação – Aula 13

1. Para receber logs via UDP no rsyslog, qual módulo deve ser carregado em /etc/rsyslog.conf?

2. Qual parâmetro do auditctl define que um arquivo será monitorado para eventos de escrita e acesso?

3. Qual modo do Snort ativa bloqueio de tráfego quando uma regra é acionada?

4. Qual comando exibe as últimas 50 entradas do kernel log no Linux?

5. Qual ferramenta open source core é usada para rodar um honeypot SSH/Telnet?

6. Qual comando netstat lista todas as conexões TCP estabelecidas com detalhes de PID?

7. Qual ferramenta HIDS monitora alterações de integridade de arquivos e possui modo de inicialização?

8. Qual plataforma centraliza logs, aplica correlação e gera alertas em tempo real?

1. Para receber logs via UDP no rsyslog, qual módulo deve ser carregado em `/etc/rsyslog.conf`?