Abstract This paper presents a security tool integrated into

open source covering from detection to generate metrics and reports

to an executive level.

Resumen El presente artculo presente una herramienta de
seguridad integrada en cdigo abierto que cubre desde la
deteccin hasta la generacin de mtricas e informes a un nivel
ejecutivo.

Keywords Security, Detection, Generation Metrics, Reports.

Palabras claves Seguridad, Deteccin, Generacin de
Mtricas, Informes.
I. INTRODUCCION
lienVault es el proveedor lder de Gestin de la Seguridad
Unificada y amenaza inteligencia multitud de fuentes sus
productos estn diseados y desarrollados para garantizar
que las organizaciones de medios de mercado pueden defender
de manera efectiva contra las amenazas avanzadas de hoy en
da. Con la construccin de las mejores herramientas de
seguridad de cdigo abierto en una sola plataforma de gestin
de seguridad unificada, y luego alimentar la plataforma con up-
to-the-minute amenaza inteligencia de AlienVault laboratorios
y nuestro abierto Amenaza Cambio -la mayor amenaza de
colaboracin de intercambio-AlienVault multitud de fuentes
del mundo ofrece a sus clientes con una solucin unificada,
simple y asequible para la deteccin de amenazas y la gestin
del cumplimiento.
Mientras que el perfecto escudo deflector amenaza an no se ha
inventado, AlienVault es capaz de proporcionar a sus clientes
un producto de deteccin de amenazas.[1]
AlienVault se ofrece como un producto de seguridad que le
permitir integrar en una nica consola todos los dispositivos y
herramientas de seguridad que disponga en su red, as tambin
como la instalacin de otras herramientas de cdigo abierto y
de reconocido como Snort, Openvas, Ntop y OSSEC.
_______________________________________

J. Guamn, Universidad Nacional de Loja, Loja, Ecuador,
jpguaman@unl.edu.ec

P. Morocho, Universidad Nacional de Loja, Loja, Ecuador,
pbmorochom@unl.edu.ec

S. Riofro, Universidad Nacional de Loja, Loja, Ecuador,
spriofriot@unl.edu.ec

H. Vivanco, Universidad Nacional de Loja, Loja, Ecuador,
hpvivancoe@unl.edu.ec

1
OSSIM Open Source Security Information Management

Una vez los eventos generados por las diferentes
herramientas y dispositivos han sido recogidos por el sistema
AlienVault, el sistema realiza una valoracin de riesgo para
cada evento y tiene lugar a la correlacin. Durante el proceso
de correlacin, a partir de una serie de patrones, se generan
nuevos eventos para ataques o problemas en nuestra red. Para
acceder a toda la informacin recogida y generada por el
sistema hace uso de una consola WEB que adems nos
permitir configurar el sistema y ver el estado global de nuestra
red en tiempo real.

II. OBJETIVO
El objetivo de este tutorial es proporcionar al lector una gua
paso a paso de como instalar OSSIM. Este documento tambin
le proporcionar conceptos bsicos y una breve explicacin de
la funcin de cada perfil que una instalacin puede adoptar
OSSIM.
1

III. FUNCIONAMIENTO BASICO
Trataremos mostrar de una forma simple que proceso tienen
lugar dentro de OSSIM:
Las aplicaciones generan eventos de seguridad.
Los eventos son reconocidos y normalizados.
Los eventos son enviados a un servidor central.
Valoracin de riesgo para cada evento.
Correlacin de eventos.
Almacenamiento de los eventos.
Acceso a los eventos almacenados.
Acceso a la configuracin.
Acceso a la mtrica e informe.
Acceso a informacin en tiempo real del estado de
nuestra red.
Los eventos de seguridad son generados por las diferentes
aplicaciones y/o dispositivos que dispongan en su red. Estos
eventos son recogidos y normalizados por el Sensor de OSSIM,
quien se encarga adems de enviarlo al servidor central. En un
despliegue de OSSIM podremos disponer de varios sensores
como necesitemos. Como ejemplo, se puede situar un sensor
dentro de la DMZ
2
, un sensor en cada ciudad o utilizar un sensor
para monitorizar cada una de las redes de la situacin.
2
DMZ diseo conceptual de red donde los servidores de acceso pblico se
colocan en un segmento separado, aislado de la red
J. Guamn, P. Morocho, S. Riofro and H. Vivanco

Software de Control de Vulnerabilidades Deteccin de
Intrusos AlientVault (OSSIM)
Control Software Vulnerabilities Intrusion Detection
AlientVault (OSSIM)

A



El sensor de OSSIM incluye una serie de herramientas
(Snort, Ntop, Tcptrack, Arpwatch...) que permiten analizar todo
el trfico de red en busca de problemas de seguridad y
anomalas. Para sacar provecho de la funcionalidad de OSSIM
es imprescindible que el sensor sea capaz de ver todo el trfico
de la red, bien sea utilizando concentrador, o configurando por
un port mirroring o port Span en la electrnica de la red.
Todos los sensores de OSSIM envan sus eventos al servidor,
que se encarga de efectuar una valoracin de riesgo para cada
evento, y en el que tambin tendr lugar el proceso de
correlacin. Una vez estos dos procesos han tenido lugar, los
eventos son almacenados en la base de datos de OSSIM.
Para tener acceso a toda esta informacin, as como a la
configuracin del sistema y una serie de mtricas e informes
haremos uso de la consola WEB de OSSIM. Desde esta consola
Web tambin tenemos acceso a informacin en tiempo real a
una serie de aplicaciones que nos facilitarn el anlisis del
estado global de nuestra red.
IV. PERFILES DE INSTALACION
Dependiendo de la funcin del nuevo host en el que
despliegue OSSIM es posible configurar el perfilen uso. Esto
puede ser configurado durante la instalacin o despus de ella.
Por defecto la instalacin automatizada permitir a todos los
perfiles en el mismo equipo.
SENSOR
El perfil del sensor habilitara a ambos, los detectores
de OSSIM y el colector. Los detectores siguientes
estn activados por defecto:
Snort (IDS a nivel de red)
Ntop (Monitoreo de red y uso)
Openvas (Gestin de vulnerabilidad)
POF (Sistema pasivo de deteccin pasiva)
Pads (Sistema pasivo de deteccin de
activos)
Arpwatch (Anomala de cambio de Mac)
OSSEC (IDS a nivel de host)
Osiris (Monitor de integridad)
Nagios (Monitor de disponibilidad)
OCS (Inventario)
Una vez que el perfil de sensor ha sido activado, usted puede
desactivar el detector de manera que solo se mantiene la
funcionalidad de la coleccin.
Para obtener beneficios de las capacidades de deteccin de
esas herramientas, tendremos que configurar la red en el sensor
de OSSIM de modo que:
Tiene acceso a la red que est supervisando
Escner de vulnerabilidad, control de disponibilidad,
WMI Agente-Less collection, Coleccin Syslog.
Recibe todo el trfico de la red. Es necesario
configurar un port mirroring/portspan o hacer uso de
un concentrador (HUB) o Network tap.Snort, Ntop,
Arpwatch, Generacin de Flujos, Pads, P0f
El perfil del Sensor configura el sistema para que est listo
para recibir eventos de hosts remotos usando el protocolo
Syslog. Cada aplicacin o dispositivo tendr un plugin asociado

3
SIEM (perfiles personales de un usuario)
(conector DS) que define cmo recoger los sucesos de la
aplicacin o dispositivo, as como cmo los acontecimientos
que deberan normalizarse antes de enviarlos al servidor central
de OSSIM.
Un despliegue puede tener tantos sensores como le sea
necesario, bsicamente en funcin de las redes que estn siendo
controladas y sobre la distribucin geogrfica de la
organizacin que ser objeto de seguimiento utilizando OSSIM.
Por lo general, es necesario configurar un sensor por red, pero
si instalamos ms de un interfaz de red y en rutamos el trfico
o configuramos un port-mirroring sobre l, podremos
monitorizar ms de una red en el mismo sensor.
SERVER
Esta instalacin combina los perfiles SIEM
3
y el
componente Logger. Los sensores se conectarn al
servidor de OSSIM para enviar los eventos
normalizados. Los despliegues simples incluirn un
Servidor nico en el despliegue. Ms despliegues
complejos podran tener ms de un Servidor con
diferentes roles, o en caso de que sea necesario para
implementar el Servidor de OSSIM con alta
disponibilidad.

FRAMEWORK
El perfil de Framework instalar y configurar el
componente de la interfaz de Gestin Web. Una nica
interfaz de Gestin Web ser desplegada en cada
instalacin OSSIM. Ms despliegues complejos con
mltiples Servidores OSSIM pueden tener ms de un
equipo con el perfil de Marco habilitado. El
Framework es el perfil de instalacin que utiliza la
menor cantidad de memoria y CPU. Por esta razn, el
Framework se suele instalar con el perfil de Servidor.

DATABASE
El perfil Database permitir a una base de datos
MySQL almacenar la configuracin y eventos (Si la
funcionalidad SIEM est en uso). Por lo menos una
base de datos se requiere en cada despliegue. Incluso
si slo el perfil SIEM es habilitado, una base de datos
ser necesaria para almacenar la informacin de los
inventarios y los parmetros de configuracin.

ALL-IN-ONE
El perfil all-in-one habilitar a todos los perfiles en un
solo equipo. Este es el perfil de instalacin por defecto
y se activa si el usuario realiza una instalacin
automatizada.
V. INSTALACION OSSIM
Para empezar vamos a instalar OSSIM de 64 bits en
VMware, creamos una mquina virtual nueva. Damos click en
nueva mquina virtual y nos aparece el asistente de instalacin
le damos click en instalacin typical o recomendad y damos
click en next. (la diferencia entre 32 bits y 64 bits es notable por
lo que se recomienda instalar en sistemas de 64 bits, para la



versin 4.8 que estaremos usando la arquitectura ya es solo para
sistemas de 64 bits).


Figura 1. Instalacin De OSSIM

El siguiente paso es montar la imagen ISO
4
para eso le damos
la ruta de la imagen y damos click en next.

Figura 2. Montar iso

El siguiente paso es asignarle el nombre a la mquina, en
este caso es OSSIM. Y damos click en next.

4
ISO: Un archivo donde se almacena una copia o imagen exacta de un
sistema de ficheros

Figura 3. Nombre a la Maquina

El siguiente paso es asignarle la capacidad del disco en este
caso son 20 GB, adems nos pregunta almacenar discos
virtuales en un archivo nico o dividir disco virtual en varios
discos. Le damos click en la segunda opcin y damos click en
next.

Figura 4. Capacidad de Disco

El asistente nos muestra el nombre de la mquina,
ubicacin, versin del VMware, sistema operativo etc. Damos
click en personalizar de la mquina virtual pues aqu podremos
cambiar el tamao de la memoria ram asignada y el numero de
procesadores que deseemos aunque esto tambin se puede hacer
una vez creada la maquina virtual




Figura 5. Detalles de la Maquina y Personalizacin de la misma.

En este paso empezamos la instalacin de OSSIM, nos pregunta
que opcin de instalacin, damos click en la segunda opcin y
damos enter.

Figura 6. Elegir que opcin queremos instalar.

El siguiente paso es asignarle el idioma al sistema en este
caso Espaol y damos click en contine.

Figura 7. Elegir idioma
El siguiente paso es asignar la zona o regin a la que se
pertenece en este caso Ecuador y damos click en contine.

Figura 8. Asignar Zona

El siguiente paso es asignarle la distribucin del teclado en
este caso es Latinoamericano y damos click en contine.

Figura 9. Asignar Distribucin del Teclado

Lo siguiente es esperar unos segundos:

Figura 10. Esperar

El siguiente paso es asignarle la direccin IP del servidor en
este caso es 192.168.22.4 y damos click en contine.(esta ip
podr luego ser cambiada por lo que no debemos



preocuparnos por ahora, aunque el cambio de IP una vez
instalado el servidor suele demorar unos minutos).

Figura 11. Asignar Direccin IP al Servidor

El siguiente paso es asignarle la mscara a la red en este caso
es 255.255.255.0 y damos click en contine.

Figura 11. Asignar Mascara de Red
El siguiente paso asignarle la pasarela de red que nos indica la
direccin IP del encaminador en este caso es 192.168.22.1 y
damos click en contine

Figura 12. Direccin IP de Encaminamiento
El siguiente paso es configura el reloj seleccionamos la zona
horario, (es recomendable poseer conexin a internet para la
puesta del reloj) y damos click en contine

Figura 13. Configurar Reloj

En el siguiente paso es asignar la clave al usuario root,
asignamos la clave y damos click en continuar.

Figura 14. Asignar clave al usuario ROOT

Lo que vemos a continuacin es la configuracin y el
levantamiento de los servicios.

Figura 15. Configuracin y Levantamiento Servidores





Ya totalmente instalado nos pide el usuario y la contrasea.

Figura 16. Usuario y Contrasea

Como vemos a continuacin el servidor est listo para
empezar la configuracin, con eso llegamos al final de la
instalacin.

Figura 17. Listo Configurar Servidor

El siguiente paso es ingresar a la plataforma desde
cualesquier navegador que tenga conexin al servidor de
AlienVault OSSIM(recordamos la IP que le dimos en la
instalacin y la colocamos).
Como recordaran la ip en la instalacin fue 192.168.22.2, ahora
con estos datos mi cliente no puede acceder puesto que la
direccin ip antes mencionada est mal configurada ya que la
direccin de mi PC el que hospeda la mquina virtual que
creamos est en la red 192.168.1.0, y para que exista
comunicacin entre la mquina virtual y la computadora real,
debe estar dentro de la misma red sin antes olvidar cambiar la
conexin de la mquina virtual a brigte, una vez hecho esto
podemos cambiar la ip del servidor OSSIM, en este caso la
nueva ip ser 192.168.1.9, echo esto ya podremos ingresar a la
plataforma.

Figura 18. Plataforma Navegador

Al ser la primera vez que nos conectamos a la plataforma esta
nos muestra un formulario el cual llenaremos con los datos
correspondientes y simplemente dares clic en START USING
ALIEVAULT

Y listo la magia se ha hecho realidad ahora ya podemos ver
cmo el OSSIM. Mientras vemos la pgina de cuadros de
mando en el apartado de informacin general.

Figura 19. OSSIM
VI. INTERFAZ OSSIM 4.8 [2]

Figura 20. Interfaz OSSIM

1. Utilidad de men : Bienvenido; Configuracin; Salir.
2. Men Principal: anlisis;; Medio Ambiente;; informes
y Botones de configuracin.
3. Ayuda Button.
4. Men secundario relacionado con una funcionalidad
especfica. Este secundario men cambia
dependiendo de lo que la opcin est activada.
5. Bandeja de Notificacin. Se accede a esta
informacin a travs de hacer clic en la pestaa
derecha.




UTILIDAD DE MEN

Esta rea incluye los siguientes botones:

Figura 21. Botones Menu.
"Bienbenido <USUARIO>". Este campo es
informativo y se utiliza para saber cul es el nombre
de usuario del usuario que actualmente ha iniciado la
sesin en que es.
"Configuraciones"
Soperte
Salir:
NOTA: Botones que su nombre se describen muy bien.

MEN PRINCIPAL
El men principal incluye las siguientes opciones:

Figura 22. Men Principal.

A continuacin, hay una explicacin de cada uno de estos
mens desplegables en las siguientes secciones

Figura 23. Cuadro del Mando (Men Desplegable)

INFORMACION GENERAL: Esta opcin se utiliza
para ver los diferentes paneles que muestran el estado
del sistema y alarmas generadas. Se trata de un men
por defecto.

ESTADO DE DESPLIEGUE

Figura 24. Estado Despliegue

"CUADRO DE MANDO". Permite al usuario tener
visibilidad sobre las ubicaciones con sensores, activos
y red.

"AVISOS y ERRORES ". Muestra los detalles,
advertencias y mensajes de error.
Alien Vault supervisa s para tratar de detectar los
posibles problemas que se producen durante el
funcionamiento normal. Estos problemas vienen en
forma de mensaje.

MAPA DE RIESGOS


Figura 25. Mapa Riesgos

"INFORMACION GENERAL". Permite al usuario
visualizar el estado del activo dentro del mapa
seleccionado.

"GESTIONAR MAPAS". Esta opcin se utiliza para
gestionar mapas. Hay mapas configurados y, adems,
es posible cargar nuevos mapas. Los mapas pueden ser
editados; en Establecer como predeterminado;
nombre cambiado y propietario;, y tambin se pueden
eliminar.

OTX
Esta opcin permite a los usuarios visualizar
grficamente, en un mapa, amenazas. En realidad, son
IP direcciones que pertenecen a los hosts que estn
atacando o haciendo cosas peligrosas en su propia
actividad. Estas direcciones IP son proporcionados por
AlienVault, as como por todo el mundo. Cada usuario
puede participar y contribuir a AlienVault OTX por
medio del
Notificacin Ambiente Bandeja / Snapshot:

Figura 26. Snapshot






ANALISIS DEL (Menu Desplegable)

Figura 27. Men Desplegable.
"ALARMAS". Cualquier evento con un riesgo de 1
o mayor es una alarma. Si un evento tiene un muy
alto prioridad, que se puede transformar en una
alarma. Adems, varios eventos con prioridad baja
puede generar una alarma debido a que las
directivas de correlacin son capaces de aumentar
el riesgo de los eventos juntos. El panel de alarma
se muestran todas las alarmas generadas en
AlienVault USM. Cada usuario slo puede ver las
alarmas que pertenecen a los hosts que estn
autorizados para controlar y basadas en el usuario
permisos. Es posible buscar y filtrar las bsquedas.
Adems, es posible visualizar alarmas agrupadas.

"EVENTOS (SIEM)". Esta opcin se utiliza para
visualizar la secuencia de eventos que provocado la
alarma. El usuario puede hacer un anlisis forense
de todos los eventos que se han procesada por el
servidor de AlienVault. La base de datos de eventos
de seguridad est diseado para una rpida y
anlisis verstil, que se requiere para la deteccin y
la respuesta de los ataques.

" LOGS". El logger permite al usuario almacenar un
gran volumen de datos al tiempo que garantiza su
admisibilidad como prueba en un tribunal de
justicia. El registrador proporciona una base de
datos adicional que est dirigido especficamente
para masiva, almacenamiento a largo plazo y
archivo forense. Es tambin la recopilacin de datos
en bruto, firma digitalmente y marcas de tiempo de
los datos. Los datos son con seguridad almacenado
y conservado su integridad.

"TICKETS". Un billete es un elemento dentro de
AlienVault USM, que contiene informacin sobre
deteccin de problemas mediante el uso de Alien
Vault USM. Hay filtros simples y avanzados
disponibles para facilitar las bsquedas. Las
entradas se pueden crear de forma manual y,
tambin, de forma automtica a travs de algunos
componentes (escner de vulnerabilidades, alarmas
...) lo que permite a los usuarios trabajar en la
boleto.

ENTORNO (Men Desplegable)

Figura 28. Entorno Men Despegable

ACTIVOS.- Un activo es cualquier entidad en el
entorno del usuario que tiene una direccin IP.

Figura 29. Activos

"ACTIVO". Esta opcin muestra una lista de los
bienes inventariados dentro de AlienVault. Los
activos pueden crear, modificar, eliminar, exportar a
un archivo CSV e importado de SIEM. Es posible
filtrar las bsquedas y guardar esas bsquedas.

"DESCUBRIMIENTO DE ACTIVOS". Firmas de
descubrimiento de activos permiten AlienVault para
automticamente identificar el fabricante y el modelo
de sus activos. Esta opcin permite al usuario escanear
redes y hosts. La exploracin se realiza para aadir
elementos a los Alien Vault base de datos y que los
activos son monitoreados por el sistema.

GRUPOS Y REDES

Figura 30. Grupos y Redes

"GRUPOS". Esto se utiliza para crear un nuevo objeto,
que agrupa los activos.

"REDES". Se utiliza para administrar los dispositivos
que estn conectados entre s y que forman parte de la
organizacin que se va a monitorizar. Las redes
pueden ser crear, modificar, eliminar, exportar a un
archivo CSV e importado de SIEM.

"GRUPOS DE RED". Esto se utiliza para crear un
objeto nuevo, que las redes de grupos. Grupos de red



se pueden crear, modificar y eliminar.

VULNERABILIDADES
El sistema de anlisis de vulnerabilidades proporciona una
interfaz grfica para administrar OpenVAS. La anlisis de
vulnerabilidades puede ser distribuida (Anlisis de
vulnerabilidades se hace desde el AlienVault Sensores) o
centralizado (Anlisis de vulnerabilidades desde una nica
posicin).

Figura 31. Vulnerabilidades
"INFORMACION GENERAL". Se utiliza para
visualizar y analizar los dispositivos o los activos de la
red y saber si hay fallas de seguridad. Es posible
visualizar las vulnerabilidades actuales. Un informe es
generados por cada trabajo de exploracin. Este
informe se muestra en la parte inferior de la pantalla.

"TRABAJOS DE ESCANEO". En Alien Vault
Server, utilice anlisis de vulnerabilidad para
identificar vulnerabilidades en sus activos
monitoreados. Usted puede programar escaneos de
vulnerabilidades para ejecutar a intervalos regulares y
emplear diversos grados de rigurosidad Esta opcin
permite al usuario configurar y ejecutar nuevos
trabajos de exploracin. Es posible importar datos de
otras exploraciones ya realizada por la importacin de
un archivo 'nbe'.

"BASE DE DATOS DE AMENAZAS". Se trata de
una base de datos de fuente de datos utilizada por la
exploracin. Este base de datos se actualiza
automticamente y no se puede modificar.

PERFILES
Esta funcionalidad utiliza el analizador de red, Ntop

Figura 32. Perfiles
"SERVICIOS". Esta opcin muestra los informes
estadsticos sobre el uso de la red.

"GLOBAL". Muestra los informes estadsticos que
se refieren el sensor seleccionado.

"RENDIMIENTO". Muestra los informes
estadsticos que se refieren los ejrcitos.

"MATRIX". Muestra los informes estadsticos que
se refieren el trfico de subred IP y el trfico de cada
alojar en la red por el tiempo.

NETFLOW
Netflow es un protocolo de red desarrollado por Cisco
Systems para recoger el trfico IP informacin.

Esta opcin ofrece a los usuarios la capacidad de controlar y
trabajar con datos de Netflow. AlienVault ha puesto en marcha
esta seccion de acuerdo NFSen y desplegado en la instalacin
por defecto Nfdump.


Figura 33. Netflow
"DETALLES". Esta opcin permite al usuario
navegar a travs de los datos de Netflow, as como
la seleccin de un nico intervalo de tiempo o
ventana de tiempo.

"INFORME GENERAL". Se muestra una visin
general del modo seleccionado. Por defecto, un vivo
Se muestra el perfil. Las tres columnas muestran los
"flujos", "paquetes" y la historia "Bits".

"GRAFICO". Muestra una vista especfico de los
flujos, paquetes y trfico.

CAPTURA DE TRFICO
Esta opcin permite al usuario realizar el trfico de captura
remota a travs del sensor AlienVault.
Hay varias opciones de captura como el tiempo de espera, el
tamao del paquete, nombre del sensor y de paquetes origen y
el destino.

DISPONIBILIDAD
Esta funcionalidad utiliza un software de monitoreo de red y
monitorizacin de infraestructuras aplicacin.

Figura 34. Disponibilidad
"MONITORIZANDO". Permite al usuario
comprobar la informacin tal como anfitriones y sus
problemas o redes y sus problemas.

"INFORMES". Esta opcin permite al usuario
generar informes mediante la seleccin de un host o
un servicio.

DETECCIN
Esta opcin notifica acerca de los cambios que se detectan en
el equipo.




Figura 35. Deteccion
"HIDS". Muestra de anlisis de registros,
verificacin de la integridad, la supervisin del
registro de Windows, rootkit deteccin, alerta
basada en el tiempo, y la respuesta activa. Tambin
proporciona la intrusin deteccin para la mayora
de sistemas operativos. Esta opcin requiere la
instalacin de un agente en el interior dirigir los
ejrcitos.
"IDENTIFICACIONES WIRELES". Las
organizaciones que requerir de Seguridad de Datos
de la Industria de Tarjetas de Pago
Estndar (PCI DSS) el cumplimiento es necesario seguir una
serie de procedimientos al implementar 802.11 redes
inalmbricas de rea local (WLAN). AlienVault incluye esta
inalmbrica mdulo que ayuda a las organizaciones que
requieren el cumplimiento de PCI DSS.

INFORMES (Men desplegable)

Figura 36. Informes
Esta opcin permite al usuario visualizar, descargar en
formato PDF y / o enviar por correo electrnico un informe.
Cada informe incluir la informacin configurada mediante la
seleccin o no de los campos que aparecer en esta pantalla.
Nuevos campos no se pueden aadir.

CONFIGURACIN (Men desplegable)

Figura 37. Configuracin


ADMINISTRACIN

Figura 38. Administracin

"USUARIOS". Esta opcin se utiliza para gestionar
los usuarios: creacin, modificacin y supresin.

"PRINCIPAL". Esta opcin permite al usuario
modificar las variables generales de la configuracin.


"COPIA DE SEGURIDAD". Esta opcin permite al
usuario restaurar las copias de seguridad. Datos de
copia de seguridad se refieren a los datos almacenados
en una base de datos AlienVault.

DESPLIEGUE

Figura 39. Despliegue

"COMPONENTES". Esta opcin se utiliza para
gestionar los sensores, servidores, bases de datos y
interfaces remotas, as como actualizarlos.

"PROGRAMADOR". Se utiliza para programar las
tareas para NMAP, OCS y WMI.

"LUGARES". Se utiliza para administrar ubicaciones:
crear, modificar y eliminar.

INFORMACION SOBRE AMENAZAS

Figura 40. Info. Sobre Amenazas

"POLTICA". Esta opcin permite al usuario
configurar cmo procesa el sistema de la eventos una
vez que llegan a la AlienVault Server.

"ACCIONES". Permite al usuario enviar un mensaje
de correo electrnico, ejecutar y externa programa o
abrir un ticket. Acciones estn relacionadas con las
reglas de poltica, de modo que cuando una poltica es
se ejecutan coincidentes todas las acciones
relacionadas con esa poltica.




"PUERTOS". Estos son los puertos TCP / IP estndar,
y el usuario puede gestionar estos puertos porque se
permite para crear, modificar y borrar.

"DIRECTIVAS". Una Directiva Correlacin crea un
Evento Directiva cuando todos lod eventos
especificadas en una regla de correlacin se han
detectado. El usuario puede aadir o modificar las
directivas de correlacin existentes para generar
nuevas alarmas.

"CUMPLIMIENTO DE NORMATIVA ". Esta opcin
se utiliza para definir las relaciones entre la objetivos
de control de cumplimiento y las reglas de correlacin
AlienVault. Las normas incluidos son ISO 27001 y
PCI DSS. Estas normas no se pueden borrar. Es
posible cancelar la seleccin de partes de cada norma.
"CORRELACIN CRUZADA". Correlacin
identifica las amenazas potenciales a la seguridad
mediante la deteccin patrones de comportamiento
que ocurren a travs de diferentes tipos de activos de
vigilancia. Se utiliza para modificar la fiabilidad de un
evento.

"ORIGEN DE DATOS ". En un sensor de AlienVault,
diferentes tipos de datos Fuente Plugins permitir
AlienVault para extraer y normalizar los datos del
archivo de registro recibidas de los diferentes activos.
Durante archivo de registro de la normalizacin, de
una fuente de datos Plugins evala cada entrada del
archivo de registro y lo traduce a un ID de evento que
identifica el tipo de evento y subtipo dentro de la
AlienVault Taxonoma Evento. AlienVault viene
equipado con plugins de origen de datos para muchos
comnmente encontrados tipos de activos. Los
usuarios pueden complementar el conjunto estndar de
AlienVault origen de datos Plugins con plugins de
origen de datos personalizado.

"TAXONOMA". Este es un sistema de clasificacin
de eventos de seguridad.

"BASE DE CONOCIMIENTO". Esta opcin
proporciona acceso a una definida por el usuario, de
bsqueda base de conocimientos de soluciones a los
incidentes. Existe la posibilidad de crear nuevos KDB
documentos. Estos documentos se pueden vincular a
los billetes.

BANDEJA INSTANTNEA NOTIFICACIN /
MEDIO AMBIENTE
Esta parte ofrece informacin general sobre los tickets abiertos:

Figura 41. Medio Ambiente
VII. CONCLUSIONES.
En este trabajo hemos presentado una herramienta de control
de vulnerabilidades y deteccin de intrusos dentro de una
organizacin.
OSSIM, es software que da solucin a las necesidades que
tiene una organizacin ya que cuenta con un amplio conjunto
de herramientas que hace posible un efectivo monitoreo de toda
la organizacin.
OSSIM, presta una amplia informacin de una organizacin
gracias a su efectivo monitoreo gracias a esto es muy til en la
toma de decisiones en tanto a la seguridad de la informacin de
la organizacin.
El desarrollo del presente artculo nos ha permitido
incrementar nuestros conocimientos en cuanto a la seguridad de
una organizacin.
VIII. GLOSARIO DE TERMINOS [3]
Agente AlienVault: Hay dos tipos de agentes
AlienVault ejecutan en Activos monitorizadas.
Agentes AlienVault OCS proporcionan la Capacidad
de descubrimiento de activos con informacin
detallada sobre la configuracin y un Activo
software instalado. AlienVault Agentes ossec
proporcionan la capacidad de deteccin de amenazas
con un Estado HIDS de activos. Comparar con
Proceso de sensor.

Alarma Alien Vault: Server utiliza una frmula basada
en Valor Patrimonial, Prioridad de eventos y sucesos
Fiabilidad a calcular el riesgo de un evento. Cualquier
evento con un riesgo de 1 o mayor es una alarma.
Cuando un Reglas de correlacin detecta una
secuencia especfica de eventos, la regla puede crear
un evento de la Directiva que tiene una Prioridad del
Evento suficientemente alta para producir una Alarma.




AlienVault motor de correlacin: En Alien Vault
Server, el motor de correlacin utiliza directivas de
correlacin para detectar relaciones entre los
diferentes tipos de eventos que ocurren en uno o ms
activos supervisados.

AlienVault Evento Taxonoma

El Evento Taxonoma AlienVault (evento taxonoma,
taxonoma) proporciona el motor de correlacin con
un marco normalizado de los tipos de eventos y
subtipos sobre la cual operar. La normalizacin
entradas del registro de eventos desigual formateados
recibidas de los diferentes tipos de activos en el Marco
nico de taxonoma permite al motor de correlacin
para detectar patrones de comportamiento que ocurre
en todos los activos supervisados.

AlienVault Labs
AlienVault laboratorios llevan a cabo investigaciones
de seguridad sobre las amenazas y vulnerabilidades
globales. Este resultado de Investigacin AlienVault
laboratorios se pondr a disposicin de los clientes a
travs de un Alien Vault USM suscripcin a
AlienVault Labs. Threat Intelligence.

AlienVault Logger: AlienVault Logger es uno de los
tres componentes AlienVault USM (Logger, de
sensores, Server). AlienVault Logger ofrece
AlienVault Server con la capacidad de archivar los
archivos de registro para el fines de anlisis forense y
para cumplir con los requisitos de cumplimiento para
el archivo de registro y gestin. AlienVault Logger
est disponible slo como parte del producto Alien
Vault USM.

AlienVault Labs. Threat Intelligence AlienVault Labs.
Threat Intelligence proporciona a los suscriptores la
capacidad de detectar la ltima amenazas con normas
actualizadas continuamente de correlacin, firmas de
IDS, auditoras, la vulnerabilidad de los activos firmas
de descubrimiento, de datos de reputacin de IP, de
recoleccin y de fuente de datos de plugins, y el
informe plantillas. AlienVault Abrir Amenaza
Exchange AlienVault Abrir Amenaza Exchange
(Abrir Amenaza Exchange , AlienVault OTX ) es
un proceso abierto y la comunidad de colaboracin de
los profesionales de seguridad para conectar con sus
compaeros, descubre herramientas libres para la
supervisin de seguridad, y aprender sobre las ltimas
amenazas y tcticas de defensa de expertos de la
industria y los investigadores de seguridad.

AlienVault OSSIM

Creado AlienVault, y sigue apoyando, proyecto SIEM
mayor fuente abierta del mundo, OSSIM . OSSIM
proporciona un subconjunto de las capacidades
esenciales de monitoreo de seguridad que se encuentra
en las versiones comerciales de

Alien Vault USM. AlienVault OTX Monitor de
Reputacin AlienVault OTX Monitor de
Reputacin (OTX Monitor de Reputacin , Monitor
de Reputacin) informa que cuando las direcciones IP
dentro de su dominio estn asociados con
comportamientos maliciosos. Por agregacin de la
informacin acerca de los ataques de todas partes del
mundo, OTX Monitor de Reputacin proporciona una
visin global de las fuentes de comportamientos
maliciosos.

AlienVault OTX Reputacin monitor AlertSM
Supervisor de alertas AlienVault OTX Reputacin
(Supervisor de alertas OTX Reputacin) es un servicio
web gratuito que le permite ser alertado acerca de la
conducta pblicamente observable de su red y su IP
direcciones. Si otro contribuyente a OTX Monitor de
Reputacin observa sus direcciones IP la realizacin
de la actividad maliciosa, Supervisor de alertas de
Reputacin le avisa para que pueda tomar una accin
inmediata.


AlienVault Sensor
AlienVault sensor es uno de los tres componentes
AlienVault USM (Logger, de sensores, Server).
AlienVault Sensores realizan cuatro de las cinco
capacidades esenciales de Alien Vault: Activos
Descubrimiento, evaluacin de la vulnerabilidad,
deteccin de amenazas y Monitoreo del
Comportamiento. Sensores recibir datos en bruto de
los registros de eventos, el trfico de red supervisada,
Agentes AlienVault y activa exploraciones. Los
Procesos de sensores realizan procesamiento inicial
(normalizacin) en que los datos en bruto, y
transmitir eventos normalizados para AlienVault
Server para la correlacin y la presentacin de la
Interfaz Web.

AlienVault Servidor
Alien Vault Server es uno de los tres componentes
AlienVault USM (Logger, de sensores, Server). Alien
Vault Server proporciona una capacidad de gestin y
la configuracin de seguridad unificada para todos
activos monitoreados. AlienVault servidor recibe los
datos normalizados a partir de uno o ms sensores,
correlaciona y prioriza los eventos de seguridad que se
producen en todos los activos, a continuacin, utiliza
la Web Interfaz de presentar esos eventos de seguridad
en una variedad de resumen y vistas detalladas.

AlienVault Unified Security Management
El AlienVault Unified sistema de la Seguridad
Management (Alien Vault , USM) integra cinco
capacidades esenciales - Descubrimiento de activos,
evaluacin de la vulnerabilidad, deteccin de



amenazas, Seguimiento del Comportamiento y de
inteligencia de seguridad - en una seguridad integral y
la amenaza solucin de gestin.
Baza En Alien Vault, un activo es cualquier entidad en
el entorno del cliente que tenga una direccin IP.

Descubrimiento de Activos
Activos Descubrimiento utiliza la exploracin activa
de la red de activos, el descubrimiento de activos de
red pasiva, y inventario de software basado en agentes
para proporcionar una de las cinco capacidades
esenciales de Alien Vault USM.

Activos Descubrimiento Firma Firmas de
descubrimiento de activos permiten AlienVault para
identificar automticamente el fabricante y modelo de
sus activos. Cuando Activos Descubrimiento detecta
un activo que corresponde a un particular, firma,
AlienVault automticamente agrega que los detalles
de los activos de su entrada en el inventario de activos
monitoreados. Un AlienVault Labs. Amenaza
suscripcin Inteligencia le proporciona AlienVault
Instalacin USM con el conjunto ms actual de las
firmas de descubrimiento de activos.

Valor del Activo Valor del Activo especifica de un
activo importante o criticidad en relacin con otros
activos supervisados. Cuando AlienVault Server
calcula si un evento particular, debe ser clasificado
como un Alarma, Server utiliza una frmula basada en
Patrimonio Neto, Prioridad de eventos y eventos de
confiabilidad. Actividad que afecta a los activos de
mayor valor ser ms rpido ser clasificado como un
evento de alta prioridad o Alarma.

Monitoreo del Comportamiento
Monitoreo del Comportamiento utiliza monitorizacin
de servicios la disponibilidad, anlisis de flujo de red,
y el evento de activos registros de normalizacin para
proporcionar una de las cinco capacidades esenciales
de Alien Vault USM.

Correlacin
En AlienVault, correlacin identifica las amenazas
potenciales a la seguridad mediante la deteccin de
patrones de comportamiento que ocurre a travs de
diferentes tipos de activos de vigilancia.

Directiva Correlacin Una directiva de correlacin
(Directiva) contiene una o ms reglas de correlacin.
Despus de todo el evento condiciones especificadas
en una regla de correlacin se han detectado, la
Directiva genera una Directiva de eventos y avanza a
la siguiente ms alto nivel de correlacin.

Nivel de correlacin En una directiva de correlacin
AlienVault, Nivel Correlacin especifica la posicin
de una regla de correlacin dentro de la Directiva.
Cuando todos los eventos que estn definidos en una
regla de correlacin han sido detectada, la Directiva
Correlacin genera una Directiva de eventos y avanza
a la siguiente alto nivel de correlacin.

Reglas de correlacin En una directiva de correlacin
AlienVault, una regla de correlacin especifica una
secuencia de eventos. Cuando todas las condiciones de
eventos especificados en una regla de correlacin se
han detectado dentro de un perodo de tiempo
especfico, la Directiva que contiene la regla genera
una Directiva de eventos y avanza al siguiente nivel de
correlacin.

Directiva Evento Una Directiva Correlacin crea un
Evento Directiva cuando todos los eventos
especificados en un Reglas de correlacin se han
detectado.

Evento
En Alien Vault, una entrada del archivo de registro
normalizada corresponde a un solo evento.

Prioridad del Evento y Confiabilidad Evento La
Fuente Plugins Datos asigne a cada Id. del suceso una
prioridad y valor fiabilidad por omisin. Prioridad
define con qu urgencia debe investigarse el caso.
Confiabilidad especifica la probabilidad de que los el
evento es exacta. Alien Vault Server utiliza una
frmula basada en Valor Patrimonial, Prioridad del
Evento, y Evento Confiabilidad para categorizar un
evento como una alarma.

Sistema de deteccin de intrusiones
AlienVault Gestin Unificado de Seguridad (USM)
recibe informacin de los tres tipos de Sistema de
deteccin de intrusiones (IDS) agentes: IDS de red
(NIDS), Host IDS (HIDS) y Wireless IDS (WIDS).
AlienVault sensores proporcionan las capacidades de
NIDS y WIDS; Agentes AlienVault proporcionar la
capacidad HIDS.

Firmas del sistema de deteccin de intrusiones
Sistemas de Deteccin de Intrusos (IDS) Firmas
definen el conjunto de mtodos de un IDS utiliza para
identificar patrones de ataque en la recepcin de datos.
Cada tipo de IDS evala patrones dentro de un
particular, el tipo de datos: NIDS evala el trfico de
red, un WIDS evala red inalmbrica trfico, y un
HIDS evala el comportamiento del sistema
operativo.

IP y Dominio Reputacin AlienVault utiliza las
puntuaciones de reputacin de IP y dominio para
reconocer las direcciones IP que son fuentes malware,
spam y otras conductas maliciosas. AlienVault OTX
Monitor de Reputacin proporciona AlienVault
con los datos de reputacin de IP y dominio
actualizadas continuamente. En correlacin Reglas,
las puntuaciones de reputacin de IP y dominio



permiten una regla para responder al trfico
procedente de IP direcciones conocidas que se origin
el comportamiento malicioso.

Activos supervisados
Activos supervisados definen el conjunto total de la
red y los dispositivos de acogida estn supervisados y
protegido por AlienVault.

Normalizacin En AlienVault
Data Fuente Plugins ejecuta en un Sensor AlienVault
traducir las entradas del archivo de registro recibido de
tipos dispares de los activos controlados en el marco
normalizado de eventos tipos y subtipos definidos en
el Evento Taxonoma AlienVault. Entradas del
archivo de registro de Normalizacin permite que el
motor de correlacin AlienVault para detectar
patrones de comportamiento que ocurren a travs de
diferentes tipos de activos de vigilancia.

Mdulo de Informes
Un mdulo de informes es una seccin de informe
reutilizable que lleva a cabo una consulta de datos pre-
definidos. Alien Vault ofrece ms de 2.500 mdulos
de informes que se pueden incorporar en
personalizable Plantillas de informe.

Plantilla de informe
Una plantilla de informe es una recopilacin de
Informe mdulos que proporcionan un informe de
seguridad porttil. Alien Vault ofrece 200 plantillas de
informes que presentan una variedad de mtricas de
seguridad, tanto en resumen y detalle formulario.
Usted puede utilizar Report Mdulos para aadir
personalizacin adicional a un Plantilla de informe.

Riesgo Alien Vault Server utiliza una frmula basada
en Valor Patrimonial, Prioridad de eventos y sucesos
Fiabilidad a calcular el riesgo de un evento.
AlienVault categoriza cualquier evento con Riesgo de
1 o mayor como un Alarma.

Seguridad de la Informacin y Gestin de Eventos
Sistemas (SIEM) Seguridad de la Informacin y
Gestin de Eventos emplean una variedad de separada
herramientas para monitorear los recursos del host y
de red para la actividad de las amenazas y el estado de
cumplimiento.

Inteligencia de Seguridad Security Intelligence integra
los datos recogidos y tratados por los otros cuatro
Essential Capacidades y las capacidades del motor de
correlacin SIEM y Motor de Informes, a
proporcionar la capacidad central de las cinco
capacidades esenciales de Alien Vault USM.

Disponibilidad del servicio de Monitoreo
En AlienVault, monitoreo de la disponibilidad de
servicios proporciona la capacidad de Vigilancia del
Comportamiento con el estado de los servicios que se
ejecutan en los activos.

Proceso Sensor En un sensor de AlienVault, un
Proceso Sensor (ossim-agente) realiza el
procesamiento inicial (Normalizacin) sobre los datos
en bruto, a continuacin, transmite Eventos
normalizados a AlienVault Server para correlacin y
de la presentacin de la interfaz web. Comparar con el
Agente AlienVault.

Activos Targeted
Un activo especfico ha sido identificado por
AlienVault como punto focal de un ataque que tiene a
su vez producido una alarma.

Deteccin de amenazas
Deteccin de amenazas utiliza IDS de red, Host IDS y
IDS Wireless para ofrecer uno de los Cinco
Capacidades esenciales de Alien Vault USM.

Evaluacin de la vulnerabilidad
Evaluacin de la vulnerabilidad utiliza la exploracin
de vulnerabilidades de red activa y pasiva y monitoreo
de la vulnerabilidad continua para proporcionar una de
las cinco capacidades esenciales de Alien Vault USM.

Anlisis de vulnerabilidades
En Alien Vault Server, utilice anlisis de
vulnerabilidad para identificar las vulnerabilidades en
sus activos supervisados. Usted puede programar
escaneos de vulnerabilidades para ejecutar a intervalos
regulares y emplear diversos grados de rigor
REFERENCIAS
[1] AlienVault, Who We Are, Meet AlienVault. Copyright 2014 AlienVault,
Inc. [Online]. Available: http://www.alienvault.com/who-we-are.
[2] AlienVault Unified Security Management Solution User Interface
Guide;Edition 04; Copyright 2014 AlienVault. All rights reserved.
[3] AlienVault Unified Security Management Solution; Technical
Glossary;Edition01; Copyright 2014 AlienVault. All rights reserved.
[4] AlienVault Unified Security Management Solution; Assets, Groups &
Networks;Edition03; Copyright 2014 AlienVault. All rights reserved.
[5] AlienVault Unified Security Management Solution; System Errors,
Warnings and Suggestions;Edition01; Copyright 2014 AlienVault. All
rights reserved
[6] AlienVault Unified Security Management Solution; Wizard for the
first-time User Experience;Edition05; Copyright 2014 AlienVault. All
rights reserved