ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco
-
Upload
patriciostalin -
Category
Documents
-
view
150 -
download
2
Transcript of ControlVulnerabilidadesIntrusosOSSIM;Juan Rodriguez;Priscila Morocho;Stalin Riofrio;Henry Vivanco
Abstract— This paper presents a security tool integrated into
open source covering from detection to generate metrics and reports
to an executive level.
Resumen— El presente artículo presente una herramienta de
seguridad integrada en código abierto que cubre desde la
detección hasta la generación de métricas e informes a un nivel
ejecutivo.
Keywords— Security, Detection, Generation Metrics, Reports.
Palabras claves— Seguridad, Detección, Generación de
Métricas, Informes.
I. INTRODUCCION
lienVault es el proveedor líder de Gestión de la Seguridad
Unificada y amenaza inteligencia multitud de fuentes sus
productos están diseñados y desarrollados para garantizar
que las organizaciones de medios de mercado pueden defender
de manera efectiva contra las amenazas avanzadas de hoy en
día. Con la construcción de las mejores herramientas de
seguridad de código abierto en una sola plataforma de gestión
de seguridad unificada, y luego alimentar la plataforma con up-
to-the-minute amenaza inteligencia de AlienVault laboratorios
y nuestro abierto Amenaza Cambio -la mayor amenaza de
colaboración de intercambio-AlienVault multitud de fuentes
del mundo ofrece a sus clientes con una solución unificada,
simple y asequible para la detección de amenazas y la gestión
del cumplimiento.
Mientras que el perfecto escudo deflector amenaza aún no se ha
inventado, AlienVault es capaz de proporcionar a sus clientes
un producto de detección de amenazas.[1]
AlienVault se ofrece como un producto de seguridad que le
permitirá integrar en una única consola todos los dispositivos y
herramientas de seguridad que disponga en su red, así también
como la instalación de otras herramientas de código abierto y
de reconocido como Snort, Openvas, Ntop y OSSEC. _______________________________________ J. Guamán, Universidad Nacional de Loja, Loja, Ecuador,
[email protected] P. Morocho, Universidad Nacional de Loja, Loja, Ecuador,
[email protected] S. Riofrìo, Universidad Nacional de Loja, Loja, Ecuador,
[email protected] H. Vivanco, Universidad Nacional de Loja, Loja, Ecuador,
1 OSSIM Open Source Security Information Management
Una vez los eventos generados por las diferentes
herramientas y dispositivos han sido recogidos por el sistema
AlienVault, el sistema realiza una valoración de riesgo para
cada evento y tiene lugar a la correlación. Durante el proceso
de correlación, a partir de una serie de patrones, se generan
nuevos eventos para ataques o problemas en nuestra red. Para
acceder a toda la información recogida y generada por el
sistema hace uso de una consola WEB que además nos
permitirá configurar el sistema y ver el estado global de nuestra
red en tiempo real.
II. OBJETIVO
El objetivo de este tutorial es proporcionar al lector una guía
paso a paso de como instalar OSSIM. Este documento también
le proporcionará conceptos básicos y una breve explicación de
la función de cada perfil que una instalación puede adoptar
OSSIM.1
III. FUNCIONAMIENTO BASICO
Trataremos mostrar de una forma simple que proceso tienen
lugar dentro de OSSIM:
Las aplicaciones generan eventos de seguridad.
Los eventos son reconocidos y normalizados.
Los eventos son enviados a un servidor central.
Valoración de riesgo para cada evento.
Correlación de eventos.
Almacenamiento de los eventos.
Acceso a los eventos almacenados.
Acceso a la configuración.
Acceso a la métrica e informe.
Acceso a información en tiempo real del estado de
nuestra red.
Los eventos de seguridad son generados por las diferentes
aplicaciones y/o dispositivos que dispongan en su red. Estos
eventos son recogidos y normalizados por el Sensor de OSSIM,
quien se encarga además de enviarlo al servidor central. En un
despliegue de OSSIM podremos disponer de varios sensores
como necesitemos. Como ejemplo, se puede situar un sensor
dentro de la DMZ2, un sensor en cada ciudad o utilizar un sensor
para monitorizar cada una de las redes de la situación.
2 DMZ diseño conceptual de red donde los servidores de acceso público se
colocan en un segmento separado, aislado de la red
J. Guamán, P. Morocho, S. Riofrío and H. Vivanco
Software de Control de Vulnerabilidades Detecciòn de
Intrusos AlientVault (OSSIM)
Control Software Vulnerabilities Intrusion Detection
AlientVault (OSSIM)
A
El sensor de OSSIM incluye una serie de herramientas
(Snort, Ntop, Tcptrack, Arpwatch...) que permiten analizar todo
el tráfico de red en busca de problemas de seguridad y
anomalías. Para sacar provecho de la funcionalidad de OSSIM
es imprescindible que el sensor sea capaz de ver todo el tráfico
de la red, bien sea utilizando concentrador, o configurando por
un port mirroring o port Span en la electrónica de la red.
Todos los sensores de OSSIM envían sus eventos al servidor,
que se encarga de efectuar una valoración de riesgo para cada
evento, y en el que también tendrá lugar el proceso de
correlación. Una vez estos dos procesos han tenido lugar, los
eventos son almacenados en la base de datos de OSSIM.
Para tener acceso a toda esta información, así como a la
configuración del sistema y una serie de métricas e informes
haremos uso de la consola WEB de OSSIM. Desde esta consola
Web también tenemos acceso a información en tiempo real a
una serie de aplicaciones que nos facilitarán el análisis del
estado global de nuestra red.
IV. PERFILES DE INSTALACION
Dependiendo de la función del nuevo host en el que
despliegue OSSIM es posible configurar el perfilen uso. Esto
puede ser configurado durante la instalación o después de ella.
Por defecto la instalación automatizada permitirá a todos los
perfiles en el mismo equipo.
SENSOR
El perfil del sensor habilitara a ambos, los detectores
de OSSIM y el colector. Los detectores siguientes
están activados por defecto:
Snort (IDS a nivel de red)
Ntop (Monitoreo de red y uso)
Openvas (Gestión de vulnerabilidad)
POF (Sistema pasivo de detección pasiva)
Pads (Sistema pasivo de detección de
activos)
Arpwatch (Anomalía de cambio de Mac)
OSSEC (IDS a nivel de host)
Osiris (Monitor de integridad)
Nagios (Monitor de disponibilidad)
OCS (Inventario)
Una vez que el perfil de sensor ha sido activado, usted puede
desactivar el detector de manera que solo se mantiene la
funcionalidad de la colección.
Para obtener beneficios de las capacidades de detección de
esas herramientas, tendremos que configurar la red en el sensor
de OSSIM de modo que:
Tiene acceso a la red que está supervisando
Escáner de vulnerabilidad, control de disponibilidad,
WMI Agente-Less collection, Colección Syslog.
Recibe todo el tráfico de la red. Es necesario
configurar un port mirroring/portspan o hacer uso de
un concentrador (HUB) o Network tap.Snort, Ntop,
Arpwatch, Generación de Flujos, Pads, P0f…
El perfil del Sensor configura el sistema para que esté listo
para recibir eventos de hosts remotos usando el protocolo
Syslog. Cada aplicación o dispositivo tendrá un plugin asociado
3 SIEM (perfiles personales de un usuario)
(conector DS) que define cómo recoger los sucesos de la
aplicación o dispositivo, así como cómo los acontecimientos
que deberían normalizarse antes de enviarlos al servidor central
de OSSIM.
Un despliegue puede tener tantos sensores como le sea
necesario, básicamente en función de las redes que están siendo
controladas y sobre la distribución geográfica de la
organización que será objeto de seguimiento utilizando OSSIM.
Por lo general, es necesario configurar un sensor por red, pero
si instalamos más de un interfaz de red y en rutamos el tráfico
o configuramos un port-mirroring sobre él, podremos
monitorizar más de una red en el mismo sensor.
SERVER
Esta instalación combina los perfiles SIEM3 y el
componente Logger. Los sensores se conectarán al
servidor de OSSIM para enviar los eventos
normalizados. Los despliegues simples incluirán un
Servidor único en el despliegue. Más despliegues
complejos podrían tener más de un Servidor con
diferentes roles, o en caso de que sea necesario para
implementar el Servidor de OSSIM con alta
disponibilidad.
FRAMEWORK
El perfil de Framework instalará y configurará el
componente de la interfaz de Gestión Web. Una única
interfaz de Gestión Web será desplegada en cada
instalación OSSIM. Más despliegues complejos con
múltiples Servidores OSSIM pueden tener más de un
equipo con el perfil de Marco habilitado. El
Framework es el perfil de instalación que utiliza la
menor cantidad de memoria y CPU. Por esta razón, el
Framework se suele instalar con el perfil de Servidor.
DATABASE
El perfil Database permitirá a una base de datos
MySQL almacenar la configuración y eventos (Si la
funcionalidad SIEM está en uso). Por lo menos una
base de datos se requiere en cada despliegue. Incluso
si sólo el perfil SIEM es habilitado, una base de datos
será necesaria para almacenar la información de los
inventarios y los parámetros de configuración.
ALL-IN-ONE
El perfil all-in-one habilitará a todos los perfiles en un
solo equipo. Este es el perfil de instalación por defecto
y se activa si el usuario realiza una instalación
automatizada.
V. INSTALACION OSSIM
Para empezar vamos a instalar OSSIM de 64 bits en
VMware, creamos una máquina virtual nueva. Damos click en
nueva máquina virtual y nos aparece el asistente de instalación
le damos click en instalación typical o recomendad y damos
click en next. (la diferencia entre 32 bits y 64 bits es notable por
lo que se recomienda instalar en sistemas de 64 bits, para la
versión 4.8 que estaremos usando la arquitectura ya es solo para
sistemas de 64 bits).
Figura 1. Instalación De OSSIM
El siguiente paso es montar la imagen ISO4 para eso le damos
la ruta de la imagen y damos click en next.
Figura 2. Montar iso
El siguiente paso es asignarle el nombre a la máquina, en
este caso es OSSIM. Y damos click en next.
4 ISO: Un archivo donde se almacena una copia o imagen exacta de un
sistema de ficheros
Figura 3. Nombre a la Maquina
El siguiente paso es asignarle la capacidad del disco en este
caso son 20 GB, además nos pregunta almacenar discos
virtuales en un archivo único o dividir disco virtual en varios
discos. Le damos click en la segunda opción y damos click en
next.
Figura 4. Capacidad de Disco
El asistente nos muestra el nombre de la máquina,
ubicación, versión del VMware, sistema operativo etc. Damos
click en personalizar de la máquina virtual pues aquí podremos
cambiar el tamaño de la memoria ram asignada y el numero de
procesadores que deseemos aunque esto también se puede hacer
una vez creada la maquina virtual
Figura 5. Detalles de la Maquina y Personalización de la misma.
En este paso empezamos la instalación de OSSIM, nos pregunta
que opción de instalación, damos click en la segunda opción y
damos enter.
Figura 6. Elegir que opción queremos instalar.
El siguiente paso es asignarle el idioma al sistema en este
caso Español y damos click en continúe.
Figura 7. Elegir idioma
El siguiente paso es asignar la zona o región a la que se
pertenece en este caso Ecuador y damos click en continúe.
Figura 8. Asignar Zona
El siguiente paso es asignarle la distribución del teclado en
este caso es Latinoamericano y damos click en continúe.
Figura 9. Asignar Distribución del Teclado
Lo siguiente es esperar unos segundos:
Figura 10. Esperar
El siguiente paso es asignarle la dirección IP del servidor en
este caso es 192.168.22.4 y damos click en continúe.(esta ip
podrá luego ser cambiada por lo que no debemos
preocuparnos por ahora, aunque el cambio de IP una vez
instalado el servidor suele demorar unos minutos).
Figura 11. Asignar Dirección IP al Servidor
El siguiente paso es asignarle la máscara a la red en este caso
es 255.255.255.0 y damos click en continúe.
Figura 11. Asignar Mascara de Red
El siguiente paso asignarle la pasarela de red que nos indica la
dirección IP del encaminador en este caso es 192.168.22.1 y
damos click en continúe
Figura 12. Dirección IP de Encaminamiento
El siguiente paso es configura el reloj seleccionamos la zona
horario, (es recomendable poseer conexión a internet para la
puesta del reloj) y damos click en continúe
Figura 13. Configurar Reloj
En el siguiente paso es asignar la clave al usuario root,
asignamos la clave y damos click en continuar.
Figura 14. Asignar clave al usuario ROOT
Lo que vemos a continuación es la configuración y el
levantamiento de los servicios.
Figura 15. Configuración y Levantamiento Servidores
Ya totalmente instalado nos pide el usuario y la contraseña.
Figura 16. Usuario y Contraseña
Como vemos a continuación el servidor está listo para
empezar la configuración, con eso llegamos al final de la
instalación.
Figura 17. Listo Configurar Servidor
El siguiente paso es ingresar a la plataforma desde
cualesquier navegador que tenga conexión al servidor de
AlienVault OSSIM(recordamos la IP que le dimos en la
instalación y la colocamos).
Como recordaran la ip en la instalación fue 192.168.22.2, ahora
con estos datos mi cliente no puede acceder puesto que la
dirección ip antes mencionada está mal configurada ya que la
dirección de mi PC el que hospeda la máquina virtual que
creamos está en la red 192.168.1.0, y para que exista
comunicación entre la máquina virtual y la computadora real,
debe estar dentro de la misma red sin antes olvidar cambiar la
conexión de la máquina virtual a brigte, una vez hecho esto
podemos cambiar la ip del servidor OSSIM, en este caso la
nueva ip será 192.168.1.9, echo esto ya podremos ingresar a la
plataforma.
Figura 18. Plataforma Navegador
Al ser la primera vez que nos conectamos a la plataforma esta
nos muestra un formulario el cual llenaremos con los datos
correspondientes y simplemente dares clic en START USING
ALIEVAULT
Y listo la magia se ha hecho realidad ahora ya podemos ver
cómo el OSSIM. Mientras vemos la página de cuadros de
mando en el apartado de información general.
Figura 19. OSSIM
VI. INTERFAZ OSSIM 4.8 [2]
Figura 20. Interfaz OSSIM
1. Utilidad de menú : Bienvenido; Configuración; Salir.
2. Menú Principal: análisis;; Medio Ambiente;; informes
y Botones de configuración.
3. Ayuda Button.
4. Menú secundario relacionado con una funcionalidad
específica. Este secundario menú cambia
dependiendo de lo que la opción está activada.
5. Bandeja de Notificación. Se accede a esta
información a través de hacer clic en la pestaña
derecha.
UTILIDAD DE MENÚ
Esta área incluye los siguientes botones:
Figura 21. Botones Menu.
"Bienbenido <USUARIO>". Este campo es
informativo y se utiliza para saber cuál es el nombre
de usuario del usuario que actualmente ha iniciado la
sesión en que es.
"Configuraciones"
“Soperte”
“Salir”:
NOTA: Botones que su nombre se describen muy bien.
MENÚ PRINCIPAL
El menú principal incluye las siguientes opciones:
Figura 22. Menú Principal.
A continuación, hay una explicación de cada uno de estos
menús desplegables en las siguientes secciones
Figura 23. Cuadro del Mando (Menú Desplegable)
INFORMACION GENERAL: Esta opción se utiliza
para ver los diferentes paneles que muestran el estado
del sistema y alarmas generadas. Se trata de un menú
por defecto.
ESTADO DE DESPLIEGUE
Figura 24. Estado Despliegue
"CUADRO DE MANDO". Permite al usuario tener
visibilidad sobre las ubicaciones con sensores, activos
y red.
"AVISOS y ERRORES ". Muestra los detalles,
advertencias y mensajes de error.
Alien Vault supervisa sí para tratar de detectar los
posibles problemas que se producen durante el
funcionamiento normal. Estos problemas vienen en
forma de mensaje.
MAPA DE RIESGOS
Figura 25. Mapa Riesgos
"INFORMACION GENERAL". Permite al usuario
visualizar el estado del activo dentro del mapa
seleccionado.
"GESTIONAR MAPAS". Esta opción se utiliza para
gestionar mapas. Hay mapas configurados y, además,
es posible cargar nuevos mapas. Los mapas pueden ser
editados; en Establecer como predeterminado;
nombre cambiado y propietario;, y también se pueden
eliminar.
OTX
Esta opción permite a los usuarios visualizar
gráficamente, en un mapa, amenazas. En realidad, son
IP direcciones que pertenecen a los hosts que están
atacando o haciendo cosas peligrosas en su propia
actividad. Estas direcciones IP son proporcionados por
AlienVault, así como por todo el mundo. Cada usuario
puede participar y contribuir a AlienVault OTX por
medio del
Notificación Ambiente Bandeja / Snapshot:
Figura 26. Snapshot
ANALISIS DEL (Menu Desplegable)
Figura 27. Menú Desplegable.
"ALARMAS". Cualquier evento con un riesgo de 1
o mayor es una alarma. Si un evento tiene un muy
alto prioridad, que se puede transformar en una
alarma. Además, varios eventos con prioridad baja
puede generar una alarma debido a que las
directivas de correlación son capaces de aumentar
el riesgo de los eventos juntos. El panel de alarma
se muestran todas las alarmas generadas en
AlienVault USM. Cada usuario sólo puede ver las
alarmas que pertenecen a los hosts que están
autorizados para controlar y basadas en el usuario
permisos. Es posible buscar y filtrar las búsquedas.
Además, es posible visualizar alarmas agrupadas.
"EVENTOS (SIEM)". Esta opción se utiliza para
visualizar la secuencia de eventos que provocado la
alarma. El usuario puede hacer un análisis forense
de todos los eventos que se han procesada por el
servidor de AlienVault. La base de datos de eventos
de seguridad está diseñado para una rápida y
análisis versátil, que se requiere para la detección y
la respuesta de los ataques.
" LOGS". El logger permite al usuario almacenar un
gran volumen de datos al tiempo que garantiza su
admisibilidad como prueba en un tribunal de
justicia. El registrador proporciona una base de
datos adicional que está dirigido específicamente
para masiva, almacenamiento a largo plazo y
archivo forense. Es también la recopilación de datos
en bruto, firma digitalmente y marcas de tiempo de
los datos. Los datos son con seguridad almacenado
y conservado su integridad.
"TICKETS". Un billete es un elemento dentro de
AlienVault USM, que contiene información sobre
detección de problemas mediante el uso de Alien
Vault USM. Hay filtros simples y avanzados
disponibles para facilitar las búsquedas. Las
entradas se pueden crear de forma manual y,
también, de forma automática a través de algunos
componentes (escáner de vulnerabilidades, alarmas
...) lo que permite a los usuarios trabajar en la
boleto.
ENTORNO (Menú Desplegable)
Figura 28. Entorno Menú Despegable
ACTIVOS.- Un activo es cualquier entidad en el
entorno del usuario que tiene una dirección IP.
Figura 29. Activos
"ACTIVO". Esta opción muestra una lista de los
bienes inventariados dentro de AlienVault. Los
activos pueden crear, modificar, eliminar, exportar a
un archivo CSV e importado de SIEM. Es posible
filtrar las búsquedas y guardar esas búsquedas.
"DESCUBRIMIENTO DE ACTIVOS". Firmas de
descubrimiento de activos permiten AlienVault para
automáticamente identificar el fabricante y el modelo
de sus activos. Esta opción permite al usuario escanear
redes y hosts. La exploración se realiza para añadir
elementos a los Alien Vault base de datos y que los
activos son monitoreados por el sistema.
GRUPOS Y REDES
Figura 30. Grupos y Redes
"GRUPOS". Esto se utiliza para crear un nuevo objeto,
que agrupa los activos.
"REDES". Se utiliza para administrar los dispositivos
que están conectados entre sí y que forman parte de la
organización que se va a monitorizar. Las redes
pueden ser crear, modificar, eliminar, exportar a un
archivo CSV e importado de SIEM.
"GRUPOS DE RED". Esto se utiliza para crear un
objeto nuevo, que las redes de grupos. Grupos de red
se pueden crear, modificar y eliminar.
VULNERABILIDADES
El sistema de análisis de vulnerabilidades proporciona una
interfaz gráfica para administrar OpenVAS. La análisis de
vulnerabilidades puede ser distribuida (Análisis de
vulnerabilidades se hace desde el AlienVault Sensores) o
centralizado (Análisis de vulnerabilidades desde una única
posición).
Figura 31. Vulnerabilidades
"INFORMACION GENERAL". Se utiliza para
visualizar y analizar los dispositivos o los activos de la
red y saber si hay fallas de seguridad. Es posible
visualizar las vulnerabilidades actuales. Un informe es
generados por cada trabajo de exploración. Este
informe se muestra en la parte inferior de la pantalla.
"TRABAJOS DE ESCANEO". En Alien Vault
Server, utilice análisis de vulnerabilidad para
identificar vulnerabilidades en sus activos
monitoreados. Usted puede programar escaneos de
vulnerabilidades para ejecutar a intervalos regulares y
emplear diversos grados de rigurosidad Esta opción
permite al usuario configurar y ejecutar nuevos
trabajos de exploración. Es posible importar datos de
otras exploraciones ya realizada por la importación de
un archivo 'nbe'.
"BASE DE DATOS DE AMENAZAS". Se trata de
una base de datos de fuente de datos utilizada por la
exploración. Este base de datos se actualiza
automáticamente y no se puede modificar.
PERFILES
Esta funcionalidad utiliza el analizador de red, Ntop
Figura 32. Perfiles
"SERVICIOS". Esta opción muestra los informes
estadísticos sobre el uso de la red.
"GLOBAL". Muestra los informes estadísticos que
se refieren el sensor seleccionado.
"RENDIMIENTO". Muestra los informes
estadísticos que se refieren los ejércitos.
"MATRIX". Muestra los informes estadísticos que
se refieren el tráfico de subred IP y el tráfico de cada
alojar en la red por el tiempo.
NETFLOW
Netflow es un protocolo de red desarrollado por Cisco
Systems para recoger el tráfico IP información.
Esta opción ofrece a los usuarios la capacidad de controlar y
trabajar con datos de Netflow. AlienVault ha puesto en marcha
esta seccion de acuerdo NFSen y desplegado en la instalación
por defecto Nfdump.
Figura 33. Netflow
"DETALLES". Esta opción permite al usuario
navegar a través de los datos de Netflow, así como
la selección de un único intervalo de tiempo o
ventana de tiempo.
"INFORME GENERAL". Se muestra una visión
general del modo seleccionado. Por defecto, un vivo
Se muestra el perfil. Las tres columnas muestran los
"flujos", "paquetes" y la historia "Bits".
"GRAFICO". Muestra una vista específico de los
flujos, paquetes y tráfico.
CAPTURA DE TRÁFICO
Esta opción permite al usuario realizar el tráfico de captura
remota a través del sensor AlienVault.
Hay varias opciones de captura como el tiempo de espera, el
tamaño del paquete, nombre del sensor y de paquetes origen y
el destino.
DISPONIBILIDAD
Esta funcionalidad utiliza un software de monitoreo de red y
monitorización de infraestructuras aplicación.
Figura 34. Disponibilidad
"MONITORIZANDO". Permite al usuario
comprobar la información tal como anfitriones y sus
problemas o redes y sus problemas.
"INFORMES". Esta opción permite al usuario
generar informes mediante la selección de un host o
un servicio.
DETECCIÓN
Esta opción notifica acerca de los cambios que se detectan en
el equipo.
Figura 35. Deteccion
"HIDS". Muestra de análisis de registros,
verificación de la integridad, la supervisión del
registro de Windows, rootkit detección, alerta
basada en el tiempo, y la respuesta activa. También
proporciona la intrusión detección para la mayoría
de sistemas operativos. Esta opción requiere la
instalación de un agente en el interior dirigir los
ejércitos.
"IDENTIFICACIONES WIRELES". Las
organizaciones que requerir de Seguridad de Datos
de la Industria de Tarjetas de Pago
Estándar (PCI DSS) el cumplimiento es necesario seguir una
serie de procedimientos al implementar 802.11 redes
inalámbricas de área local (WLAN). AlienVault incluye esta
inalámbrica módulo que ayuda a las organizaciones que
requieren el cumplimiento de PCI DSS.
INFORMES (Menú desplegable)
Figura 36. Informes
Esta opción permite al usuario visualizar, descargar en
formato PDF y / o enviar por correo electrónico un informe.
Cada informe incluirá la información configurada mediante la
selección o no de los campos que aparecerá en esta pantalla.
Nuevos campos no se pueden añadir.
CONFIGURACIÓN (Menú desplegable)
Figura 37. Configuración
ADMINISTRACIÓN
Figura 38. Administración
"USUARIOS". Esta opción se utiliza para gestionar
los usuarios: creación, modificación y supresión.
"PRINCIPAL". Esta opción permite al usuario
modificar las variables generales de la configuración.
"COPIA DE SEGURIDAD". Esta opción permite al
usuario restaurar las copias de seguridad. Datos de
copia de seguridad se refieren a los datos almacenados
en una base de datos AlienVault.
DESPLIEGUE
Figura 39. Despliegue
"COMPONENTES". Esta opción se utiliza para
gestionar los sensores, servidores, bases de datos y
interfaces remotas, así como actualizarlos.
"PROGRAMADOR". Se utiliza para programar las
tareas para NMAP, OCS y WMI.
"LUGARES". Se utiliza para administrar ubicaciones:
crear, modificar y eliminar.
INFORMACION SOBRE AMENAZAS
Figura 40. Info. Sobre Amenazas
"POLÍTICA". Esta opción permite al usuario
configurar cómo procesa el sistema de la eventos una
vez que llegan a la AlienVault Server.
"ACCIONES". Permite al usuario enviar un mensaje
de correo electrónico, ejecutar y externa programa o
abrir un ticket. Acciones están relacionadas con las
reglas de política, de modo que cuando una política es
se ejecutan coincidentes todas las acciones
relacionadas con esa política.
"PUERTOS". Estos son los puertos TCP / IP estándar,
y el usuario puede gestionar estos puertos porque se
permite para crear, modificar y borrar.
"DIRECTIVAS". Una Directiva Correlación crea un
Evento Directiva cuando todos lod eventos
especificadas en una regla de correlación se han
detectado. El usuario puede añadir o modificar las
directivas de correlación existentes para generar
nuevas alarmas.
"CUMPLIMIENTO DE NORMATIVA ". Esta opción
se utiliza para definir las relaciones entre la objetivos
de control de cumplimiento y las reglas de correlación
AlienVault. Las normas incluidos son ISO 27001 y
PCI DSS. Estas normas no se pueden borrar. Es
posible cancelar la selección de partes de cada norma.
"CORRELACIÓN CRUZADA". Correlación
identifica las amenazas potenciales a la seguridad
mediante la detección patrones de comportamiento
que ocurren a través de diferentes tipos de activos de
vigilancia. Se utiliza para modificar la fiabilidad de un
evento.
"ORIGEN DE DATOS ". En un sensor de AlienVault,
diferentes tipos de datos Fuente Plugins permitir
AlienVault para extraer y normalizar los datos del
archivo de registro recibidas de los diferentes activos.
Durante archivo de registro de la normalización, de
una fuente de datos Plugins evalúa cada entrada del
archivo de registro y lo traduce a un ID de evento que
identifica el tipo de evento y subtipo dentro de la
AlienVault Taxonomía Evento. AlienVault viene
equipado con plugins de origen de datos para muchos
comúnmente encontrados tipos de activos. Los
usuarios pueden complementar el conjunto estándar de
AlienVault origen de datos Plugins con plugins de
origen de datos personalizado.
"TAXONOMÍA". Este es un sistema de clasificación
de eventos de seguridad.
"BASE DE CONOCIMIENTO". Esta opción
proporciona acceso a una definida por el usuario, de
búsqueda base de conocimientos de soluciones a los
incidentes. Existe la posibilidad de crear nuevos KDB
documentos. Estos documentos se pueden vincular a
los billetes.
BANDEJA INSTANTÁNEA NOTIFICACIÓN /
MEDIO AMBIENTE
Esta parte ofrece información general sobre los tickets abiertos:
Figura 41. Medio Ambiente
VII. CONCLUSIONES.
En este trabajo hemos presentado una herramienta de control
de vulnerabilidades y detección de intrusos dentro de una
organización.
OSSIM, es software que da solución a las necesidades que
tiene una organización ya que cuenta con un amplio conjunto
de herramientas que hace posible un efectivo monitoreo de toda
la organización.
OSSIM, presta una amplia información de una organización
gracias a su efectivo monitoreo gracias a esto es muy útil en la
toma de decisiones en tanto a la seguridad de la información de
la organización.
El desarrollo del presente artículo nos ha permitido
incrementar nuestros conocimientos en cuanto a la seguridad de
una organización.
VIII. GLOSARIO DE TERMINOS [3]
Agente AlienVault: Hay dos tipos de agentes
AlienVault ejecutan en Activos monitorizadas.
Agentes AlienVault OCS proporcionan la Capacidad
de descubrimiento de activos con información
detallada sobre la configuración y un Activo »
software instalado. AlienVault Agentes ossec
proporcionan la capacidad de detección de amenazas
con un Estado HIDS de activos. Comparar con
Proceso de sensor.
Alarma Alien Vault: Server utiliza una fórmula basada
en Valor Patrimonial, Prioridad de eventos y sucesos
Fiabilidad a calcular el riesgo de un evento. Cualquier
evento con un riesgo de 1 o mayor es una alarma.
Cuando un Reglas de correlación detecta una
secuencia específica de eventos, la regla puede crear
un evento de la Directiva que tiene una Prioridad del
Evento suficientemente alta para producir una Alarma.
AlienVault motor de correlación: En Alien Vault
Server, el motor de correlación utiliza directivas de
correlación para detectar relaciones entre los
diferentes tipos de eventos que ocurren en uno o más
activos supervisados.
AlienVault Evento Taxonomía
El Evento Taxonomía AlienVault (evento taxonomía,
taxonomía) proporciona el motor de correlación con
un marco normalizado de los tipos de eventos y
subtipos sobre la cual operar. La normalización
entradas del registro de eventos desigual formateados
recibidas de los diferentes tipos de activos en el Marco
único de taxonomía permite al motor de correlación
para detectar patrones de comportamiento que ocurre
en todos los activos supervisados.
AlienVault Labs ™
AlienVault laboratorios llevan a cabo investigaciones
de seguridad sobre las amenazas y vulnerabilidades
globales. Este resultado de Investigación AlienVault
laboratorios se pondrá a disposición de los clientes a
través de un Alien Vault USM suscripción a
AlienVault Labs. Threat Intelligence.
AlienVault Logger: AlienVault Logger es uno de los
tres componentes AlienVault USM (Logger, de
sensores, Server). AlienVault Logger ofrece
AlienVault Server con la capacidad de archivar los
archivos de registro para el fines de análisis forense y
para cumplir con los requisitos de cumplimiento para
el archivo de registro y gestión. AlienVault Logger
está disponible sólo como parte del producto Alien
Vault USM.
AlienVault Labs. Threat Intelligence AlienVault Labs.
Threat Intelligence proporciona a los suscriptores la
capacidad de detectar la última amenazas con normas
actualizadas continuamente de correlación, firmas de
IDS, auditorías, la vulnerabilidad de los activos firmas
de descubrimiento, de datos de reputación de IP, de
recolección y de fuente de datos de plugins, y el
informe plantillas. AlienVault Abrir Amenaza
Exchange ™ AlienVault Abrir Amenaza Exchange
(Abrir Amenaza Exchange ™, AlienVault OTX ™) es
un proceso abierto y la comunidad de colaboración de
los profesionales de seguridad para conectar con sus
compañeros, descubre herramientas libres para la
supervisión de seguridad, y aprender sobre las últimas
amenazas y tácticas de defensa de expertos de la
industria y los investigadores de seguridad.
AlienVault OSSIM ™
Creado AlienVault, y sigue apoyando, proyecto SIEM
mayor fuente abierta del mundo, OSSIM ™. OSSIM
proporciona un subconjunto de las capacidades
esenciales de monitoreo de seguridad que se encuentra
en las versiones comerciales de
Alien Vault USM. AlienVault OTX Monitor de
Reputación ™ AlienVault OTX Monitor de
Reputación (OTX Monitor de Reputación ™, Monitor
de Reputación) informa que cuando las direcciones IP
dentro de su dominio están asociados con
comportamientos maliciosos. Por agregación de la
información acerca de los ataques de todas partes del
mundo, OTX Monitor de Reputación proporciona una
visión global de las fuentes de comportamientos
maliciosos.
AlienVault OTX Reputación monitor AlertSM
Supervisor de alertas AlienVault OTX Reputación
(Supervisor de alertas OTX Reputación) es un servicio
web gratuito que le permite ser alertado acerca de la
conducta públicamente observable de su red y su IP
direcciones. Si otro contribuyente a OTX Monitor de
Reputación observa sus direcciones IP la realización
de la actividad maliciosa, Supervisor de alertas de
Reputación le avisa para que pueda tomar una acción
inmediata.
AlienVault Sensor
AlienVault sensor es uno de los tres componentes
AlienVault USM (Logger, de sensores, Server).
AlienVault Sensores realizan cuatro de las cinco
capacidades esenciales de Alien Vault: Activos
Descubrimiento, evaluación de la vulnerabilidad,
detección de amenazas y Monitoreo del
Comportamiento. Sensores recibir datos en bruto de
los registros de eventos, el tráfico de red supervisada,
Agentes AlienVault y activa exploraciones. Los
Procesos de sensores realizan procesamiento inicial
(normalización) en que los datos en bruto, y
transmitirá eventos normalizados para AlienVault
Server para la correlación y la presentación de la
Interfaz Web.
AlienVault Servidor
Alien Vault Server es uno de los tres componentes
AlienVault USM (Logger, de sensores, Server). Alien
Vault Server proporciona una capacidad de gestión y
la configuración de seguridad unificada para todos
activos monitoreados. AlienVault servidor recibe los
datos normalizados a partir de uno o más sensores,
correlaciona y prioriza los eventos de seguridad que se
producen en todos los activos, a continuación, utiliza
la Web Interfaz de presentar esos eventos de seguridad
en una variedad de resumen y vistas detalladas.
AlienVault Unified Security Management ™
El AlienVault Unified sistema de la Seguridad
Management ™ (Alien Vault ™, USM) integra cinco
capacidades esenciales - Descubrimiento de activos,
evaluación de la vulnerabilidad, detección de
amenazas, Seguimiento del Comportamiento y de
inteligencia de seguridad - en una seguridad integral y
la amenaza solución de gestión.
Baza En Alien Vault, un activo es cualquier entidad en
el entorno del cliente que tenga una dirección IP.
Descubrimiento de Activos
Activos Descubrimiento utiliza la exploración activa
de la red de activos, el descubrimiento de activos de
red pasiva, y inventario de software basado en agentes
para proporcionar una de las cinco capacidades
esenciales de Alien Vault USM.
Activos Descubrimiento Firma Firmas de
descubrimiento de activos permiten AlienVault para
identificar automáticamente el fabricante y modelo de
sus activos. Cuando Activos Descubrimiento detecta
un activo que corresponde a un particular, firma,
AlienVault automáticamente agrega que los detalles
de los activos de su entrada en el inventario de activos
monitoreados. Un AlienVault Labs. Amenaza
suscripción Inteligencia le proporciona AlienVault
Instalación USM con el conjunto más actual de las
firmas de descubrimiento de activos.
Valor del Activo Valor del Activo especifica de un
activo importante o criticidad en relación con otros
activos supervisados. Cuando AlienVault Server
calcula si un evento particular, debe ser clasificado
como un Alarma, Server utiliza una fórmula basada en
Patrimonio Neto, Prioridad de eventos y eventos de
confiabilidad. Actividad que afecta a los activos de
mayor valor será más rápido ser clasificado como un
evento de alta prioridad o Alarma.
Monitoreo del Comportamiento
Monitoreo del Comportamiento utiliza monitorización
de servicios la disponibilidad, análisis de flujo de red,
y el evento de activos registros de normalización para
proporcionar una de las cinco capacidades esenciales
de Alien Vault USM.
Correlación
En AlienVault, correlación identifica las amenazas
potenciales a la seguridad mediante la detección de
patrones de comportamiento que ocurre a través de
diferentes tipos de activos de vigilancia.
Directiva Correlación Una directiva de correlación
(Directiva) contiene una o más reglas de correlación.
Después de todo el evento condiciones especificadas
en una regla de correlación se han detectado, la
Directiva genera una Directiva de eventos y avanza a
la siguiente más alto nivel de correlación.
Nivel de correlación En una directiva de correlación
AlienVault, Nivel Correlación especifica la posición
de una regla de correlación dentro de la Directiva.
Cuando todos los eventos que están definidos en una
regla de correlación han sido detectada, la Directiva
Correlación genera una Directiva de eventos y avanza
a la siguiente alto nivel de correlación.
Reglas de correlación En una directiva de correlación
AlienVault, una regla de correlación especifica una
secuencia de eventos. Cuando todas las condiciones de
eventos especificados en una regla de correlación se
han detectado dentro de un período de tiempo
específico, la Directiva que contiene la regla genera
una Directiva de eventos y avanza al siguiente nivel de
correlación.
Directiva Evento Una Directiva Correlación crea un
Evento Directiva cuando todos los eventos
especificados en un Reglas de correlación se han
detectado.
Evento
En Alien Vault, una entrada del archivo de registro
normalizada corresponde a un solo evento.
Prioridad del Evento y Confiabilidad Evento La
Fuente Plugins Datos asigne a cada Id. del suceso una
prioridad y valor fiabilidad por omisión. Prioridad
define con qué urgencia debe investigarse el caso.
Confiabilidad especifica la probabilidad de que los el
evento es exacta. Alien Vault Server utiliza una
fórmula basada en Valor Patrimonial, Prioridad del
Evento, y Evento Confiabilidad para categorizar un
evento como una alarma.
Sistema de detección de intrusiones
AlienVault Gestión Unificado de Seguridad (USM)
recibe información de los tres tipos de Sistema de
detección de intrusiones (IDS) agentes: IDS de red
(NIDS), Host IDS (HIDS) y Wireless IDS (WIDS).
AlienVault sensores proporcionan las capacidades de
NIDS y WIDS; Agentes AlienVault proporcionar la
capacidad HIDS.
Firmas del sistema de detección de intrusiones
Sistemas de Detección de Intrusos (IDS) Firmas
definen el conjunto de métodos de un IDS utiliza para
identificar patrones de ataque en la recepción de datos.
Cada tipo de IDS evalúa patrones dentro de un
particular, el tipo de datos: NIDS evalúa el tráfico de
red, un WIDS evalúa red inalámbrica tráfico, y un
HIDS evalúa el comportamiento del sistema
operativo.
IP y Dominio Reputación AlienVault utiliza las
puntuaciones de reputación de IP y dominio para
reconocer las direcciones IP que son fuentes malware,
spam y otras conductas maliciosas. AlienVault OTX
Monitor de Reputación ™ proporciona AlienVault
con los datos de reputación de IP y dominio
actualizadas continuamente. En correlación Reglas,
las puntuaciones de reputación de IP y dominio
permiten una regla para responder al tráfico
procedente de IP direcciones conocidas que se originó
el comportamiento malicioso.
Activos supervisados
Activos supervisados definen el conjunto total de la
red y los dispositivos de acogida están supervisados y
protegido por AlienVault.
Normalización En AlienVault
Data Fuente Plugins ejecuta en un Sensor AlienVault
traducir las entradas del archivo de registro recibido de
tipos dispares de los activos controlados en el marco
normalizado de eventos tipos y subtipos definidos en
el Evento Taxonomía AlienVault. Entradas del
archivo de registro de Normalización permite que el
motor de correlación AlienVault para detectar
patrones de comportamiento que ocurren a través de
diferentes tipos de activos de vigilancia.
Módulo de Informes
Un módulo de informes es una sección de informe
reutilizable que lleva a cabo una consulta de datos pre-
definidos. Alien Vault ofrece más de 2.500 módulos
de informes que se pueden incorporar en
personalizable Plantillas de informe.
Plantilla de informe
Una plantilla de informe es una recopilación de
Informe módulos que proporcionan un informe de
seguridad portátil. Alien Vault ofrece 200 plantillas de
informes que presentan una variedad de métricas de
seguridad, tanto en resumen y detalle formulario.
Usted puede utilizar Report Módulos para añadir
personalización adicional a un Plantilla de informe.
Riesgo Alien Vault Server utiliza una fórmula basada
en Valor Patrimonial, Prioridad de eventos y sucesos
Fiabilidad a calcular el riesgo de un evento.
AlienVault categoriza cualquier evento con Riesgo de
1 o mayor como un Alarma.
Seguridad de la Información y Gestión de Eventos
Sistemas (SIEM) Seguridad de la Información y
Gestión de Eventos emplean una variedad de separada
herramientas para monitorear los recursos del host y
de red para la actividad de las amenazas y el estado de
cumplimiento.
Inteligencia de Seguridad Security Intelligence integra
los datos recogidos y tratados por los otros cuatro
Essential Capacidades y las capacidades del motor de
correlación SIEM y Motor de Informes, a
proporcionar la capacidad central de las cinco
capacidades esenciales de Alien Vault USM.
Disponibilidad del servicio de Monitoreo
En AlienVault, monitoreo de la disponibilidad de
servicios proporciona la capacidad de Vigilancia del
Comportamiento con el estado de los servicios que se
ejecutan en los activos.
Proceso Sensor En un sensor de AlienVault, un
Proceso Sensor (ossim-agente) realiza el
procesamiento inicial (Normalización) sobre los datos
en bruto, a continuación, transmite Eventos
normalizados a AlienVault Server para correlación y
de la presentación de la interfaz web. Comparar con el
Agente AlienVault.
Activos Targeted
Un activo específico ha sido identificado por
AlienVault como punto focal de un ataque que tiene a
su vez producido una alarma.
Detección de amenazas
Detección de amenazas utiliza IDS de red, Host IDS y
IDS Wireless para ofrecer uno de los Cinco
Capacidades esenciales de Alien Vault USM.
Evaluación de la vulnerabilidad
Evaluación de la vulnerabilidad utiliza la exploración
de vulnerabilidades de red activa y pasiva y monitoreo
de la vulnerabilidad continua para proporcionar una de
las cinco capacidades esenciales de Alien Vault USM.
Análisis de vulnerabilidades
En Alien Vault Server, utilice análisis de
vulnerabilidad para identificar las vulnerabilidades en
sus activos supervisados. Usted puede programar
escaneos de vulnerabilidades para ejecutar a intervalos
regulares y emplear diversos grados de rigor
REFERENCIAS
[1] AlienVault, Who We Are, Meet AlienVault. Copyright 2014 AlienVault,
Inc. [Online]. Available: http://www.alienvault.com/who-we-are.
[2] AlienVault Unified Security Management™ Solution User Interface Guide;Edition 04; Copyright© 2014 AlienVault. All rights reserved.
[3] AlienVault Unified Security Management™ Solution; Technical
Glossary;Edition01; Copyright© 2014 AlienVault. All rights reserved. [4] AlienVault Unified Security Management™ Solution; Assets, Groups &
Networks;Edition03; Copyright© 2014 AlienVault. All rights reserved.
[5] AlienVault Unified Security Management™ Solution; System Errors, Warnings and Suggestions;Edition01; Copyright© 2014 AlienVault. All
rights reserved
[6] AlienVault Unified Security Management™ Solution; Wizard for the first-time User Experience;Edition05; Copyright© 2014 AlienVault. All
rights reserved