Digital Forensics and Incident Response (IRIS) es un enfoque disciplinado para la identificación, adquisición, preservación, análisis e investigación de pruebas digitales en el contexto de un incidente de seguridad informática. IRIS se utiliza para investigar incidentes de seguridad informática, como el malware, la intrusión, el robo de datos y otros incidentes relacionados con la seguridad. La finalidad de IRIS es obtener una comprensión completa de un incidente, determinar su impacto y llevar a cabo la respuesta apropiada para mitigar el daño.
Que puedo hacer con DFIR-IRIS
Investigación de intrusiones: Cuando se detecta una posible brecha de seguridad, se puede utilizar IRIS para llevar a cabo una investigación exhaustiva del sistema y determinar la gravedad y el alcance de la brecha.
Análisis de dispositivos móviles: IRIS se puede utilizar para analizar dispositivos móviles en casos de investigación criminal o de derechos humanos.
Recuperación de datos: IRIS puede ayudar a recuperar datos importantes que han sido borrados o perdidos.
Análisis de correo electrónico: IRIS puede utilizarse para analizar correos electrónicos en busca de información relevante para una investigación.
Análisis de redes: IRIS puede utilizarse para analizar las actividades en una red y identificar posibles puntos de ataque.
Como lo registro en DFIR-IRIS
Identificación del incidente: Se detecta un posible incidente de seguridad en la red, como un malware o una intrusión.
Recopilación de datos: Se recopilan datos relevantes del incidente, como registros de firewall, registros de sistema, registros de seguimiento, etc.
Análisis de los datos recopilados: Se analizan los datos recopilados para identificar patrones y comprender mejor el incidente.
Identificación de la causa del incidente: Se identifica la causa del incidente y se determina si es un malware, una vulnerabilidad de seguridad, una mala configuración, etc.
Contención del incidente: Se implementan medidas para contener el incidente y evitar su propagación.
Eliminación de la amenaza: Se elimina la amenaza y se restaura la integridad de los sistemas afectados.
Investigación y documentación: Se investiga y documenta el incidente, incluyendo las medidas tomadas para resolverlo y las lecciones aprendidas para prevenir futuros incidentes similares.
Con que SO lo utilizo
La app es de software abierto y aun cuando se puede instalar en Windows utilizando Docker, la app está pensada y tiene soporte solo en Linux
Esto está confirmado por el soporte oficial de DFIR-IRIS (Discord)
Para poder utilizar DFIR-IRIS tenemos que tener instalado Docker en nuestra maquina con Linux o en nuestra VM con Linux.
Tener en cuenta que la versión de Docker depende si utilizamos Ubuntu o Debian
Su instalación es bastante sencilla, hay que tener conocimientos en Linux y Docker siendo Linux el sistema operativo por excelencia a la hora de utilizarlo y Docker el software que hace de contenedor.
Tips para comenzar.
Actualización de nuestra VM en mi caso utilizo Virtual Box
Comienza la instalación
Vamos a clonar el contenedor desde github.com
una de las ventajas que se pude observar y quedan evidenciadas en las imágenes, la predisposición del equipo de DFIR-IRIS en todo momento colaborando atreves de Discord para las consultas que surgieron.
Comienza la instalación
Dónde está mi usuario
En ocasiones en el vértigo de la instalación, se nos pasa de largo que durante la instalación obtenemos el usu y pass para el posterior funcionamiento del sistema.
El usuario por defecto es administrator
Y el pass se encuentra luego del siguiente mensaje, hay que encontrarlo en los logs.
WARNING :: post_init :: create_safe_admin :: >>>
Qué pasa si nos olvidamos el pass
El sistema nos da la opción de regenerar nuestra pass con los siguientes comandos.
Veamos a DFIR-IRIS trabajando
DFIR-IRIS posee un dashboard donde podemos observar la evolución de los casos que monitoreamos.
Posee un gestor de módulos
Posee la opción de descarga de los eventos que solicitemos.
Podemos descargar un archivo con los datos que fuimos cargando y de esta manera poder realizar un informe impreso y/o respaldo digital de los eventos que fuimos detectando y solucionando, esto nos ayuda a futuro tener un Backups de temas y como fueron solucionados.
Diferencias entre DFIR-IRIS y un SIEM
DFIR-IRIS y un SIEM (Sistema de Información y Eventos de Seguridad) son dos tecnologías diferentes que se utilizan en seguridad informática.
DFIR-IRIS es una herramienta de análisis de incidentes de seguridad digital (DFIR) que se utiliza para investigar y responder a incidentes de seguridad. Se enfoca en la recopilación, análisis y presentación de datos relacionados con incidentes de seguridad y se utiliza para facilitar la investigación de incidentes y la toma de decisiones informadas.
Por otro lado, un SIEM es un sistema que recopila y analiza los datos de seguridad de diversas fuentes, como firewalls, sistemas de detección de intrusiones y servidores, para brindar una visibilidad completa de la seguridad de la red. Los SIEM también proporcionan alertas y reportes para ayudar a identificar y responder a incidentes de seguridad.
En resumen, DFIR-IRIS se enfoca en la investigación de incidentes de seguridad mientras que un SIEM se enfoca en la recopilación y análisis de datos de seguridad para proporcionar una visibilidad completa de la seguridad de la red. Ambas tecnologías son complementarias y se utilizan juntas para garantizar la seguridad de las redes y los sistemas.
Conclusión.
El sistema DFIR-IRIS es una herramienta con excelentes resultados para el monitoreo, acompañamiento, desarrollo y conclusión de los eventos que surjan en nuestra organización, lo que nos permite un total control de los mismo, siendo una herramienta forense de excelencia, en el corto tiempo que lo pude utilizar, demostró un potencial de primer nivel.
Otra de las ventajas que se pudieron observar, es la capacidad de interactuar con otros softwares o paginas online como apoyo, ya sea NMAP, ANYRUN, WIRESHARK entre otros.
Hablemos brevemente de Docker
Docker es una plataforma de virtualización de contenedores que permite a los desarrolladores y administradores de sistemas empaquetar y ejecutar aplicaciones de forma rápida y sencilla. Con Docker, las aplicaciones se pueden ejecutar en cualquier sistema operativo compatible sin preocuparse por las dependencias, la configuración o el entorno.
Las funciones clave de Docker incluyen
Contenedores: Docker utiliza una tecnología de contenedores para crear un entorno aislado y portátil para las aplicaciones.
Imágenes: Docker permite crear, compartir y distribuir imágenes de aplicaciones a través de un registro centralizado.
Automatización de la construcción y el despliegue: Docker permite automatizar la construcción, el despliegue y la gestión de aplicaciones a través de un pipeline de CI/CD.
Escalabilidad: Docker permite escalar aplicaciones de forma sencilla y eficiente, permitiendo que las aplicaciones se ejecuten en varios nodos de forma simultánea.
Seguridad: Docker ofrece una capa adicional de seguridad para las aplicaciones al aislarlas de otros procesos y sistemas operativos.
Comunidad: Docker cuenta con una amplia comunidad de desarrolladores y usuarios que contribuyen y comparten imágenes y soluciones de forma colaborativa.
Esto es una breve introducción de que utilizades y funciones tiene Docker, dejo enlace de un video más completo y su instalación
Un video interesante para tener en cuenta de quien quiera aprender Docker.
Pantalla principal de Docker
DFIR-IRIS trabajando en Windows
Docker es un software que permite crear contenedores para poder correr nuestros programas en un ambiente seguro, que diferencia tiene Docker con una Virtual Machine? Es el uso de menos recursos, esto hace que, con un porcentaje mas bajo, uno pueda hacer correr un contenedor con la imagen del software que deseemos.
Como lo instalamos, les dejo un link de un video donde el colega lo explica a la perfección.
Material de consulta.
https://www.youtube.com/watch?v=CV_Uf3Dq-EU&t=2028s
https://docs.docker.com/engine/install/
https://www.youtube.com/watch?v=XXyIv_aes4w
https://github.com/dfir-iris/iris-web
https://docs.dfir-iris.org/zqa/#what-is-the-password-policy-can-it-be-changed
Top comments (0)