Abstract This paper presents a security tool integrated into
open source covering from detection to generate metrics and reports
to an executive level.
Resumen El presente artculo presente una herramienta de seguridad integrada en cdigo abierto que cubre desde la deteccin hasta la generacin de mtricas e informes a un nivel ejecutivo.
Palabras claves Seguridad, Deteccin, Generacin de Mtricas, Informes. I. INTRODUCCION lienVault es el proveedor lder de Gestin de la Seguridad Unificada y amenaza inteligencia multitud de fuentes sus productos estn diseados y desarrollados para garantizar que las organizaciones de medios de mercado pueden defender de manera efectiva contra las amenazas avanzadas de hoy en da. Con la construccin de las mejores herramientas de seguridad de cdigo abierto en una sola plataforma de gestin de seguridad unificada, y luego alimentar la plataforma con up- to-the-minute amenaza inteligencia de AlienVault laboratorios y nuestro abierto Amenaza Cambio -la mayor amenaza de colaboracin de intercambio-AlienVault multitud de fuentes del mundo ofrece a sus clientes con una solucin unificada, simple y asequible para la deteccin de amenazas y la gestin del cumplimiento. Mientras que el perfecto escudo deflector amenaza an no se ha inventado, AlienVault es capaz de proporcionar a sus clientes un producto de deteccin de amenazas.[1] AlienVault se ofrece como un producto de seguridad que le permitir integrar en una nica consola todos los dispositivos y herramientas de seguridad que disponga en su red, as tambin como la instalacin de otras herramientas de cdigo abierto y de reconocido como Snort, Openvas, Ntop y OSSEC. _______________________________________
J. Guamn, Universidad Nacional de Loja, Loja, Ecuador, jpguaman@unl.edu.ec
P. Morocho, Universidad Nacional de Loja, Loja, Ecuador, pbmorochom@unl.edu.ec
S. Riofro, Universidad Nacional de Loja, Loja, Ecuador, spriofriot@unl.edu.ec
H. Vivanco, Universidad Nacional de Loja, Loja, Ecuador, hpvivancoe@unl.edu.ec
1 OSSIM Open Source Security Information Management
Una vez los eventos generados por las diferentes herramientas y dispositivos han sido recogidos por el sistema AlienVault, el sistema realiza una valoracin de riesgo para cada evento y tiene lugar a la correlacin. Durante el proceso de correlacin, a partir de una serie de patrones, se generan nuevos eventos para ataques o problemas en nuestra red. Para acceder a toda la informacin recogida y generada por el sistema hace uso de una consola WEB que adems nos permitir configurar el sistema y ver el estado global de nuestra red en tiempo real.
II. OBJETIVO El objetivo de este tutorial es proporcionar al lector una gua paso a paso de como instalar OSSIM. Este documento tambin le proporcionar conceptos bsicos y una breve explicacin de la funcin de cada perfil que una instalacin puede adoptar OSSIM. 1
III. FUNCIONAMIENTO BASICO Trataremos mostrar de una forma simple que proceso tienen lugar dentro de OSSIM: Las aplicaciones generan eventos de seguridad. Los eventos son reconocidos y normalizados. Los eventos son enviados a un servidor central. Valoracin de riesgo para cada evento. Correlacin de eventos. Almacenamiento de los eventos. Acceso a los eventos almacenados. Acceso a la configuracin. Acceso a la mtrica e informe. Acceso a informacin en tiempo real del estado de nuestra red. Los eventos de seguridad son generados por las diferentes aplicaciones y/o dispositivos que dispongan en su red. Estos eventos son recogidos y normalizados por el Sensor de OSSIM, quien se encarga adems de enviarlo al servidor central. En un despliegue de OSSIM podremos disponer de varios sensores como necesitemos. Como ejemplo, se puede situar un sensor dentro de la DMZ 2 , un sensor en cada ciudad o utilizar un sensor para monitorizar cada una de las redes de la situacin. 2 DMZ diseo conceptual de red donde los servidores de acceso pblico se colocan en un segmento separado, aislado de la red J. Guamn, P. Morocho, S. Riofro and H. Vivanco
Software de Control de Vulnerabilidades Deteccin de Intrusos AlientVault (OSSIM) Control Software Vulnerabilities Intrusion Detection AlientVault (OSSIM)
A
El sensor de OSSIM incluye una serie de herramientas (Snort, Ntop, Tcptrack, Arpwatch...) que permiten analizar todo el trfico de red en busca de problemas de seguridad y anomalas. Para sacar provecho de la funcionalidad de OSSIM es imprescindible que el sensor sea capaz de ver todo el trfico de la red, bien sea utilizando concentrador, o configurando por un port mirroring o port Span en la electrnica de la red. Todos los sensores de OSSIM envan sus eventos al servidor, que se encarga de efectuar una valoracin de riesgo para cada evento, y en el que tambin tendr lugar el proceso de correlacin. Una vez estos dos procesos han tenido lugar, los eventos son almacenados en la base de datos de OSSIM. Para tener acceso a toda esta informacin, as como a la configuracin del sistema y una serie de mtricas e informes haremos uso de la consola WEB de OSSIM. Desde esta consola Web tambin tenemos acceso a informacin en tiempo real a una serie de aplicaciones que nos facilitarn el anlisis del estado global de nuestra red. IV. PERFILES DE INSTALACION Dependiendo de la funcin del nuevo host en el que despliegue OSSIM es posible configurar el perfilen uso. Esto puede ser configurado durante la instalacin o despus de ella. Por defecto la instalacin automatizada permitir a todos los perfiles en el mismo equipo. SENSOR El perfil del sensor habilitara a ambos, los detectores de OSSIM y el colector. Los detectores siguientes estn activados por defecto: Snort (IDS a nivel de red) Ntop (Monitoreo de red y uso) Openvas (Gestin de vulnerabilidad) POF (Sistema pasivo de deteccin pasiva) Pads (Sistema pasivo de deteccin de activos) Arpwatch (Anomala de cambio de Mac) OSSEC (IDS a nivel de host) Osiris (Monitor de integridad) Nagios (Monitor de disponibilidad) OCS (Inventario) Una vez que el perfil de sensor ha sido activado, usted puede desactivar el detector de manera que solo se mantiene la funcionalidad de la coleccin. Para obtener beneficios de las capacidades de deteccin de esas herramientas, tendremos que configurar la red en el sensor de OSSIM de modo que: Tiene acceso a la red que est supervisando Escner de vulnerabilidad, control de disponibilidad, WMI Agente-Less collection, Coleccin Syslog. Recibe todo el trfico de la red. Es necesario configurar un port mirroring/portspan o hacer uso de un concentrador (HUB) o Network tap.Snort, Ntop, Arpwatch, Generacin de Flujos, Pads, P0f El perfil del Sensor configura el sistema para que est listo para recibir eventos de hosts remotos usando el protocolo Syslog. Cada aplicacin o dispositivo tendr un plugin asociado
3 SIEM (perfiles personales de un usuario) (conector DS) que define cmo recoger los sucesos de la aplicacin o dispositivo, as como cmo los acontecimientos que deberan normalizarse antes de enviarlos al servidor central de OSSIM. Un despliegue puede tener tantos sensores como le sea necesario, bsicamente en funcin de las redes que estn siendo controladas y sobre la distribucin geogrfica de la organizacin que ser objeto de seguimiento utilizando OSSIM. Por lo general, es necesario configurar un sensor por red, pero si instalamos ms de un interfaz de red y en rutamos el trfico o configuramos un port-mirroring sobre l, podremos monitorizar ms de una red en el mismo sensor. SERVER Esta instalacin combina los perfiles SIEM 3 y el componente Logger. Los sensores se conectarn al servidor de OSSIM para enviar los eventos normalizados. Los despliegues simples incluirn un Servidor nico en el despliegue. Ms despliegues complejos podran tener ms de un Servidor con diferentes roles, o en caso de que sea necesario para implementar el Servidor de OSSIM con alta disponibilidad.
FRAMEWORK El perfil de Framework instalar y configurar el componente de la interfaz de Gestin Web. Una nica interfaz de Gestin Web ser desplegada en cada instalacin OSSIM. Ms despliegues complejos con mltiples Servidores OSSIM pueden tener ms de un equipo con el perfil de Marco habilitado. El Framework es el perfil de instalacin que utiliza la menor cantidad de memoria y CPU. Por esta razn, el Framework se suele instalar con el perfil de Servidor.
DATABASE El perfil Database permitir a una base de datos MySQL almacenar la configuracin y eventos (Si la funcionalidad SIEM est en uso). Por lo menos una base de datos se requiere en cada despliegue. Incluso si slo el perfil SIEM es habilitado, una base de datos ser necesaria para almacenar la informacin de los inventarios y los parmetros de configuracin.
ALL-IN-ONE El perfil all-in-one habilitar a todos los perfiles en un solo equipo. Este es el perfil de instalacin por defecto y se activa si el usuario realiza una instalacin automatizada. V. INSTALACION OSSIM Para empezar vamos a instalar OSSIM de 64 bits en VMware, creamos una mquina virtual nueva. Damos click en nueva mquina virtual y nos aparece el asistente de instalacin le damos click en instalacin typical o recomendad y damos click en next. (la diferencia entre 32 bits y 64 bits es notable por lo que se recomienda instalar en sistemas de 64 bits, para la
versin 4.8 que estaremos usando la arquitectura ya es solo para sistemas de 64 bits).
Figura 1. Instalacin De OSSIM
El siguiente paso es montar la imagen ISO 4 para eso le damos la ruta de la imagen y damos click en next.
Figura 2. Montar iso
El siguiente paso es asignarle el nombre a la mquina, en este caso es OSSIM. Y damos click en next.
4 ISO: Un archivo donde se almacena una copia o imagen exacta de un sistema de ficheros
Figura 3. Nombre a la Maquina
El siguiente paso es asignarle la capacidad del disco en este caso son 20 GB, adems nos pregunta almacenar discos virtuales en un archivo nico o dividir disco virtual en varios discos. Le damos click en la segunda opcin y damos click en next.
Figura 4. Capacidad de Disco
El asistente nos muestra el nombre de la mquina, ubicacin, versin del VMware, sistema operativo etc. Damos click en personalizar de la mquina virtual pues aqu podremos cambiar el tamao de la memoria ram asignada y el numero de procesadores que deseemos aunque esto tambin se puede hacer una vez creada la maquina virtual
Figura 5. Detalles de la Maquina y Personalizacin de la misma.
En este paso empezamos la instalacin de OSSIM, nos pregunta que opcin de instalacin, damos click en la segunda opcin y damos enter.
Figura 6. Elegir que opcin queremos instalar.
El siguiente paso es asignarle el idioma al sistema en este caso Espaol y damos click en contine.
Figura 7. Elegir idioma El siguiente paso es asignar la zona o regin a la que se pertenece en este caso Ecuador y damos click en contine.
Figura 8. Asignar Zona
El siguiente paso es asignarle la distribucin del teclado en este caso es Latinoamericano y damos click en contine.
Figura 9. Asignar Distribucin del Teclado
Lo siguiente es esperar unos segundos:
Figura 10. Esperar
El siguiente paso es asignarle la direccin IP del servidor en este caso es 192.168.22.4 y damos click en contine.(esta ip podr luego ser cambiada por lo que no debemos
preocuparnos por ahora, aunque el cambio de IP una vez instalado el servidor suele demorar unos minutos).
Figura 11. Asignar Direccin IP al Servidor
El siguiente paso es asignarle la mscara a la red en este caso es 255.255.255.0 y damos click en contine.
Figura 11. Asignar Mascara de Red El siguiente paso asignarle la pasarela de red que nos indica la direccin IP del encaminador en este caso es 192.168.22.1 y damos click en contine
Figura 12. Direccin IP de Encaminamiento El siguiente paso es configura el reloj seleccionamos la zona horario, (es recomendable poseer conexin a internet para la puesta del reloj) y damos click en contine
Figura 13. Configurar Reloj
En el siguiente paso es asignar la clave al usuario root, asignamos la clave y damos click en continuar.
Figura 14. Asignar clave al usuario ROOT
Lo que vemos a continuacin es la configuracin y el levantamiento de los servicios.
Figura 15. Configuracin y Levantamiento Servidores
Ya totalmente instalado nos pide el usuario y la contrasea.
Figura 16. Usuario y Contrasea
Como vemos a continuacin el servidor est listo para empezar la configuracin, con eso llegamos al final de la instalacin.
Figura 17. Listo Configurar Servidor
El siguiente paso es ingresar a la plataforma desde cualesquier navegador que tenga conexin al servidor de AlienVault OSSIM(recordamos la IP que le dimos en la instalacin y la colocamos). Como recordaran la ip en la instalacin fue 192.168.22.2, ahora con estos datos mi cliente no puede acceder puesto que la direccin ip antes mencionada est mal configurada ya que la direccin de mi PC el que hospeda la mquina virtual que creamos est en la red 192.168.1.0, y para que exista comunicacin entre la mquina virtual y la computadora real, debe estar dentro de la misma red sin antes olvidar cambiar la conexin de la mquina virtual a brigte, una vez hecho esto podemos cambiar la ip del servidor OSSIM, en este caso la nueva ip ser 192.168.1.9, echo esto ya podremos ingresar a la plataforma.
Figura 18. Plataforma Navegador
Al ser la primera vez que nos conectamos a la plataforma esta nos muestra un formulario el cual llenaremos con los datos correspondientes y simplemente dares clic en START USING ALIEVAULT
Y listo la magia se ha hecho realidad ahora ya podemos ver cmo el OSSIM. Mientras vemos la pgina de cuadros de mando en el apartado de informacin general.
Figura 19. OSSIM VI. INTERFAZ OSSIM 4.8 [2]
Figura 20. Interfaz OSSIM
1. Utilidad de men : Bienvenido; Configuracin; Salir. 2. Men Principal: anlisis;; Medio Ambiente;; informes y Botones de configuracin. 3. Ayuda Button. 4. Men secundario relacionado con una funcionalidad especfica. Este secundario men cambia dependiendo de lo que la opcin est activada. 5. Bandeja de Notificacin. Se accede a esta informacin a travs de hacer clic en la pestaa derecha.
UTILIDAD DE MEN
Esta rea incluye los siguientes botones:
Figura 21. Botones Menu. "Bienbenido <USUARIO>". Este campo es informativo y se utiliza para saber cul es el nombre de usuario del usuario que actualmente ha iniciado la sesin en que es. "Configuraciones" Soperte Salir: NOTA: Botones que su nombre se describen muy bien.
MEN PRINCIPAL El men principal incluye las siguientes opciones:
Figura 22. Men Principal.
A continuacin, hay una explicacin de cada uno de estos mens desplegables en las siguientes secciones
Figura 23. Cuadro del Mando (Men Desplegable)
INFORMACION GENERAL: Esta opcin se utiliza para ver los diferentes paneles que muestran el estado del sistema y alarmas generadas. Se trata de un men por defecto.
ESTADO DE DESPLIEGUE
Figura 24. Estado Despliegue
"CUADRO DE MANDO". Permite al usuario tener visibilidad sobre las ubicaciones con sensores, activos y red.
"AVISOS y ERRORES ". Muestra los detalles, advertencias y mensajes de error. Alien Vault supervisa s para tratar de detectar los posibles problemas que se producen durante el funcionamiento normal. Estos problemas vienen en forma de mensaje.
MAPA DE RIESGOS
Figura 25. Mapa Riesgos
"INFORMACION GENERAL". Permite al usuario visualizar el estado del activo dentro del mapa seleccionado.
"GESTIONAR MAPAS". Esta opcin se utiliza para gestionar mapas. Hay mapas configurados y, adems, es posible cargar nuevos mapas. Los mapas pueden ser editados; en Establecer como predeterminado; nombre cambiado y propietario;, y tambin se pueden eliminar.
OTX Esta opcin permite a los usuarios visualizar grficamente, en un mapa, amenazas. En realidad, son IP direcciones que pertenecen a los hosts que estn atacando o haciendo cosas peligrosas en su propia actividad. Estas direcciones IP son proporcionados por AlienVault, as como por todo el mundo. Cada usuario puede participar y contribuir a AlienVault OTX por medio del Notificacin Ambiente Bandeja / Snapshot:
Figura 26. Snapshot
ANALISIS DEL (Menu Desplegable)
Figura 27. Men Desplegable. "ALARMAS". Cualquier evento con un riesgo de 1 o mayor es una alarma. Si un evento tiene un muy alto prioridad, que se puede transformar en una alarma. Adems, varios eventos con prioridad baja puede generar una alarma debido a que las directivas de correlacin son capaces de aumentar el riesgo de los eventos juntos. El panel de alarma se muestran todas las alarmas generadas en AlienVault USM. Cada usuario slo puede ver las alarmas que pertenecen a los hosts que estn autorizados para controlar y basadas en el usuario permisos. Es posible buscar y filtrar las bsquedas. Adems, es posible visualizar alarmas agrupadas.
"EVENTOS (SIEM)". Esta opcin se utiliza para visualizar la secuencia de eventos que provocado la alarma. El usuario puede hacer un anlisis forense de todos los eventos que se han procesada por el servidor de AlienVault. La base de datos de eventos de seguridad est diseado para una rpida y anlisis verstil, que se requiere para la deteccin y la respuesta de los ataques.
" LOGS". El logger permite al usuario almacenar un gran volumen de datos al tiempo que garantiza su admisibilidad como prueba en un tribunal de justicia. El registrador proporciona una base de datos adicional que est dirigido especficamente para masiva, almacenamiento a largo plazo y archivo forense. Es tambin la recopilacin de datos en bruto, firma digitalmente y marcas de tiempo de los datos. Los datos son con seguridad almacenado y conservado su integridad.
"TICKETS". Un billete es un elemento dentro de AlienVault USM, que contiene informacin sobre deteccin de problemas mediante el uso de Alien Vault USM. Hay filtros simples y avanzados disponibles para facilitar las bsquedas. Las entradas se pueden crear de forma manual y, tambin, de forma automtica a travs de algunos componentes (escner de vulnerabilidades, alarmas ...) lo que permite a los usuarios trabajar en la boleto.
ENTORNO (Men Desplegable)
Figura 28. Entorno Men Despegable
ACTIVOS.- Un activo es cualquier entidad en el entorno del usuario que tiene una direccin IP.
Figura 29. Activos
"ACTIVO". Esta opcin muestra una lista de los bienes inventariados dentro de AlienVault. Los activos pueden crear, modificar, eliminar, exportar a un archivo CSV e importado de SIEM. Es posible filtrar las bsquedas y guardar esas bsquedas.
"DESCUBRIMIENTO DE ACTIVOS". Firmas de descubrimiento de activos permiten AlienVault para automticamente identificar el fabricante y el modelo de sus activos. Esta opcin permite al usuario escanear redes y hosts. La exploracin se realiza para aadir elementos a los Alien Vault base de datos y que los activos son monitoreados por el sistema.
GRUPOS Y REDES
Figura 30. Grupos y Redes
"GRUPOS". Esto se utiliza para crear un nuevo objeto, que agrupa los activos.
"REDES". Se utiliza para administrar los dispositivos que estn conectados entre s y que forman parte de la organizacin que se va a monitorizar. Las redes pueden ser crear, modificar, eliminar, exportar a un archivo CSV e importado de SIEM.
"GRUPOS DE RED". Esto se utiliza para crear un objeto nuevo, que las redes de grupos. Grupos de red
se pueden crear, modificar y eliminar.
VULNERABILIDADES El sistema de anlisis de vulnerabilidades proporciona una interfaz grfica para administrar OpenVAS. La anlisis de vulnerabilidades puede ser distribuida (Anlisis de vulnerabilidades se hace desde el AlienVault Sensores) o centralizado (Anlisis de vulnerabilidades desde una nica posicin).
Figura 31. Vulnerabilidades "INFORMACION GENERAL". Se utiliza para visualizar y analizar los dispositivos o los activos de la red y saber si hay fallas de seguridad. Es posible visualizar las vulnerabilidades actuales. Un informe es generados por cada trabajo de exploracin. Este informe se muestra en la parte inferior de la pantalla.
"TRABAJOS DE ESCANEO". En Alien Vault Server, utilice anlisis de vulnerabilidad para identificar vulnerabilidades en sus activos monitoreados. Usted puede programar escaneos de vulnerabilidades para ejecutar a intervalos regulares y emplear diversos grados de rigurosidad Esta opcin permite al usuario configurar y ejecutar nuevos trabajos de exploracin. Es posible importar datos de otras exploraciones ya realizada por la importacin de un archivo 'nbe'.
"BASE DE DATOS DE AMENAZAS". Se trata de una base de datos de fuente de datos utilizada por la exploracin. Este base de datos se actualiza automticamente y no se puede modificar.
PERFILES Esta funcionalidad utiliza el analizador de red, Ntop
Figura 32. Perfiles "SERVICIOS". Esta opcin muestra los informes estadsticos sobre el uso de la red.
"GLOBAL". Muestra los informes estadsticos que se refieren el sensor seleccionado.
"RENDIMIENTO". Muestra los informes estadsticos que se refieren los ejrcitos.
"MATRIX". Muestra los informes estadsticos que se refieren el trfico de subred IP y el trfico de cada alojar en la red por el tiempo.
NETFLOW Netflow es un protocolo de red desarrollado por Cisco Systems para recoger el trfico IP informacin.
Esta opcin ofrece a los usuarios la capacidad de controlar y trabajar con datos de Netflow. AlienVault ha puesto en marcha esta seccion de acuerdo NFSen y desplegado en la instalacin por defecto Nfdump.
Figura 33. Netflow "DETALLES". Esta opcin permite al usuario navegar a travs de los datos de Netflow, as como la seleccin de un nico intervalo de tiempo o ventana de tiempo.
"INFORME GENERAL". Se muestra una visin general del modo seleccionado. Por defecto, un vivo Se muestra el perfil. Las tres columnas muestran los "flujos", "paquetes" y la historia "Bits".
"GRAFICO". Muestra una vista especfico de los flujos, paquetes y trfico.
CAPTURA DE TRFICO Esta opcin permite al usuario realizar el trfico de captura remota a travs del sensor AlienVault. Hay varias opciones de captura como el tiempo de espera, el tamao del paquete, nombre del sensor y de paquetes origen y el destino.
DISPONIBILIDAD Esta funcionalidad utiliza un software de monitoreo de red y monitorizacin de infraestructuras aplicacin.
Figura 34. Disponibilidad "MONITORIZANDO". Permite al usuario comprobar la informacin tal como anfitriones y sus problemas o redes y sus problemas.
"INFORMES". Esta opcin permite al usuario generar informes mediante la seleccin de un host o un servicio.
DETECCIN Esta opcin notifica acerca de los cambios que se detectan en el equipo.
Figura 35. Deteccion "HIDS". Muestra de anlisis de registros, verificacin de la integridad, la supervisin del registro de Windows, rootkit deteccin, alerta basada en el tiempo, y la respuesta activa. Tambin proporciona la intrusin deteccin para la mayora de sistemas operativos. Esta opcin requiere la instalacin de un agente en el interior dirigir los ejrcitos. "IDENTIFICACIONES WIRELES". Las organizaciones que requerir de Seguridad de Datos de la Industria de Tarjetas de Pago Estndar (PCI DSS) el cumplimiento es necesario seguir una serie de procedimientos al implementar 802.11 redes inalmbricas de rea local (WLAN). AlienVault incluye esta inalmbrica mdulo que ayuda a las organizaciones que requieren el cumplimiento de PCI DSS.
INFORMES (Men desplegable)
Figura 36. Informes Esta opcin permite al usuario visualizar, descargar en formato PDF y / o enviar por correo electrnico un informe. Cada informe incluir la informacin configurada mediante la seleccin o no de los campos que aparecer en esta pantalla. Nuevos campos no se pueden aadir.
CONFIGURACIN (Men desplegable)
Figura 37. Configuracin
ADMINISTRACIN
Figura 38. Administracin
"USUARIOS". Esta opcin se utiliza para gestionar los usuarios: creacin, modificacin y supresin.
"PRINCIPAL". Esta opcin permite al usuario modificar las variables generales de la configuracin.
"COPIA DE SEGURIDAD". Esta opcin permite al usuario restaurar las copias de seguridad. Datos de copia de seguridad se refieren a los datos almacenados en una base de datos AlienVault.
DESPLIEGUE
Figura 39. Despliegue
"COMPONENTES". Esta opcin se utiliza para gestionar los sensores, servidores, bases de datos y interfaces remotas, as como actualizarlos.
"PROGRAMADOR". Se utiliza para programar las tareas para NMAP, OCS y WMI.
"LUGARES". Se utiliza para administrar ubicaciones: crear, modificar y eliminar.
INFORMACION SOBRE AMENAZAS
Figura 40. Info. Sobre Amenazas
"POLTICA". Esta opcin permite al usuario configurar cmo procesa el sistema de la eventos una vez que llegan a la AlienVault Server.
"ACCIONES". Permite al usuario enviar un mensaje de correo electrnico, ejecutar y externa programa o abrir un ticket. Acciones estn relacionadas con las reglas de poltica, de modo que cuando una poltica es se ejecutan coincidentes todas las acciones relacionadas con esa poltica.
"PUERTOS". Estos son los puertos TCP / IP estndar, y el usuario puede gestionar estos puertos porque se permite para crear, modificar y borrar.
"DIRECTIVAS". Una Directiva Correlacin crea un Evento Directiva cuando todos lod eventos especificadas en una regla de correlacin se han detectado. El usuario puede aadir o modificar las directivas de correlacin existentes para generar nuevas alarmas.
"CUMPLIMIENTO DE NORMATIVA ". Esta opcin se utiliza para definir las relaciones entre la objetivos de control de cumplimiento y las reglas de correlacin AlienVault. Las normas incluidos son ISO 27001 y PCI DSS. Estas normas no se pueden borrar. Es posible cancelar la seleccin de partes de cada norma. "CORRELACIN CRUZADA". Correlacin identifica las amenazas potenciales a la seguridad mediante la deteccin patrones de comportamiento que ocurren a travs de diferentes tipos de activos de vigilancia. Se utiliza para modificar la fiabilidad de un evento.
"ORIGEN DE DATOS ". En un sensor de AlienVault, diferentes tipos de datos Fuente Plugins permitir AlienVault para extraer y normalizar los datos del archivo de registro recibidas de los diferentes activos. Durante archivo de registro de la normalizacin, de una fuente de datos Plugins evala cada entrada del archivo de registro y lo traduce a un ID de evento que identifica el tipo de evento y subtipo dentro de la AlienVault Taxonoma Evento. AlienVault viene equipado con plugins de origen de datos para muchos comnmente encontrados tipos de activos. Los usuarios pueden complementar el conjunto estndar de AlienVault origen de datos Plugins con plugins de origen de datos personalizado.
"TAXONOMA". Este es un sistema de clasificacin de eventos de seguridad.
"BASE DE CONOCIMIENTO". Esta opcin proporciona acceso a una definida por el usuario, de bsqueda base de conocimientos de soluciones a los incidentes. Existe la posibilidad de crear nuevos KDB documentos. Estos documentos se pueden vincular a los billetes.
BANDEJA INSTANTNEA NOTIFICACIN / MEDIO AMBIENTE Esta parte ofrece informacin general sobre los tickets abiertos:
Figura 41. Medio Ambiente VII. CONCLUSIONES. En este trabajo hemos presentado una herramienta de control de vulnerabilidades y deteccin de intrusos dentro de una organizacin. OSSIM, es software que da solucin a las necesidades que tiene una organizacin ya que cuenta con un amplio conjunto de herramientas que hace posible un efectivo monitoreo de toda la organizacin. OSSIM, presta una amplia informacin de una organizacin gracias a su efectivo monitoreo gracias a esto es muy til en la toma de decisiones en tanto a la seguridad de la informacin de la organizacin. El desarrollo del presente artculo nos ha permitido incrementar nuestros conocimientos en cuanto a la seguridad de una organizacin. VIII. GLOSARIO DE TERMINOS [3] Agente AlienVault: Hay dos tipos de agentes AlienVault ejecutan en Activos monitorizadas. Agentes AlienVault OCS proporcionan la Capacidad de descubrimiento de activos con informacin detallada sobre la configuracin y un Activo software instalado. AlienVault Agentes ossec proporcionan la capacidad de deteccin de amenazas con un Estado HIDS de activos. Comparar con Proceso de sensor.
Alarma Alien Vault: Server utiliza una frmula basada en Valor Patrimonial, Prioridad de eventos y sucesos Fiabilidad a calcular el riesgo de un evento. Cualquier evento con un riesgo de 1 o mayor es una alarma. Cuando un Reglas de correlacin detecta una secuencia especfica de eventos, la regla puede crear un evento de la Directiva que tiene una Prioridad del Evento suficientemente alta para producir una Alarma.
AlienVault motor de correlacin: En Alien Vault Server, el motor de correlacin utiliza directivas de correlacin para detectar relaciones entre los diferentes tipos de eventos que ocurren en uno o ms activos supervisados.
AlienVault Evento Taxonoma
El Evento Taxonoma AlienVault (evento taxonoma, taxonoma) proporciona el motor de correlacin con un marco normalizado de los tipos de eventos y subtipos sobre la cual operar. La normalizacin entradas del registro de eventos desigual formateados recibidas de los diferentes tipos de activos en el Marco nico de taxonoma permite al motor de correlacin para detectar patrones de comportamiento que ocurre en todos los activos supervisados.
AlienVault Labs AlienVault laboratorios llevan a cabo investigaciones de seguridad sobre las amenazas y vulnerabilidades globales. Este resultado de Investigacin AlienVault laboratorios se pondr a disposicin de los clientes a travs de un Alien Vault USM suscripcin a AlienVault Labs. Threat Intelligence.
AlienVault Logger: AlienVault Logger es uno de los tres componentes AlienVault USM (Logger, de sensores, Server). AlienVault Logger ofrece AlienVault Server con la capacidad de archivar los archivos de registro para el fines de anlisis forense y para cumplir con los requisitos de cumplimiento para el archivo de registro y gestin. AlienVault Logger est disponible slo como parte del producto Alien Vault USM.
AlienVault Labs. Threat Intelligence AlienVault Labs. Threat Intelligence proporciona a los suscriptores la capacidad de detectar la ltima amenazas con normas actualizadas continuamente de correlacin, firmas de IDS, auditoras, la vulnerabilidad de los activos firmas de descubrimiento, de datos de reputacin de IP, de recoleccin y de fuente de datos de plugins, y el informe plantillas. AlienVault Abrir Amenaza Exchange AlienVault Abrir Amenaza Exchange (Abrir Amenaza Exchange , AlienVault OTX ) es un proceso abierto y la comunidad de colaboracin de los profesionales de seguridad para conectar con sus compaeros, descubre herramientas libres para la supervisin de seguridad, y aprender sobre las ltimas amenazas y tcticas de defensa de expertos de la industria y los investigadores de seguridad.
AlienVault OSSIM
Creado AlienVault, y sigue apoyando, proyecto SIEM mayor fuente abierta del mundo, OSSIM . OSSIM proporciona un subconjunto de las capacidades esenciales de monitoreo de seguridad que se encuentra en las versiones comerciales de
Alien Vault USM. AlienVault OTX Monitor de Reputacin AlienVault OTX Monitor de Reputacin (OTX Monitor de Reputacin , Monitor de Reputacin) informa que cuando las direcciones IP dentro de su dominio estn asociados con comportamientos maliciosos. Por agregacin de la informacin acerca de los ataques de todas partes del mundo, OTX Monitor de Reputacin proporciona una visin global de las fuentes de comportamientos maliciosos.
AlienVault OTX Reputacin monitor AlertSM Supervisor de alertas AlienVault OTX Reputacin (Supervisor de alertas OTX Reputacin) es un servicio web gratuito que le permite ser alertado acerca de la conducta pblicamente observable de su red y su IP direcciones. Si otro contribuyente a OTX Monitor de Reputacin observa sus direcciones IP la realizacin de la actividad maliciosa, Supervisor de alertas de Reputacin le avisa para que pueda tomar una accin inmediata.
AlienVault Sensor AlienVault sensor es uno de los tres componentes AlienVault USM (Logger, de sensores, Server). AlienVault Sensores realizan cuatro de las cinco capacidades esenciales de Alien Vault: Activos Descubrimiento, evaluacin de la vulnerabilidad, deteccin de amenazas y Monitoreo del Comportamiento. Sensores recibir datos en bruto de los registros de eventos, el trfico de red supervisada, Agentes AlienVault y activa exploraciones. Los Procesos de sensores realizan procesamiento inicial (normalizacin) en que los datos en bruto, y transmitir eventos normalizados para AlienVault Server para la correlacin y la presentacin de la Interfaz Web.
AlienVault Servidor Alien Vault Server es uno de los tres componentes AlienVault USM (Logger, de sensores, Server). Alien Vault Server proporciona una capacidad de gestin y la configuracin de seguridad unificada para todos activos monitoreados. AlienVault servidor recibe los datos normalizados a partir de uno o ms sensores, correlaciona y prioriza los eventos de seguridad que se producen en todos los activos, a continuacin, utiliza la Web Interfaz de presentar esos eventos de seguridad en una variedad de resumen y vistas detalladas.
AlienVault Unified Security Management El AlienVault Unified sistema de la Seguridad Management (Alien Vault , USM) integra cinco capacidades esenciales - Descubrimiento de activos, evaluacin de la vulnerabilidad, deteccin de
amenazas, Seguimiento del Comportamiento y de inteligencia de seguridad - en una seguridad integral y la amenaza solucin de gestin. Baza En Alien Vault, un activo es cualquier entidad en el entorno del cliente que tenga una direccin IP.
Descubrimiento de Activos Activos Descubrimiento utiliza la exploracin activa de la red de activos, el descubrimiento de activos de red pasiva, y inventario de software basado en agentes para proporcionar una de las cinco capacidades esenciales de Alien Vault USM.
Activos Descubrimiento Firma Firmas de descubrimiento de activos permiten AlienVault para identificar automticamente el fabricante y modelo de sus activos. Cuando Activos Descubrimiento detecta un activo que corresponde a un particular, firma, AlienVault automticamente agrega que los detalles de los activos de su entrada en el inventario de activos monitoreados. Un AlienVault Labs. Amenaza suscripcin Inteligencia le proporciona AlienVault Instalacin USM con el conjunto ms actual de las firmas de descubrimiento de activos.
Valor del Activo Valor del Activo especifica de un activo importante o criticidad en relacin con otros activos supervisados. Cuando AlienVault Server calcula si un evento particular, debe ser clasificado como un Alarma, Server utiliza una frmula basada en Patrimonio Neto, Prioridad de eventos y eventos de confiabilidad. Actividad que afecta a los activos de mayor valor ser ms rpido ser clasificado como un evento de alta prioridad o Alarma.
Monitoreo del Comportamiento Monitoreo del Comportamiento utiliza monitorizacin de servicios la disponibilidad, anlisis de flujo de red, y el evento de activos registros de normalizacin para proporcionar una de las cinco capacidades esenciales de Alien Vault USM.
Correlacin En AlienVault, correlacin identifica las amenazas potenciales a la seguridad mediante la deteccin de patrones de comportamiento que ocurre a travs de diferentes tipos de activos de vigilancia.
Directiva Correlacin Una directiva de correlacin (Directiva) contiene una o ms reglas de correlacin. Despus de todo el evento condiciones especificadas en una regla de correlacin se han detectado, la Directiva genera una Directiva de eventos y avanza a la siguiente ms alto nivel de correlacin.
Nivel de correlacin En una directiva de correlacin AlienVault, Nivel Correlacin especifica la posicin de una regla de correlacin dentro de la Directiva. Cuando todos los eventos que estn definidos en una regla de correlacin han sido detectada, la Directiva Correlacin genera una Directiva de eventos y avanza a la siguiente alto nivel de correlacin.
Reglas de correlacin En una directiva de correlacin AlienVault, una regla de correlacin especifica una secuencia de eventos. Cuando todas las condiciones de eventos especificados en una regla de correlacin se han detectado dentro de un perodo de tiempo especfico, la Directiva que contiene la regla genera una Directiva de eventos y avanza al siguiente nivel de correlacin.
Directiva Evento Una Directiva Correlacin crea un Evento Directiva cuando todos los eventos especificados en un Reglas de correlacin se han detectado.
Evento En Alien Vault, una entrada del archivo de registro normalizada corresponde a un solo evento.
Prioridad del Evento y Confiabilidad Evento La Fuente Plugins Datos asigne a cada Id. del suceso una prioridad y valor fiabilidad por omisin. Prioridad define con qu urgencia debe investigarse el caso. Confiabilidad especifica la probabilidad de que los el evento es exacta. Alien Vault Server utiliza una frmula basada en Valor Patrimonial, Prioridad del Evento, y Evento Confiabilidad para categorizar un evento como una alarma.
Sistema de deteccin de intrusiones AlienVault Gestin Unificado de Seguridad (USM) recibe informacin de los tres tipos de Sistema de deteccin de intrusiones (IDS) agentes: IDS de red (NIDS), Host IDS (HIDS) y Wireless IDS (WIDS). AlienVault sensores proporcionan las capacidades de NIDS y WIDS; Agentes AlienVault proporcionar la capacidad HIDS.
Firmas del sistema de deteccin de intrusiones Sistemas de Deteccin de Intrusos (IDS) Firmas definen el conjunto de mtodos de un IDS utiliza para identificar patrones de ataque en la recepcin de datos. Cada tipo de IDS evala patrones dentro de un particular, el tipo de datos: NIDS evala el trfico de red, un WIDS evala red inalmbrica trfico, y un HIDS evala el comportamiento del sistema operativo.
IP y Dominio Reputacin AlienVault utiliza las puntuaciones de reputacin de IP y dominio para reconocer las direcciones IP que son fuentes malware, spam y otras conductas maliciosas. AlienVault OTX Monitor de Reputacin proporciona AlienVault con los datos de reputacin de IP y dominio actualizadas continuamente. En correlacin Reglas, las puntuaciones de reputacin de IP y dominio
permiten una regla para responder al trfico procedente de IP direcciones conocidas que se origin el comportamiento malicioso.
Activos supervisados Activos supervisados definen el conjunto total de la red y los dispositivos de acogida estn supervisados y protegido por AlienVault.
Normalizacin En AlienVault Data Fuente Plugins ejecuta en un Sensor AlienVault traducir las entradas del archivo de registro recibido de tipos dispares de los activos controlados en el marco normalizado de eventos tipos y subtipos definidos en el Evento Taxonoma AlienVault. Entradas del archivo de registro de Normalizacin permite que el motor de correlacin AlienVault para detectar patrones de comportamiento que ocurren a travs de diferentes tipos de activos de vigilancia.
Mdulo de Informes Un mdulo de informes es una seccin de informe reutilizable que lleva a cabo una consulta de datos pre- definidos. Alien Vault ofrece ms de 2.500 mdulos de informes que se pueden incorporar en personalizable Plantillas de informe.
Plantilla de informe Una plantilla de informe es una recopilacin de Informe mdulos que proporcionan un informe de seguridad porttil. Alien Vault ofrece 200 plantillas de informes que presentan una variedad de mtricas de seguridad, tanto en resumen y detalle formulario. Usted puede utilizar Report Mdulos para aadir personalizacin adicional a un Plantilla de informe.
Riesgo Alien Vault Server utiliza una frmula basada en Valor Patrimonial, Prioridad de eventos y sucesos Fiabilidad a calcular el riesgo de un evento. AlienVault categoriza cualquier evento con Riesgo de 1 o mayor como un Alarma.
Seguridad de la Informacin y Gestin de Eventos Sistemas (SIEM) Seguridad de la Informacin y Gestin de Eventos emplean una variedad de separada herramientas para monitorear los recursos del host y de red para la actividad de las amenazas y el estado de cumplimiento.
Inteligencia de Seguridad Security Intelligence integra los datos recogidos y tratados por los otros cuatro Essential Capacidades y las capacidades del motor de correlacin SIEM y Motor de Informes, a proporcionar la capacidad central de las cinco capacidades esenciales de Alien Vault USM.
Disponibilidad del servicio de Monitoreo En AlienVault, monitoreo de la disponibilidad de servicios proporciona la capacidad de Vigilancia del Comportamiento con el estado de los servicios que se ejecutan en los activos.
Proceso Sensor En un sensor de AlienVault, un Proceso Sensor (ossim-agente) realiza el procesamiento inicial (Normalizacin) sobre los datos en bruto, a continuacin, transmite Eventos normalizados a AlienVault Server para correlacin y de la presentacin de la interfaz web. Comparar con el Agente AlienVault.
Activos Targeted Un activo especfico ha sido identificado por AlienVault como punto focal de un ataque que tiene a su vez producido una alarma.
Deteccin de amenazas Deteccin de amenazas utiliza IDS de red, Host IDS y IDS Wireless para ofrecer uno de los Cinco Capacidades esenciales de Alien Vault USM.
Evaluacin de la vulnerabilidad Evaluacin de la vulnerabilidad utiliza la exploracin de vulnerabilidades de red activa y pasiva y monitoreo de la vulnerabilidad continua para proporcionar una de las cinco capacidades esenciales de Alien Vault USM.
Anlisis de vulnerabilidades En Alien Vault Server, utilice anlisis de vulnerabilidad para identificar las vulnerabilidades en sus activos supervisados. Usted puede programar escaneos de vulnerabilidades para ejecutar a intervalos regulares y emplear diversos grados de rigor REFERENCIAS [1] AlienVault, Who We Are, Meet AlienVault. Copyright 2014 AlienVault, Inc. [Online]. Available: http://www.alienvault.com/who-we-are. [2] AlienVault Unified Security Management Solution User Interface Guide;Edition 04; Copyright 2014 AlienVault. All rights reserved. [3] AlienVault Unified Security Management Solution; Technical Glossary;Edition01; Copyright 2014 AlienVault. All rights reserved. [4] AlienVault Unified Security Management Solution; Assets, Groups & Networks;Edition03; Copyright 2014 AlienVault. All rights reserved. [5] AlienVault Unified Security Management Solution; System Errors, Warnings and Suggestions;Edition01; Copyright 2014 AlienVault. All rights reserved [6] AlienVault Unified Security Management Solution; Wizard for the first-time User Experience;Edition05; Copyright 2014 AlienVault. All rights reserved