Beruflich Dokumente
Kultur Dokumente
Como ya he dicho antes, Alienvault ha hecho bastante por OSSIM, permitiendo que la
correlacin de eventos que vienen hechas, es mucho ms rica en la pro, aunque en la libre
puedes aadir lo que quieras manualmente; la gestin de sondas en la versin libre, los vitals
o stats de la mquina, es nicamente la del servidor, y en la pro puedes ver stats de cada
sonda en un formato grfico muy trabajado.
Desde un punto de vista de guardar TODOS los eventos, sean o no falsos positivos,
de tus propias sondas. Obviamente, estoy auditando internamente mquinas. Tampoco existe
una forma sencilla de aadir direcciones IP a una lista blanca para que no aparezcan nunca
como origen?
Asimismo, cuando aparecen hosts nuevos, aunque los borres la primera vez, si vuelves a
hacer una auditora, vuelven a aparecer. Esto es ms un "nice-to-have" que un "must", pero
estara bien que OSSIM "aprendiera" lo que le dices respecto a direcciones IP anteriormente
borradas.
La integracin con Nagios no est tan lograda como se debera. S, te crea
automticamente un fichero con la configuracin del asset que quieres monitorizar, pero a la
hora de enviar las alertas, hay que tocar el fichero de configuracin de Nagios a mano,
indicando las direcciones de correo, grupos, etc, a los que hay que notificar cuando haya algn
problema en la monitorizacin de los assets. No debera esto hacerse automticamente
desde la consola?
En esta instalacin, en el despliegue de un cliente, me d cuenta que NTOP no
un correo (comprobado con un tcpdump -n -i eth0 port 25), teniendo un hostname en formato
FQDN.
Si bien la documentacin existente a disposicin de los mortales me parece bastante
pobre, el producto en s es bastante intuitivo de usar por lo que para cosas ms avanzadas
como la creacin de directivas complejas sera deseable que no se guardasen todo para la
versin de pago.
En cuanto a consumo de recursos, si os animais a probarlo, os emplazo a que tengis
cuanta ms RAM mejor, puesto que todos los procesos que corren en OSSIM, devoran
memoria como si no hubiera un maana.
Por lo dems, me parece un producto que va en la direccin correcta. Imagino que en la
versin free pasa como Fedora con RedHat, en la que los usuarios son los testers de las
ltimas funcionalidades, con lo bueno y con lo malo que esto tiene. La informacin que provee
es bastante buena y permite aunar en un mismo framework la consola de monitorizacin de
assets, herramientas de monitorizacin de trfico de red como NTOP, as como correlar
ataques detectados con sistemas operativos/versiones de aplicaciones existentes en la
organizacin junto a auditoras de herramientas automatizadas como Openvas o Nessus con
reportes integrados.