Análise de dados de fluxo

Na estratégia de número 7, “Select and Collect the Right Data”, o documento destaca a importância de coletar os dados com base no valor que eles têm para a organização. Aqui fica clara a boa relação que deve haver entre captura de tráfego vs captura de logs, já que para fins de confirmação de intrusão, os dados mais relevantes e granulares normalmente são encontrados nos logs dos endpoints. Porém, é destacado também que o monitoramento deve coletar dados de todos os ambientes relevantes, o que inclui equipamentos que geram dados de fluxo. Importante observar que mais dados não necessariamente trazem mais valor.

Por fim, os dados de fluxo, acompanhados de outras fontes de dados, podem ajudar a facilitar a organização a atingir “consciência situacional” sobre o ambiente monitorado. É necessário combinar as várias estratégias de análise e coleta para chegar em um resultado satisfatório que entregue visibilidade à maior parte do ambiente.

Casos de uso com dados de fluxo

No segundo artigo da série de posts sobre dados de fluxo, foi realizada uma captura de dados em um ambiente de laboratório, porém esses dados não fizeram parte de nenhum tipo de análise naquela postagem.

Nesta seção, serão mostrados alguns casos de uso que podem ser satisfeitos utilizando os dados de fluxo, ilustrando essa abordagem a partir de uma captura desses data flows realizada nos mesmos moldes da postagem anterior e enviadas para um software de análise, neste caso, a pilha Elasticsearch, que tem capacidade para receber, traduzir e gerar visualizações para os dados nela inseridos.

Para contextualizar, abaixo está o esquema do ambiente do laboratório onde os dados foram capturados:

Os dados dessa vez foram capturados por um período de pouco mais de quatro horas, bastante curto em relação ao anterior, que foi de mais ou menos três dias. A seguir, estão alguns gráficos que podem ser utilizados como casos de uso de monitoramento:

No gráfico acima, é possível observar o volume de dados que trafegam no período observado. Pode parecer uma informação simples, mas é uma possibilidade de monitoramento para começar a traçar uma baseline do volume de utilização da rede. Este gráfico pode ser a base para outros mais granulares, como de bytes por protocolo, endereços IP que mais utilizam a rede, e assim por diante.

Mais um gráfico de utilização da rede, para uma visualização ao longo do tempo (baseline):

No gráfico abaixo, é possível observar quais foram os protocolos mais utilizados (em bytes) num intervalo de três horas:

Nota-se uma alta exponencial no volume de tráfego do protocolo icmp a partir de um certo período no gráfico. Isso se deu por conta de um icmp flooding realizado como teste, para mostrar a eficácia desse tipo de monitoramento para detecção de anomalias na rede.

Complementando as informações de protocolos, é possível visualizar na figura abaixo, informações de quais portas / códigos estão atrelados a quais protocolos, e ter uma noção da quantidade de dados que estão trafegando nestas portas/protocolos para detectar possíveis problemas, além de ajudar na criação de mais uma baseline comportamental para este tópico.

Na tabela abaixo, é possível identificar quais foram os endereços responsáveis pelas maiores transmissões de dados no período. É notável a quantidade de dados trafegados usando o protocolo icmp, algo que chamaria a atenção em um dashboard.

Essa informação é relevante porque:

 •  pode ajudar a traçar o perfil de utilização da rede dos usuários;
 •  mostra quais tipos de protocolos foram mais utilizados por cada endereço;
 •  também pode ajudar a detectar equipamentos não-autorizados utilizando a rede, informação que nem sempre estará disponível através de logs.

É importante notar que a quantidade de bytes, pacotes e data flows nem sempre será proporcional. Esse tipo de informação também é importante para identificar anomalias de conexão ou até mesmo tráfego malicioso. Por exemplo: uma atividade maliciosa de exfiltração de dados poderia gerar uma quantidade alta de pacotes e data flows, enquanto mantém o volume em bytes baixo. Essa informação pode e deve ser cruzada com logs de sistemas para identificar e tratar um possível incidente. A título de curiosidade, o primeiro IP mostrado na tabela pertence a uma plataforma de streaming: durante todo o período de realização do teste, um computador da rede esteve conectado à plataforma, com uma transmissão em tempo real aberta, por isso a quantidade excessiva de dados trafegados, ou seja, provando que é possível traçar um perfil de utilização voltado para a atividade do usuário.

A tabela abaixo mostra a relação de contagem de conexões entre endereços, sendo ip/porta de origem e ip/porta de destino. Essa visualização pode ser importante para identificar anomalias de movimentação lateral, atividade de malware, comando e controle, e outros problemas,além de trazer a compreensão das relações usuário-usuário, usuário-serviço e serviço-serviço citadas anteriormente. A tabela traz excelente oportunidade para atividades de caça de ameaças (threat hunting) onde o analista precisa de um pouco mais de proatividade para realizar suas buscas. Também pode ser confrontada com uma lista de indicadores de comprometimento (IoCs) obtidos através de atividades de inteligência de ameaças (CTI) e assim por diante.

Abaixo uma visualização completa de um dashboard que pode ser implementado para auxiliar uma equipe de monitoramento/tratamento/resposta/threat hunting a realizar suas buscas e investigações.

Além do dashboard, buscas manuais podem ser feitas para encontrar termos específicos. Vale lembrar que os dados de fluxo oferecem muito campos a mais do que os demonstrados nesse post. Para esta publicação os foram obtidos de um servidor Linux a partir de ferramentas opensource como o fprobe, e isto por si só entrega informações muito escassas quando comparado a dados obtidos a partir de equipamentos especializados e com maior capacidade para este tipo de dados, a exemplo de roteadores e switches, de onde é possível obter informações como:

 • Número do Autonomous System (ASN) de origem e destino;
 • Coordenadas de Geolocalização;
 • Endereços MAC (next hop);
 • Monitoramento das conexões por países;
 • e muitos outros.

É possível concluir que os dados de fluxo se revelaram como mais uma fonte de dados essencial para monitoramento, análise e resposta a possíveis incidentes de segurança em uma organização, além de poder auxiliar na geração de indicadores de comprometimento e em atividades de threat hunting. Ele pode ser uma alternativa à captura de tráfego em alguns pontos da rede para ajudar a identificar ameaças de segurança, analisar o tráfego de rede em longo prazo, gerenciar a largura de banda da rede, planejar a capacidade da rede e monitorar a conformidade com políticas de segurança e regulamentações.

Para aproveitar ao máximo as características dos dados de fluxo, é importante identificar como ele se adequa ao negócio e quais os casos de uso eles podem satisfazer, bem como identificar os melhores equipamentos exportadores, além de coletar e armazenar dados em um local centralizado, analisar regularmente e manter as políticas de segurança atualizadas, sempre integrando essa análise com as outras fontes de dados da organização.

Em resumo, através dos simples casos de uso de monitoramento mostrados nos gráficos, foi possível perceber que a implementação da captura de dados de fluxo, combinada com análise recorrente, pode ajudar as organizações a reduzir os riscos de segurança e aprimorar a eficácia das atividades de monitoramento, detecção e resposta a possíveis ameaças.