IRIS Plataforma de Incident Response

A la hora de responder ante incidentes de ciberseguridad la gestión de la evidencia, los Indicadores de compromiso (IoC) la ejecución de actividades por fases, las mismas que deberían estar detalladas en un plan de respuesta a incidente es vital y sobre a la hora del trabajo en equipo entre Tecnología de la Información y Seguridad, todas estas actividades deben ser gestionadas en plataformas especificas, en este post hablare sobre IRIS, su facilidad de instalación y uso.

Plataforma de respuesta ante incidentes IRIS

¿Qué es IRIS? es una plataforma Open Source colaborativa que ayuda en el proceso de gestión de incidentes , actualmente en su version IRIS v1.4.5,

Para su funcionamiento necesita al menos 4 Cores y 8 GB de RAM, la forma de instalar es a través de docker.

Instalación y Configuración de IRIS

Para la instalación simplemente se debe descargar el repositorio , construir y ejecutar

Son al menos 3 o 4 pasos, que puedes encontrar en la documentación oficial

Quick Start

¿Y password del Administrator?

A la hora de iniciar por primera vez, la contraseña del usuario se muestra en pantalla, si no se anota se pierde, como en mi caso, sin embargo en la documentación se encontró como se puede cambiar, para eso es necesario generar un nuevo hash que debe ser reemplazado, el hash se genera con el siguiente código

import bcrypt
print(bcrypt.hashpw(<new_password>.encode('utf-8'), bcrypt.gensalt())

El código se encuentra en la siguiente URL

Q & A

Se ejecutó el script generando el nuevo hash.

Se procedió a identificar el ID del contendor para interactuar con la base de datos

Se accedió al contenedor

Se hizo la actualización del password del usuario administrator con el hash generado utilizando el script y listo!

IRIS

La aplicación web es intuitiva, permite gestionar los usuarios, los clientes, casos y módulos específicos para una integración con terceros.

Dashboard IRIS

Clientes

En caso de ofrecer Incident Response como servicio, permite registrar los clientes para ser asignados en la creación de caso correspondiente:

Registro de Cliente

Gestión de Casos

A la hora de gestionar de forma adecuada la información de los clientes es necesaria la creación de casos, como se observa se creó un caso, previa selección del cliente anteriormente creado.

Creación de Caso

Una vez creado el caso, se puede agregar las evidencias, IoC (Indicadores de compromiso) necesarios para el análisis y resolución del posible caso.

Al cargar el binario se presenta la siguiente información

Evidencia cargada al caso.

Al hacer clic sobre la evidencia permite obtener mayor información del binario.

Las actividades que se vayan a registran deberán estar con base en tu procedimiento de respuesta ante incidentes y en cada una de las fases y actividades por cada fases descritas, incluso si son muy generales.

En este caso la creación de una tarea, permite asignar al responsable de esa de una actividad en particular, tomando en cuenta el estado de la tarea, la actividad en si y la descripción de la tarea.

Creación y Asignación de Tareas

Cuando se presenta un incidente por lo general afecta a uno o mas activos (Asset), la plataforma permite seleccion el tipo de asset afectado, coo se puede observar en la imagen, en link de IoC es del binario que fue cargado previamente.

Cuenta con módulos que permite una integración con terceros, como se puede observar en la siguiente imagen la integración con virus total

Integración con terceros

Como la gran mayoría de herramientas utiliza API del servicio para interactuar.

Una vez configurado el módulo, fue necesario habilitarlo.

Al utilizar el modulo de VT, generó la siguiente información

Si comparamos esta plataforma con TheHive, queda muy pequeña pero cumple con su propósito, espero que te sirva.

Saludos!