Automatizar escaneos de Shodan, detectar puertos abiertos, mejorar la respuesta de seguridad
El monitoreo manual para detectar puertos abiertos inesperados consume mucho tiempo y puede presentar vulnerabilidades críticas de seguridad. Este flujo de trabajo automatiza escaneos semanales con Shodan para identificar puertos abiertos nuevos o no aprobados, creando alertas instantáneas en TheHive para una respuesta rápida a incidentes.
Documentation
Descripción general del flujo de trabajo de escaneo semanal con Shodan y alerta en TheHive
Este flujo de trabajo de n8n ofrece monitoreo automatizado de seguridad de red escaneando regularmente puertos abiertos inesperados en las IPs designadas y escalando los hallazgos a TheHive para una respuesta inmediata a incidentes. Es una herramienta esencial para la vigilancia continua de la integridad de la red, diseñada para identificar y reportar proactivamente anomalías de seguridad.
Características principales
- Escaneos semanales automatizados para evaluación continua de la postura de seguridad.
- Monitoreo dinámico de IP y puertos basado en sus sistemas o bases de datos de seguridad existentes.
- Aprovecha Shodan para una detección integral de servicios en puertos expuestos.
- Filtrado inteligente para identificar solo puertos abiertos inesperados o no autorizados.
- Integración fluida con TheHive para creación y gestión simplificada de incidentes.
- Informes automatizados en formato de tabla Markdown para una comunicación clara.
Cómo funciona
Este flujo de trabajo se activa cada lunes a las 5 AM para asegurar una evaluación regular de la postura de seguridad. Comienza obteniendo una lista de direcciones IP monitorizadas y sus puertos abiertos esperados desde su sistema interno de seguridad o base de datos. Cada IP se procesa individualmente usando el nodo "Dividir en lotes", asegurando un análisis enfocado y el cumplimiento de límites de tasa de API. Para cada IP, el flujo consulta Shodan para descubrir todos los puertos y servicios actualmente abiertos. Los resultados se comparan meticulosamente con sus puertos aprobados conocidos usando el filtro "¿Puerto inesperado?". Si se detecta un puerto inesperado, se extraen, establecen y formatean los datos relevantes del servicio (incluyendo IP, nombres de host, puerto, descripción y datos sin procesar) en una tabla clara en Markdown. Finalmente, se crea automáticamente una alerta en TheHive detallando el puerto abierto inesperado, asegurando que su equipo de seguridad sea notificado rápidamente para investigar y responder.
Formato de datos para IPs y puertos vigilados
El nodo 'Obtener IPs y puertos vigilados' espera que los datos entrantes estén en un formato JSON específico, detallando cada IP con un arreglo de puertos asociados a monitorear. A continuación se ofrece un ejemplo: