UNIVERSIDAD NACIONAL DE INGENIERIA FEC

Transcripción

1 Redes de Computadoras Manual de OSSIM UNIVERSIDAD NACIONAL DE INGENIERIA FEC MANUAL DE OSSIM (Open Source Security Information Management) Nombre: Mariana Mercedes Tenorio Martínez Carne: Grupo: 5T3 - CO Msc. Roberto Alfaro Viernes 14 de Agosto del 2009 Universidad Nacional de Ingeniería Página 1

2 Redes de Computadoras Manual de OSSIM INDICE Universidad Nacional de Ingeniería Página 2

3 Redes de Computadoras Manual de OSSIM INTRODUCCION Universidad Nacional de Ingeniería Página 3

4 Redes de Computadoras Manual de OSSIM El OSSIM (Open Source Security Information Management) quiere suplir un hueco en las necesidades que los grupo profesionales del mundo de la seguridad día a día nos encontramos. Sorprende que con el fuerte desarrollo tecnológico producido en los últimos años nos ha provisto de herramientas con capacidades como las de los IDS (Un sistema de detección de intrusos o de sus siglas en inglés Intrusion Detection System), sea tan complejo desde el punto de vista de seguridad de obtener una visión de una red con un grado de abstracción que permita una revisión práctica y asumible. La intención inicial en el desarrollo de este proyecto es mejorar esta situación a través de una función que podríamos resumir con el nombre de: Correlación o la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a través de esta situación privilegiada relacionar y procesar la información permitiendo aumentar la capacidad de detección, priorizar los eventos según el contexto en que se producen, y monitorizar el estado de seguridad de nuestra red. En el camino nos hemos encontrado con nuevas necesidades que nos han permitido aumentar la precisión de nuestro sistema, desarrollando la capacidad que ya forma parte del núcleo de OSSIM. La valoración de riesgos como forma de decidir en cada caso la necesidad de ejecutar una acción a través de la valoración de la amenaza que representa un evento frente a un activo, teniendo en cuenta la fiabilidad y probabilidad de ocurrencia de este evento. Desde este momento nuestro sistema se vuelve más complejo pues ha de ser capaz de implementar una Política de Seguridad, el Inventario de la Red, nos ofrecerá un Monitoreo de riesgos en tiempo real, todo ello configurado y gestionado desde un Framework. Este proyecto quiere ser así mismo una muestra de la capacidad del mundo de código abierto de crecer en sí mismo y aportar soluciones punteras en sectores concretos como el de la seguridad de redes, donde las soluciones del mundo libre aportan otro importante valor: la auditabilidad o capacidad de auditoría de los sistemas que instalamos en nuestra red. Universidad Nacional de Ingeniería Página 4

5 Redes de Computadoras Manual de OSSIM OBJETIVO Universidad Nacional de Ingeniería Página 5

6 Redes de Computadoras Manual de OSSIM Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección y visibilidad en la monitorización de eventos de seguridad de la organización. Además de obtener las mejores herramientas de código abierto, algunas de las cuales se describen a continuación, ossim establece un fuerte motor de correlación, detallando nivel de interfaces de visualización bajo, medio y alto, así como la presentación de informes y herramientas de gestión de incidentes, trabajando en un conjunto de activos se define como anfitriones, redes, grupos y servicios. Universidad Nacional de Ingeniería Página 6

7 Redes de Computadoras Manual de OSSIM CONCEPTO Y SERVICIOS Universidad Nacional de Ingeniería Página 7

8 Redes de Computadoras Manual de OSSIM OSSIM es una distribución de productos open source integrados para construir una infraestructura de monitorización de seguridad. SERVICIOS Ossim contiene las siguientes características de los componentes del software: Arpwatch: utilizado para la detección de anomalía de mac. P0f: utilizado para la detección y análisis de los cambios en los sistemas operativos OS. Pads: utilizado para el servicio de detección de anomalías. Nessus: utilizado para la evaluación de la vulnerabilidad y de correlación cruzada (IDS vs Security Scanner). Snort: el IDS, también se utiliza para cruzar la correlación con nessus. Spade: Realiza las estadísticas de paquetes de motor de detección de anomalías. Se usa para obtener conocimientos sobre los ataques sin firma. Tcptrack: utilizado para los datos de la sesión de información que puede dar información útil para el ataque correlación. Ntop: construye una impresionante red de base de datos de información que podemos obtener de detección de anomalías en el comportamiento aberrante. Nagios: Se alimenta de la base de datos activos para supervisar la disponibilidad de los equipos. Osiris: una gran HIDS (HIDS, Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas protectoras.) OCS-NG: Cruz-Plataforma para realizar los inventarios e informes. OSSEC: la integridad, de rootkit, detección y registro de más. Universidad Nacional de Ingeniería Página 8

9 Redes de Computadoras Manual de OSSIM OSSIM LOGIN Universidad Nacional de Ingeniería Página 9

10 Redes de Computadoras Manual de OSSIM OSSIM Login es el punto de entrada al sistema OSSIM (ver Figura 1 Pantalla de Login). La instalación por defecto tiene un usuario Admin con contraseña Admin. Debera cambiar la contraseña en cuanto instale el sistema. Figura 1 Universidad Nacional de Ingeniería Página 10

11 Herramientas> Escanear NET

12 Para comenzar a trabajar con el OSSIM, tenemos que realizar un estudio de la topología que se va a utilizar por ejemplo nosotros ocupamos la topología de la universidad a nivel lógico. 1. escaneamos el segmento de red de la uni /24 porque es el segmento principal, lo cual el escaneo duro 20 minutos. Herramientas> Escanear NET NET La página de rastreo le permite establecer diversas redes de exploración para buscar los cambios en los hosts o servicios de su sistema operativo, como se muestra en la Figura 2 - Herramientas> Red de exploración. Figura 2

13 Como se muestra en la figura de arriba, es fácil realizar una exploración de escaneo de red mediante la selección de una red disponible de la lista desplegable. El rango de direcciones IP aparece en el cuadro de texto a su derecha. Esto no puede ser modificado, si desea añadir alguna nueva red que necesita para ir a la Política Redes y definir una nueva. Además, puede optar por seleccionar Manual, en el que el mencionado cuadro de texto puede ser modificado. Una vez esté listo, haga clic en Buscar. OSSIM escanea la red y muestra un mensaje una vez que esté completo. Los resultados aparecen en la red, la página de exploración por debajo de la red, seleccione la tabla. Puede hacer clic en Actualización de los valores de la base de datos, que muestra la página Insertar nueva exploración. Esta página le permite añadir a las propiedades globales recién escaneadas de aceptacion. Estas propiedades son: Valor Umbral C Umbral A RRD Perfil Insértese un nuevo perfil? NAT Sensores Opciones de exploración Descripción Algunas propiedades pueden tener enlaces correspondientes que le permiten realizar tareas adicionales, especialmente al trabajar con sensores. Una vez que haya completado los cambios, haga clic en Aceptar. Puede hacer clic en Reset para volver a los valores iniciales.

14 Herramientas> Copia de seguridad

15 Herramientas> Copia de seguridad La copia de seguridad de la página le permite restaurar los eventos anteriores a su sistema, así como ver previamente eventos restaurados eventos, como se muestra en la Figura 3 - Herramientas> Copia de seguridad. Esto funcionará para los eventos que aparecen en la base o el Visor de sucesos OSSIM. El backuped de datos será la base de datos de snort (que incluye todos los eventos), no la base de datos OSSIM (que incluye, principalmente, las alarmas y la configuración de entradas). Las fechas que aparecen pueden ser restauradas en el Administrador de copia de seguridad, por debajo de la columna restaurar fechas. Simplemente haga clic en una fecha y luego haga clic en Insertar. OSSIM realiza la restauración y muestra el estado de la restauración de copias de seguridad más adelante en la sección de Eventos. Para eliminar un evento restaurado, haga clic en la fecha del evento en las fechas en la sección Base de Datos y haga clic en Eliminar. Ingresar al registro para que se refleje el cambio que se registro en los eventos de copia de seguridad, señalando que se ha eliminado, en qué momento, por quién, y el estado actual de la transacción.

16 Figura 3

17 Registro de Usuario

18 Registro de Usuario El usuario realiza un seguimiento de registro de usuario en movimiento OSSIM, como se muestra en la Figura 4 - Herramientas> Registro de usuario. Figura 4

19 El filtro le permite ordenar las entradas del registro por el usuario y / o por acción. Por defecto, todos los usuarios y las acciones se muestran por fecha. La acción de registro de usuario muestra la fecha de la acción, el usuario que realiza la acción, la dirección IP del equipo que realizó la acción, el código, y una descripción de la acción. Las entradas del registro muestran 50 entradas a la vez, puede utilizar las flechas por encima de la mesa de registro para navegar en las páginas de registro. Herramientas> Descargas Las descargas proporcionan enlaces a las secciones de los paquetes del software preconfigurado para el funcionamiento de Ossim, Actualmente incluye: Osiris Astucia OCS FW1Loggrabber Python

20 CONFIGURACION

21 Configuración> principal La página principal de la sección de configuración le permite configurar el aspecto y la configuración del sistema general, (ver figura 5 Configuración> Principal.) Figura 5

22 Para asegurarse de que tiene los datos mas recientes disponibles, haga clic en el botón Actualizar configuración. Esto guarda la configuración de los datos mostrados en esta página. Para volver a la configuración inicial, puede hacer clic en restaurar valores predeterminados. Hay 17 diferentes secciones que se pueden configurar desde esta página. Ellos son: Idioma Servidor FrameworkD Snort Osvdb Métrica Grupo Ejecutivo phpgacl PHP RRD Enlaces Copia de seguridad Nessus ACID Aplicaciones externas Acción del usuario logging Visor de sucesos en tiempo real Cada sección proporciona una breve descripción de lo que se está configurando. La mayoría de parámetros se puede ajustar usando los cuadros de texto o menús desplegables. Tenga especial cuidado al actualizar contraseñas, Por favor, recuerde que muchas de las cosas no funcionarán correctamente si no dan las contraseñas correctamente. Una vez que haya terminado, haga clic en Actualizar configuración para guardar los cambios.

23 Configuración> Usuarios Usuarios de la página le permite ver la lista de usuarios disponibles, (ver figura 6 - Configuración> Usuarios), así como realizar una serie de tareas administrativas para las cuentas de usuario. Figura 6

24 Para trabajar con un usuario existente, puede cambiar su contraseña de la cuenta o actualizar su perfil. Haga clic en Cambiar Contraseña en la columna Acciones del nombre de usuario deseado. Cambiar la contraseña aparece la pantalla, introduzca su nueva contraseña y volver a escribir con fines de seguridad y, a continuación, haga clic en Aceptar. Recuerde que debe elegir una contraseña que no es fácil de adivinar por las personas que conozca. Volver a los Usuarios en la página, puedes actualizar los perfiles de cuenta de usuario, incluidos los permisos, etc haciendo clic en Actualizar en la columna Acción en nombre de usuario. Modificar en la página de usuario, puede cambiar el nombre de usuario (pero no de acceso), dirección de correo electrónico, empresa, departamento y nombre con los cuadros de texto. Puede establecer permisos para permitir la selección de las redes, permitir sensores, así como pantallas de OSSIM que son accesibles para el usuario. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página de usuarios. También puede crear una nueva cuenta de usuario haciendo clic en Insertar nuevo usuario de la parte inferior de la página Usuarios. Insertar a un nuevo usuario es similar a la actualización de la pantalla del usuario que se ha mencionado anteriormente. Usted debe agregar un usuario de acceso, un nombre de usuario, dirección de correo electrónico, nombre de la empresa, departamento, así como una dirección de correo electrónico válida (que debe volver a tipo por motivos de seguridad). Como se mencionó anteriormente, se pueden establecer permisos para permitir la selección de redes, de sensores, así como pantallas de OSSIM que son accesibles para el usuario. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página donde los usuarios el nuevo usuario aparece en la tabla.

25 Configuración> Plugins Los plugins son utilizados por OSSIM para aceptar el sensor de entrada, o para enviar preguntas a los sensores del monitor. Su configuración es revisable a través del marco (ver Figura 7 - Configuración> Plugins). Toda la información que se encuentre aquí sólo puede ser editada dentro de la base de datos de OSSIM. Esta interfaz se compone de cuatro partes o columnas. Figura 7

26 El ID es el número interno que OSSIM utiliza para rastrear diversos plugins. Cada plugin tiene un plugin ID. Cada plugin utiliza este número y sus sub-id. Sub-ID se pueden ver haciendo clic en el hipervínculo ID. El nombre es el nombre de la extensión asignada a la extensión ID. Esto puede ser cualquier cadena, pero debe ser descriptivo. El tipo es el tipo de plugin. Detector es un tipo de plugin que OSSIM utiliza para enviar datos al servidor.monitor es un plugin que OSSIM realiza los tipo de consultas de información. Descripción de la información adicional es utilizada para aclarar el propósito de un plugin. Esto es muy útil cuando un plugin tiene un nombre particularmente oscuro.

27 Configuración> Plugins> DIM El Plugin de SID es el número interno OSSIM que utiliza para rastrear los mensajes de diferentes sensores. Por ejemplo, hay un único plug-insid para cada alerta snort que genera (ver la Figura 8 - Configuración> Plugins> DIM). Algunos parámetros para DIM podrán ser editados aquí. Esta interfaz se compone de ocho columnas. Figura 8

28 El plug-in es el número interno OSSIM que utiliza para rastrear diversos plugins. Cada plugin tiene un plugin ID. Cada plugin utiliza este número y sus sub-id. El Sid es el número utilizado por OSSIM para discriminar los mensajes de plugin. Tenga en cuenta que las dos columnas siguientes sólo se aplican a la snort plugin: La categoría es utilizada por el sensor de snort para identificar el archivo de las reglas del snort cuando son almacenados. Tradicionalmente, estas reglas se almacenan en / etc / snort / normas sobre el sensor de aceptacion. La clase es una clasificación para las alertas de snort. Ellas tienen diferentes números de identificación, que figuran entre paréntesis. Hay tres tipos de clases: crítica, intermedio y bajo riesgo. El cuadro que figura a continuación es la lista de la clase. Cuadro 1 - Clases de Snort El nombre es una cadena asignada a la DIM. Esto puede ser cualquier cadena, sino que debe ser el mensaje generado por el sensor. La prioridad es un número usado para calificar las alertas de OSSIM con diferentes niveles. Es un valor numérico de 0 a 5. 0 es la prioridad más baja y se indica que debe pasar por alto OSSIM DIM,1 es la prioridad más baja, mientras que el 5 es el más alto. La fiabilidad es una medida de estado de funcionamiento. Se trata de un valor de 0 a 10 donde 10 es la más fiable y 0 es el menos. Fiabilidad se lee como una décima parte de un porcentaje. Es decir el 4 significa que hay un 40% de probabilidad de que esta norma es precisa en esta etapa de la directiva. La columna Acción contiene un botón Modificar. Al hacer clic en el botón guarda los cambios en la columna de prioridad y fiabilidad en la base de datos de OSSIM. En este momento es necesario cambiar el plugin por plugin sid por sid, esto significa que puede cambiar la prioridad o la confiabilidad de un valor justo para el plugin sid cada vez.

29 Configuración> Config RRD La configuración RRD permite la configuración de las alertas RRD OSSIM. Alertas RRD son la base de datos Round Robin alertas. Ntop utiliza estas bases de datos para almacenar información sobre el tráfico de la red que se analiza. OSSIM pregunta a estas bases de datos y genera las alertas sobre la base de la configuración aquí. En RRD las múltiples configuraciones son posibles. Estas configuraciones pueden ser establecidas y utilizadas para las máquinas, redes, grupos de red o de política, y para generar eventos / alarmas RRD. RRD Config es donde se definen estas configuraciones. Hay un cuadro que se utilizará para el control de estos en la interfaz de usuario (vea la Figura 6 - Configuración> Config RRD). Esta es una cuestión interesante en OSSIM. Por ejemplo, usted quiere una alarma generada por todos los hosts en su red que intenta enviar más de 10 correos electrónicos en un minuto, el comportamiento podría ser un virus de la ampliación. Pero, por supuesto, podría ser un servidor de correo, por lo que necesita para disminuir la sensibilidad del servidor de correo (el aumento de umbral) la asignación de un perfil RRD a ella. Figura 9

30 El cuadro de configuracion RRD tiene dos columnas. También cuenta con un hipervínculo para la incorporación de nuevos perfiles de RRD. Perfil es el nombre del perfil de configuración de RRD. Este nombre se define por el usuario. OSSIM utiliza este nombre en otras secciones de la interfaz para identificar los diferentes perfiles que se han configurado. Acción es la posible opcion que puede llevarse a cabo para ese perfil. Acciones son los hipervínculos que se especifica la acción al hacer clic. Acciones pueden ser Modificar o Borrar. Modificar se usa para cambiar la configuración de un perfil. Borrar elimina el perfil de configuración de la base de datos de OSSIM. Modificar es la única acción disponible para el perfil mundial. OSSIM requiere el perfil RRD para un correcto funcionamiento. La inclusión de nuevas RRD es el perfil de un hipervínculo que utiliza para añadir otro perfil para RRD OSSIM. Podrá asignar a algún objeto en la formulación de políticas para adaptarse a sus específicas características.

31 Configuración> Config RRD> Modificar / Nueva RRD Config Configuración> Config RRD> Modificar / Nueva configuración de los perfiles RDD es donde puede ser editado. La edición de la página web es editar una tabla con los valores de parámetros posibles (ver la Figura 10 - Configuración> Config RRD> Modificar / NUEVA RRD Perfil). Figura 10

32 Modificar la tabla de la configuración RRD muestra todos los posibles atributos que pueden ser modificados para el perfil de RRD. Hay siete columnas en esta tabla. Atributo es el nombre del valor del RRD que debe vigilarse. Este valor se define en la configuración de ntop y la base de datos de OSSIM. La instalación por defecto muestra todos los valores que interesan a la mayoría de los usuarios de OSSIM. Umbral es el valor absoluto por encima de la cual una descripción se creará por OSSIM. Se creará una alerta si ntop informa este valor. La unidad de medida para este número es completamente dependiente del atributo. Si el atributo se fragmento por Bytes, entonces el valor de umbral es el valor absoluto de bytes. Si el atributo se fragmento por paquetes entonces el valor de umbral es el valor absoluto de los paquetes de difusión. Prioridad es el valor de prioridad asignada a esta alerta RRD. El valor de prioridad debe estar entre 0 y 5. Muy probablemente este y los valores umbral, son los que tendrá que cambiar. Alfa es la adaptación que intercepta parámetros. El valor debe estar entre 0 y 1, donde un número mayor significa que la interceptación se adapta rápido. Este valor también se utiliza para gamma. Normalmente no es necesario cambiar esta situación. Beta es la pendiente para la adaptación de parámetros. El valor debe estar entre 0 y 1. Normalmente no es necesario cambiar esta situación. La persistencia es el tiempo en minutos, el caso debe tener una duración antes que se genere una alerta. Activado es una casilla que indica si el atributo dado será objeto de seguimiento.

33 Configuración> Registros de Acción del usuario La Pagina del Registro de la acción del usuario le permite determinar qué debe realizar un seguimiento de los registros OSSIM y almacenar, como se muestra en la Figura11 - Configuración> Acción del usuario Registros. Una serie de registros de usuarios de acción se seleccionan por defecto. Para quitar una, simplemente desactive la casilla de verificación, o seleccione la casilla de verificación para activar el registro. Una vez que haya terminado de hacer cambios, haga clic en Actualizar configuración para que los cambios surtan efecto. Figura 11

34 Configuración> Incidentes Plantilla de correo electrónico La plantilla de correo electrónico de los incidentes le permite crear plantillas para la creación de cuando se trabaja con los incidentes, tal como se muestra en la Figura 12 - Configuración> Incidentes Plantilla de correo electrónico. Figura 12

35 Para trabajar con una plantilla, puede seleccionar una plantilla de etiqueta desde el panel de la izquierda de la ventana y aplicar la etiqueta (estos son similares a las macros) e insertarlos en la plantilla de correo electrónico utilizando las teclas direccionales. Todos los cambios se realizan en las secciones del asunto y el cuerpo utilizando estas flechas o actualizando manualmente de los cuadros de texto. Para ver una imagen fiel de su trabajo, haga clic en Vista previa. A continuación aparece una vista previa de la plantilla de editor. Realizar más cambios, simplemente volver a la pantalla y seguir editando. Una vez completa, puede haga clic en Restaurar valores predeterminados para descartar los cambios o haga clic en Guardar plantilla para guardar los cambios. Sustitución de palabras clave La sustitución de palabras clave son las variables que interpretan sus correspondientes valores. En la tabla a continuación se enumeran las palabras clave disponibles (ver el cuadro 2 - lista de palabras clave). Las palabras clave se pueden utilizar para personalizar los correos enviados por los incidentes. OSSIM sustituye las palabras clave con los apropiados valores. Palabra clave ID NO INCIDENT TÍTULO Cuadro 2 - lista de palabras clave Descripción ID del incidente de la base de datos de identificación El incidente humanos orientados hacia el El título asignado a la incidente EXTRA_INFO CHARGE_NAME IN_CHARGE_LOGIN IN_CHARGE_ IN_CHARGE_DPTO IN_CHARGE_COMPANY PRIORITY_NUM PRIORITY_STR TAGS CREATION_DATE ESTADO CLASE TIPO Incidente relacionado con la información La persona actualmente a cargo de resolver el incidente El ingreso de la persona actualmente a cargo de resolver el incidente El correo electrónico de la persona actualmente a cargo de resolver el incidente El departamento de la persona actualmente a cargo de resolver el incidente La compañía de la persona actualmente a cargo de resolver el incidente La prioridad del incidente en el número de 1 (bajo) a 10 (alto) La prioridad de la cadena de formato: Bajo, Medio o Alto La información adicional de las etiquetas adjuntas a los hechos Cuándo fue creado el incidente? La situación actual: abrir o cerrar El tipo de incidente: Alarma, Evento, Métrico El incidente de la categoría o grupo Ejemplo 63 ALA63 cambio de MAC detectado en la zona desmilitarizada Fuente PI: John Smith jsmith jsmith@example.com Soporte Técnico Ejemplo Inc. 8 Alto NEED_MORE_INFO :40:53 Abrir Alarma Política de Violación

36 LIFE_TIME TICKET_DESCRIPTION TICKET_ACTION TICKET_AUTHOR_NAME TICKET_AUTHOR_ TICKET_AUTHOR_DPTO TICKET_AUTHOR_COMPANY TICKET_ _CC TICKET_HISTORY TICKET_INVERSE_HISTORY El tiempo transcurrido desde la creación del incidente La descripción llena de billetes por el autor La acción presentada por el autor de billetes La persona que acaba de crear un nuevo ticket El correo electrónico de la entrada de autores El departamento de la entrada de autores La empresa de la entrada de autores Quién (nombre y correo electrónico) recibió este mensaje de correo electrónico también? La lista completa de las entradas relacionadas con este incidente La lista completa de las entradas relacionadas con este incidente 1 Día, 10:13 MAC detectado un cambio en dmz1.int de acogida Investigar el incidente lo antes posible Sam Max smax@example.com operaciones de red Algunos Ejemplo Inc. / "John Smith /" jsmith@example.com

37 Configuración> Actualizar Actualización de la página muestra el número de versión de la actual construcción de OSSIM que está usando, como se muestra en Figure 13 Configuración> Actualizar. Figura 13

38 Si cualquier actualizacion está disponible, se reflejaria en la sección mencionada. Una lista de actualizaciones no críticas figura a continuación en la sección de todas las actualizaciones. Esto también incluye actualizaciones publicadas anteriormente que podría no ser la más reciente - por ejemplo, es posible que ya ha instalado la versión C3 de una actualización, por lo que no es necesario desde la última actualización, también incluye las actualizaciones anteriores. Esta sección también ofrece una breve reseña de lo que se actualizó o fijo en la emisión. Es importante señalar que este vínculo aparecerá después de inicio de sesión hasta que el sistema está actualizado. La página se puede visitar con regularidad a fin de que usted este en la parte superior de las últimas actualizaciones o parches disponibles para OSSIM.

39 CORRELACION

40 Correlación> Directivas Las directivas son un mecanismo que OSSIM utiliza para generar alarmas. Directivas podría ser un poco similar a las firmas del snort; Los byte en lugar de coincidir en las cadenas de bytes de datos coinciden con las directivas de mensajes de alerta generado por snort y otros sensores (Punto de plugin, plugins de Cisco, ventanas.). Hay dos tipos de normas utilizadas, los detectores y monitores. Mostramos un ejemplo con una Directiva. Puede manejar y Monitorear el detector de normas dentro de él. Los detectores generan alertas que desencadenan acciones. Figura 14 - Correlación> Directivas del detector tiene dos reglas. Tanto de los detectores en este ejemplo son generadas por snort. La primera es Intrusion_rule. La segunda es la respuesta de ataque. El resto de reglas son los monitores. Los parámetros de las directivas no se pueden modificar usando la interfaz de OSSIM (ver la Figura 15 Correlación> Directivas). Nuevas directivas deben ser creadas y editadas en la directiva archivos XML (/ etc / ossim / servidor / directives.xml). El visor de la Directiva está compuesto por dos paneles. El panel de la izquierda es una lista de todas las directivas que utilizan actualmente EL OSSIM. El panel de la derecha contiene detalles de la directiva actualmente seleccionado del panel izquierdo. El panel de la derecha es un árbol que muestra los detalles de las reglas con múltiples filas y columnas. Los elementos del árbol puede ser ampliado y se desminuido, haciendo clic en el + y - en el extremo hipervínculos lado izquierdo del panel. Cada fila representa una norma diferente para hacer una directiva. El servidor OSSIM crea un evento después de cada regla en una directiva partida. Hay once diferentes columnas que muestran los diferentes parámetros de cada regla. La alarma se generará si este evento tiene bastante riesgo.

41 Figura 14

42 Figura 15

43 Nombre es el nombre de la regla. La fiabilidad es una medida de estado de funcionamiento. Se trata de un valor de 0 a 10 donde 10 es la más fiable y 0 es el menos. Fiabilidad se lee como una décima parte de un porcentaje. Es decir el 4 significa que hay un 40% de probabilidad de que esta norma es precisa en esta etapa de la directiva. Time_out es la duración de un evento se controla en segundos. La norma es dar un seguimiento de ese período de tiempo en busca de los criterios especificados. Ocurrencia es el número de veces que debe coincidir con una norma antes de que se active. From es de la dirección IP de tráfico que está fluyendo. Desde el campo puede tener una dirección IP, o una de las tres palabras clave: NINGUNA, SRC_IP, o DST_IP (ver el cuadro 3 - Palabras clave de la Directiva). Estas mismas palabras se pueden utilizar en el campo. Estos campos se utilizan una serie, que identifica el nivel de la norma que ha de tener la información (IP o puerto). Cuadro 3 - Palabras clave de la Directiva SRC_IP La Dirección IP de la fuente utilizada en la norma especificada DST_IP La dirección IP de destino utilizados en la norma especificada SRC_PORT El puerto de origen utilizados en la norma especificada DST_PORT Utiliza el puerto de destino especificado en la norma CUALQUIER Cualquier posible valor para el campo dado To es la dirección IP para el tráfico de fluido. It Puede utilizar una dirección IP específica o de cualquiera de las tres palabras mencionadas. Port_From es el número anfitrión del puerto que el tráfico fluye de. El campo Port_From puede tener una lista separada por comas de los números de puerto específicos, o una de las tres palabras clave: NINGUNA, SRC_PORT, o DST_PORT (véase el cuadro 3 - Palabras clave de la Directiva). Estas mismas palabras se pueden utilizar en el Puerto de campo. Puerto es el número de puerto de aceptacion que el tráfico fluye a.se puede utilizar un número de puerto o de cualquiera de las tres palabras mencionadas. Plugin ID es el número interno de OSSIM que utiliza para realizar un seguimiento de varios sensores. Esta columna indica el número, así como el nombre del particular plugin. Cada sensor tiene un plugin ID. Al hacer clic en el plugin DIM se selecciona una versión diferente de la pagina de configuración> Plugins. Plugin de SID es el número interno de OSSIM que utiliza para rastrear los mensajes de diferentes sensores. Por ejemplo, hay un único plug-in-sid para cada alerta que snort genera.

44 Correlación> Correlación Cruzada La correlación cruzada de OSSIM es la capacidad para relacionar a través de dos diferentes plug-ins. La correlación cruzada es usada para modificar la fiabilidad de un evento. Modificar este valor tiene efecto sobre el riesgo y, por defecto, en la generación de alarmas. La regla básica de las correspondencias cruzadas es la siguiente: si snort ha descubierto un ataque a la propiedad intelectual, y sabemos que el período de investigación que tiene la vulnerabilidad, la fiabilidad se cambiará a 10. Cuando una correlacion cruzada personalizada, añade el caso de la fiabilidad del nuevo plugin antiguo. En esta pantalla se enumeran los datos generados acompañado por correlación cruzada (ver la Figura 16 - Correlación Cruz). Figura 16

45 Correlación> Cartera El atraso es algo instantáneo del motor de correlación de OSSIM en el tiempo. Esta página, cuando se carga, muestra los datos actuales interpretados por el motor de correlación (véase la Figura 17 - Correlación> Cartera). Esta pantalla se puede utilizar para depurar el sistema y OSSIM o reglas. Figura 17 Puede ver el numero de directiva entre paréntesis (en la columna de la Directiva) y si se ha combinado o no alguna regla.

46 PANEL DE CONROL

47 Panel de control> Panel de Ejecutivo El Grupo Ejecutivo OSSIM es de hecho el punto de partida de la aplicación OSSIM. Una vez que se conecte a OSSIM, el Grupo Ejecutivo, como se indica en la Figura 18 - Panel de control> Panel Ejecutivo. Figura 18

48 En general, es la "bienvenida" de la página, del Grupo Ejecutivo que le permite realizar una serie de cosas: Acceder a la ayuda en línea. Realizar una de las ocho tareas que realiza el sistema a menudo. Encontrar información adicional en el sitio web ossim.net. Haz clic en "Editar" para personalizar el hipervínculo OSSIM Grupo Ejecutivo. El Grupo Ejecutivo puede tener varios sub-grupos. Los grupos pueden ser configurados para mostrar la información de los módulos en todo OSSIM (ver la Figura 19 - Panel de configuración). Figura 19

49 Panel de control> agregados Riesgo La métrica pantallas o paneles, de los niveles de sistema de visualización gráfica de los ataques y compromisos, como se muestra en la Figura 20 - Panel de control> Métrica. Figura 20

50 El ataque y el compromiso son dos indicadores que tienen los monitores de OSSIM independiente debido a la potencial gravedad de su naturaleza. Ambos son el resultado agregado de riesgo representado por el seguimiento de los acontecimientos que afectan a los activos En la página métrica, un ataque representa el riesgo potencial de la máquina debido a los ataques en su máquina. En otras palabras, esto representa la posibilidad de un ataque, pero en realidad no indican que el ataque fue un éxito. El Compromiso indica que se ha cometido un ataque contra su máquina. Métrica de la página se divide en cuatro secciones distintas: El panel superior le permite seleccionar la duración de sus indicadores: las últimas 24 horas, la última semana, el último mes, o durante el año pasado. El panel central proporciona representaciones gráficas, o paneles, que muestran las cifras globales de administración, un Riskmeter, y de nivel de servicio. La parte inferior izquierda del panel proporciona información de compromiso. La parte inferior derecha del panel proporciona información de ataque. Puede hacer clic en el administrador grafico mundial de Métrica y aparecerá en una nueva ventana para facilitarle la visualización. Este gráfico observa cualquier ataque o compromiso, un ejemplo en la hora y la fecha que se haya producido. El grafico Riskmeter, que también puede ser más fácil de hacer solo haciendo clic para ver, la muestra de los ataques y compromisos a nivel mundial, la red y nivel de aceptacion. Esta pantalla es en tiempo real de monitor C & A. El Servicio de nivel gráfico que muestra el actual nivel de servicio en su máquina. La información del gráfico que se obtiene desde el mismo lugar que el Riskmeter la que podrá ver el historial de mediciones C & A. Puede hacer clic en el porcentaje de muestra y ver las cifras de nivel de administrador. Este gráfico le permite seleccionar la duración de tiempo que se muestra en el gráfico (últimos día, semana, mes o año), así como seleccionar si mostrar o no los ataques o compromisos. El compromiso y la sección de ataque en la parte inferior del panel de visualización de información es similar para los dos eventos. Cada evento se divide en dos tipos: global y las redes de grupos externos. La sección mundial contiene cuatro elementos de información: la puntuación global, el importe máximo de la fecha, el máximo y los niveles actuales. La puntuación Global cuenta con dos iconos: un gráfico de información y de insertar un símbolo. Al hacer clic en el símbolo gráfico, aparece la ventana de administración de la métrica mundial (exactamente como el de la parte superior del panel). El icono de insertar la información le permite configurar los ajustes de la métrica que inserta los nuevos incidentes. Usted puede modificar la propuesta de información con otro (si es necesario). Por ejemplo, usted puede solicitar un título con el incidente, establecer prioridades, definir el tipo, el objetivo, tipo de métrica y valor, así como horas de inicio y finalización de eventos relacionados. La Red de grupos que se encuentra fuera de la sección contiene información similar a las redes dentro de un grupo no definido en el Grupo de Política de la Red (ver Red de grupos). Cada red de afuera también contiene un gráfico y un icono de insertar la información como se detalla en el párrafo anterior.

51 En la parte inferior de la página de Métrica, aparece una leyenda que ilustra el porcentaje de umbral y su correspondiente riesgo mediante un código de color. Panel de control> Alarmas El panel de las alarmas muestra información acerca de cualquier intrusión o intento de intrusión de la red, como se muestra en la Figura 21 Panel de control> Alarmas. Figura 21

52 La página de las alarmas está dividida en dos paneles, el panel superior es un panel de búsqueda que le permite fijar la alarma de intrusión o criterios. Los resultados obtenidos aparecen en la parte inferior del panel de la página de la alarma. El panel de búsqueda le ofrece cuatro opciones para la localización de las alarmas o intrusiones: La casilla del filtro de verificación, si selecciona, abierto la nueva alarma queda abierta, si selecciona cerrado se establece en Cerrado. La fecha de la caja de texto le permite establecer un rango de fechas para la alarma deseada (s). Al hacer clic en el icono de calendario a la derecha del cuadro de texto, puede seleccionar la fecha de inicio y final mediante el calendario emergente. Al establecer una fecha, tenga en cuenta que la fecha debe seguir el año-mes el formato de fecha. La dirección IP cuadro de texto le permite establecer un origen y el destino de rango de direcciones IP para la alarma. alarmas por página cuadro de texto le permite establecer el número máximo de alarmas para mostrar por página. Una vez que haya establecido sus criterios de búsqueda, haga clic en Ir y los resultados aparecerán en la busqueda en el panel inferior de la página. Estas alarmas son los primeros retornos ordenados por fecha, usted puede optar por eliminar todas las alarmas para una determinada fecha, haga clic en Eliminar junto a la fecha para el bloque de alarmas. Si lo prefiere, puede eliminar una alarma de forma individual haciendo clic en el enlace antes mencionado que se encuentra también junto a la entrada de alarma en los resultados de búsqueda. La tercera manera de eliminar todas las alarmas en sus resultados de búsqueda es haciendo clic en Eliminar todas las alarmas en la parte inferior del panel de resultados del panel de búsqueda. En el panel inferior de la página de alarmas, hay una serie de secciones que proporcionan información útil cuando se trabaja con alarmas o intrusiones: La columna Alarmas muestra el nombre de la alarma de intrusión, o evento que se produce. Esto puede ser un nombre específico, o simplemente una descripción del evento, por ejemplo, "contra la posible intrusión vmossim". La columna riesgo muestra un número que indica la amenaza potencial a su máquina y de la red. Por ejemplo, un riesgo de 2 representa el mínimo riesgo para nuestro sistema. Por otra parte, un riesgo de 6, no sólo plantea importantes a riesgo de peligro para su equipo, también tiene una etiqueta con código de color indicando una mayor amenaza. La columna Sensor indica la dirección IP del dispositivo que detecta la alarma. La columna Desde indica la fecha en que se registró por primera vez en OSSIM ese ataque o intrusión. Que contiene la fecha, seguido por el tiempo. La columna última indica la fecha en que OSSIM detecto el último caso particular, con respecto a ese ataque o intrusión. Que contiene la fecha, seguido por el tiempo. La columna Fuente muestra la dirección IP y el número de puerto donde el primer caso de ataque o intrusión apareció. La columna Destino muestra la dirección IP y el número de puerto donde el primer caso de ataque o intrusión apareció. La columna de estado muestra si la alarma está configurada para abrir o cerrar. Puede configurar una alarma con el estado Abierto o Cerrado simplemente haciendo clic sobre el enlace Abrir. El enlace a continuación, muestra como cerrado. La columna Acción le permite realizar diferentes acciones de esta columna: en primer lugar, se puede eliminar una alarma como se mencionó anteriormente, haga clic en Eliminar. Alternativamente, puede configurar las propiedades de la alarma incidente haciendo clic en el icono Insertar la información a la derecha del vínculo Eliminar. Estas propiedades incluyen toda la información que aparece por una alarma en el panel Resultados de la búsqueda, como la alarma, el riesgo, sensores, etc.

53 POLITICAS

54 Política> Política Una gran parte de la conducta de ossim está configurada a través de esta sección. Los Activos deben ser definidos (tanto en la aceptacion y a nivel de red), acciones de IPS y las respuestas se pueden configurar y los puertos, los sensores, los servidores y grupos de plugin deben ser definidos para la política de configuración. Esta sección controla parte de la colección, la priorización y la correlación núcleo de ossim, similar a una política de cortafuegos GUI. Se define un conjunto de fuentes, destinos, eventos, qué hacer con ellos, cómo y con qué objetivos se aplica (lo que los servidores / sensores para aplicar la política). Política de la página muestra la "política" para su sistema, como se muestra en la Figura 22. La política es esencialmente un grupo de ajustes que manejan el comportamiento y la seguridad. Aquí usted puede sintonizar OSSIM en múltiples formas, especificando qué es lo que quiere hacer con ciertos eventos o alarmas. Esta página le permite ver los ajustes y crear nuevas políticas cuando sea necesario. Cada vez que se modifique la política lo mejor es reiniciar el servidor, ya que modifica algunos detalles internos.

55 Figura 22 De forma predeterminada, no hay políticas, por lo que puede crear una haciendo clic en Insertar nueva política. La página para insertar la nueva política le permite establecer los siguientes bits de información a través de la utilización de casillas de verificación de radio y cajas:

56 Básicamente durante la edición de una política que tenga los siguientes campos para rellenar / ajustar: Fuente Este campo especifica el origen de los acontecimientos que queremos igualar.los eventos que no tienen un objetivo o una meta que no tiene sentido (cambios de SO, cambios de mac, nuevo servicio, la vulnerabilidad identificada, etc.). Fuente puede tomar uno de tres valores: 1. Cualquier host definido en Política> Ejércitos 2. Toda la red se define en la política -> Redes 3. El valor especial alguno. Destino Aquí se estableció el objetivo de un evento. En caso de que no tiene un objetivo (os, mac, servicio, etc.) debe ser definido como cualquier, este bjetivo será insertado como si está insertada en un campo obligatorio ip. Destination, again, can take one of three values: Destino, de nuevo, puede tomar uno de tres valores: 1. Any host defined at Policy --> Hosts Cualquier host definido en la política -> Ejércitos 2. Any network defined at Policy --> Networks Toda la red se define en la política -> Redes 3. The special value any. El valor especial alguno. Puerto de Destino Puerto de destino se especifica el puerto de destino de un caso y puede ser definido en virtud de Política> Puertos. Prioridad Cada uno de los eventos llega con su propia prioridad y fiabilidad, que es tomado de la PP. Además de los eventos pueden ser agregados en virtud de las nuevas prioridades y fiabilidad de las alarmas. Ambos tipos de eventos pueden ser perfeccionados mediante políticas y controles de este parámetro para ajustar la forma en la prioridad. La prioridad se puede seleccionar de una lista y puede tomar los siguientes valores: No ajuste (-1) Todos ellos son automaticos, "No ajuste" deja intacta la prioridad, 0 hace invisible para el caso de cualquier cosa relacionada con el riesgo dentro de ossim.

57 Plugin de Grupos Cada caso es singularmente definido por dos números, el "plug-in de identificación" y "plug-in DIM". El uso de grupos la Política> Plugin puede definir uno o más grupos adecuados para su póliza. Sensor Este es el sensor que debe generar los eventos de esta política. Puede configurar los sensores en virtud de Política> Sensores. Rango de tiempo Aunque algo limitado en este momento nos permite un tiempo de inicio y final la definición de la política. Meta Cuando se "instala esta política. Efectivamente, no se instala en los objetivos seleccionados, pero dice que el objetivo ha de tener en cuenta esta política. Luego en conjunto Política> Servidores. (NOTA: Esto se agrupan junto con los sensores en virtud de "objetivos"). Los objetivos válidos a partir del 2007/04/02 son servidores, su nombre debe coincidir con el <server name=""> entrada en / etc / ossim / server / config.xml. Por ejemplo, "serverup" aquí: <server port="40001" name="serverup" ip=" "/> <server port="40001" name="serverup" ip=" "/> Caso las variables Estos son algunas opciones "sí / no" que le dicen a los objetivos de qué hacer con el caso una vez que haya combinado: Correlacionar los eventos: En caso de que se pongan en venta el caso de ser utilizados para la correlación? Correlacionar eventos cruzados: Para cruzar-plugin o identificaciones, las identificaciones del servicio correlación? Tienda eventos: En caso de que sean almacenados? Calificar los acontecimientos: Afectan las cifras de riesgo? debe modificar el objetivo prioritario o C & A los niveles? Reenviar alarmas: En caso de que las alarmas generadas en estos eventos se reenvíen a otros servidores? Reenviar eventos: En caso de ser reenviados a otros servidores? Descripción Sólo eso, una simple descripción. Varias de estas opciones le permiten añadir nuevas opciones, si la lista de opciones disponibles no se ajusta a sus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo sensor de vínculo por debajo de la cabecera de los sensores, a añadir un sensor a la lista de los sensores. Una vez que haya terminado, haga clic en Aceptar. Aparece un diálogo que indica que su política se ha creado con éxito, haga clic en Atrás.

58 Puede hacer clic en Actualizar si no aparece. Si desea modificar o eliminar la política, puede hacerlo utilizando los enlaces de la columna Acción. Si optan por modificar el evento, la actualización de la página aparece la política de mostrar la misma lista de opciones que se ha mencionado anteriormente el mantenimiento de las casillas de verificación y seleccione las casillas. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para volver a sus parámetros iniciales. La política de configuración tiene el siguiente aspecto: Figura 23

59 Política> Ejércitos La pagina de los Ejércitos muestra la lista de los nombres de las máquinas, así como la información pertinente acerca de ellos, como se muestra en la Figura 24 - Política> Ejércitos. Figura 24

60 En la columna Acción, puede modificar uno de los nombres de host. Una vez que haga clic en Modificar para el nombre de host, puede modificar los siguientes elementos de información: Hostname IP Valor Umbral C: RRD se generará eventos si este valor es superado. Un umbral: RRD se generará eventos si este valor es superado. RRD Perfil: Es necesario definir un perfil de RRD, por defecto, si seguro. NAT Sensores Insértese un nuevo sensor? Opciones de exploración OS Dirección Mac Mac proveedores Descripción Detalles acerca de estas opciones que se pueden encontrar en la Política> Detalles de la sección. Varias de estas opciones le permiten añadir nuevas opciones, si la lista de opciones disponibles no se ajusta a sus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo sensor de vínculo por debajo de la cabecera de los sensores a añadir un sensor a la lista de los sensores. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para volver a sus parámetros iniciales. También puede optar por crear una nueva haciendo clic en Insertar aceptacion de la nueva página de los Ejércitos. La página para insertar la aceptactacion muestra la misma lista de los parámetros mencionados anteriormente que se puede configurar. Una vez que haya terminado, haga clic en Aceptar. Aparece un diálogo que indica que su política se ha creado con éxito, haga clic en Atrás.

61 Política> Redes La pagina de las redes muestra la lista de redes disponibles para tu sistema, así como la información pertinente para la red, como se muestra en la Figura 25 - Política> Redes. OSSIM en general tendrá que definir todas las redes de donde usted desea obtener información. Figura 25

62 Al igual que en las otras pestañas para las Políticas, puede modificar, eliminar o añadir una red. Para modificar una red existente, haga clic en Modificar en la columna Acción. Una vez que haga clic en Modificar, En la pagina de la red aparece Modificar, lo que le permite modificar los siguientes ajustes: Netname IP Valor Umbral C Umbral A RRD Perfil Sensores Opciones de exploración Descripción Los detalles acerca de estas opciones se pueden encontrar en la Política> Detalles de la sección. Varias de estas opciones le permiten añadir nuevas opciones, si la lista de opciones disponibles no se ajusta a sus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo sensor de vínculo por debajo de la cabecera de los sensores a añadir un sensor a la lista de los sensores. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para volver a sus parámetros iniciales. Si decide crear una red, puede hacerlo desde la página haciendo clic en Redes Insertar nueva red. La misma lista de configuraciones está disponible para usted que se enumeran más arriba. La única diferencia es que al crear una nueva red, puede configurar múltiples o un rango de direcciones IP. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para volver a sus parámetros iniciales.

63 Política> Red de grupos En la pagina de la Red de grupos se enumeran los grupos de red disponibles para su máquina, como se muestra en la Figura 26 - Política> Red de Grupos. Puede utilizar esta opción para organizar sus redes. Figura 26

64 De forma predeterminada, la Red de grupos de la página está vacía. Al igual que en las otras pestañas para las Políticas, puede modificar, eliminar o añadir un grupo de red. Para ello, haga clic en Insertar nuevo grupo de red. Puede configurar los parámetros para las siguientes actividades: Nombre Redes Umbral C Umbral A RRD Perfil Opciones de exploración Descripción Detalles acerca de estas opciones se pueden encontrar en la Política> Detalles de la sección. Varias de estas opciones le permiten añadir nuevas opciones, si la lista de opciones disponibles no se ajusta a sus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo enlace de red debajo de la cabecera de las redes para añadir una red personalizada a la lista de redes disponibles. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la Red de grupos de la página. El nuevo grupo de red aparece en la Red de grupos de la página, para modificarlo, simplemente haga clic en Modificar las columnas de la acción. La información anterior relativa a la creación de un nuevo grupo de red también se aplica cuando la modificación de un grupo de red.

65 Política> Detalles (Dentro de los Ejércitos, Red de Redes y grupos) Detalles de la política de permitir la configuración de monitores activos de OSSIM. Los activos incluyen Servidores, Redes, Red y Grupos. Si bien estos no son similares, también tiene diferentes parámetros (por ejemplo, frente a la red de aceptacion PI PI), todos comparten en común una serie de opciones (ver 27 - Política de Detalle). Figura 27

66 Las opciones comunes incluyen activos, C Umbral, Umbral A, RRD Perfil, Sensores, y Opciones de exploración. Activo, Umbral C y Umbral A todos los valores utilizados para calcular el valor CALMA riesgo de aceptacion y de algunos eventos específicos. Todas las otras opciones son exclusivas de los activos y se explica en su sección correspondiente. Los activos se utilizan para calcular el riesgo. El Riesgo es el producto de los Activos, la prioridad, y dividido por ten25 Fiabilidad. El ativo es un número entre cero y cinco. Asignar un valor en relación con el valor intrínseco de los activos, siendo 5 el valor más alto. La asignación de un alto valor de los activos de todo el equipo no es un uso eficaz del valor de los activos. C es el límite máximo de compromiso del valor aceptado; Si el anfitrión superar gracias a algunos eventos, que se publicará en el Panel de control Pagina Métrica. Las alertas tienen valores de compromiso y este valor indicar qué valores afectan a este host. El umbral A es el valor máximo ataque aceptado; Si el anfitrión superar gracias a algunos eventos, que se publicará en el Panel de control Métrica. Las alertas tienen valores de ataque y este valor indica lo que afecta en particular, a los valores de aceptacion. El perfil RRD se utiliza para determinar lo que las alertas se generan sobre la base de estadísticas ntop y la capacidad de predicción. Los perfiles RRD se definen en OSSIM> Configuración> Config RRD> Modificar / Nueva RRD Config.

67 Política> Sensores Los sensores están conectados y se configura a través de la Política> Sensores de interfaz. OSSIM utiliza sensores para recopilar datos. La información en esta tabla puede cambiar cuando la página web se actualize. Hay dos cuadros en esta interfaz (ver Figura 28 - Política> Sensores). Figura 28

68 El primer cuadro es una simple visión del conjunto de sensores. Los sensores son sensores activos hablando con el servidor OSSIM en el momento en que el sensor de la página fue cargada. El total de Sensores es el número de sensores configurados dentro de la base de datos de OSSIM. Este total incluye los sensores que se comunican con el servidor, los sensores que no comunican con el servidor, y los malos sensores. El número total de sensores incluidos en el número de líneas en el segundo cuadro. La segunda tabla se enumeran todos los sensores y su configuración. Esta información procede de la base de datos de OSSIM. Hay cinco columnas en esta tabla. IP es la dirección IP de un sensor con un agente de OSSIM. Este campo debe ser una dirección IP válida accesibles desde el servidor OSSIM (aunque es el agente que inicia la conexión por lo general). El sensor utiliza esta dirección para conectarse al servidor OSSIM. Hostname es el nombre del host. El nombre de la máquina no tiene que ser el nombre del host según lo reportado por el sensor. Esto no tiene nada que ver con el nombre DNS, es el nombre que se dará a ese anfitrión en OSSIM. Prioridad determina cómo acoge los vínculos de lossensores dentro de los informes de aceptacion. Una puede tener múltiples sensores y la más alta prioridad es el primer sensor vinculados a la aceptación.la prioridad puede ser un valor en el rango de cero a diez. Puerto de destino es el puerto de red que el agente utiliza para comunicarse con el servidor OSSIM. Esto puede ser cambiado para facilitar el acceso a través de un firewall, el reenvío de puertos o alguna técnica de ofuscación. Cambiar el número de puerto no está recomendado para usuarios principiantes de OSSIM. Cambio que exige un cambio de configuración en el agente de OSSIM, potencialmente, el host donde está instalado el agente, y otros componentes de la red. Identificar si activa o no un sensor se activa o no. Los sensores activos son los sensores que tienen una comunicación conel servidor OSSIM. El verde indica un sensor activo. Un rojo indica que un sensor no está comunicando con el servidor OSSIM. Descripción es un texto utilizado para describir el sensor. Se trata de un ámbito de especial utilidad para redes complejas, o cuando los sensores no tienen nombres descriptivos. La descripción debe ser utilizada para aclarar lo que el sensor es en realidad. Acción contiene hipervínculos con tres opciones para cada sensor: Modificar, Eliminar, & Interfaces. Modificar se usa para cambiar la configuración del sensor. Modificar el uso para reparar o actualizar sensores malos descripciones como la red que vigila los cambios. Borrar elimina los sensores de la Base de Datos de OSSIM. Eliminar sensores no utilizados y que ya no tienen datos. Interfaces le llevará a la interfaz de pantalla para definir las interfaces que Ntop ver (si los hubiera). Advertencia: Si elimina la información del sensor sensores desvincula los datos almacenados en la base de datos. Esto significa que usted no puede ser capaz de averiguar de dónde vinieron los datos antiguos en su base de datos. Eliminación de un sensor que elimina la información.

69 Política> Servidores La página de los servidores muestra la lista de servidores chicos disponibles para su máquina. Esto incluye el número de chicos activos y el total de servidores. A la izquierda, usted verá "El servidor master..." Este es el principal servidor - la instalada de este servidor - le informa si está activo o no. Tenga en cuenta que si usted tiene sólo un servidor (un nivel de arquitectura), no verá ninguo de los servidores que aparecen en la tabla - sólo verá el "El servidor maestro". Esta página también incluye otra inform ación pertinente, como se muestra en la Figura 29. Figura 29

70 Al igual que las demás pestañas de las Política, puede modificar, eliminar o añadir un servidor a su sistema. Para insertar un nuevo servidor, haga clic en Insertar nuevo servidor, que se encuentra en la parte inferior de la página. Una vez que el servidor de la página Insertar nuevo, puede establecer las siguientes opciones: Hostname IP Puerto Correlacionar los eventos Correlacionar eventos cruzados Store eventos Calificar los acontecimientos Reenviar alarma Reenviar eventos Descripción Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página Servidores. Para modificar un servidor existente, haga clic en Modificar en la columna Acción para el servidor. La única diferencia entre la adición y modificación de un servidor es que no se puede modificar el nombre de host al hacer modificaciones. Si has cometido un error en el establecimiento del nombre de host, es mejor eliminar el servidor y crear una nueva. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página Servidores.

71 Política> Puertos La página de los Puertos da la lista de puertos disponibles y grupos de puerto, como se muestra en la Figura 30. Figura 30

72 Al igual que los demás pestañas de la Políticas, puede modificar, eliminar o añadir un puerto o grupo de puerto a su sistema. To haga clic en Insertar nuevo Puerto Grupo, que se encuentra en la parte inferior de la página. Una vez que el grupo Insertar en la pantalla un nuevo, añadir un nombre, elija un puerto o los puertos, así como añadir una descripción. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página Puertos. Para añadir un nuevo puerto, haga clic en Insertar nuevo puerto de la parte inferior de la página Puertos. Añadir un número de puerto, seleccione un protocolo, escriba un nombre de servicio, y agregar una descripción. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página Puertos. El nuevo puerto aparecerá en la lista de puertos disponibles cuando se añade un nuevo puerto grupo. Aunque no se puede modificar un número de puerto que ha creado, usted puede hacer modificaciones a su puerto de grupo. Para ello, haga clic en Modificar de la columna Acción. La única diferencia entre la modificación y la creación de un puerto del grupo es que no se puede modificar el nombre del puerto del grupo. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página Puertos

73 Política> Acciones La pagina Acciones muestra la lista de acciones programadas para su máquina. Por defecto, esta página está vacía, como se muestra en la Figura 31 - Política> Acciones. a continuación, se especifica la acción. Y aquí se puede definir las medidas que deban tomarse. Figura 31

74 Al igual que los demás pestañas de la Política, puede modificar, eliminar o añadir una acción a su sistema. Para insertar una nueva acción, haga clic en Agregar nueva acción, que se encuentra en la parte inferior de la página. Una vez en la pantalla de la nueva acción Añadir, debe introducir en primer lugar una descripción en el cuadro de texto. El tipo de campo le permite decidir si una solicitud puede llamar o enviar un a alguien, cuando proceda. Si selecciona "enviar un mensaje de correo electrónico", deberá introducir el remitente la dirección de correo electrónico, el destinatario de la dirección de correo electrónico, y el objeto del correo electrónico. Un cuadro de texto está disponible para usted para entrar en el cuerpo de su correo electrónico. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página Acciones. Si selecciona "ejecutar un programa externo", debe agregar la línea de comandos para la aplicación. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página Acciones. La palabra clave es la sustitución de una característica disponible aquí (ver Sustitución de palabras clave). Por favor, tenga cuidado; En la ejecución de programas externos puede ser un riesgo para la seguridad y debe hacerse con mucho cuidado. Para modificar una acción, haga clic en Modificar en la columna Acciones para la acción deseada. Please Tenga en cuenta que cuando se modifica un recurso, no puede cambiar el tipo de acción (si has seleccionado para enviar un , usted no puede cambiar de opinión y pedir una solicitud en lugar). Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página Acciones. Sustitución de palabras clave La Sustitución de palabras clave son las variables que interpretan con sus correspondientes valores. Esta característica está disponible en las acciones. Puedes echar un vistazo a las palabras clave de la política> Acciones. Las palabras clave se pueden utilizar con los scripts o s externo personalizado cuando llega una alarma. OSSIM sustituye las palabras clave con los valores apropiados. Todos los valores de la palabra clave se refieren a los campos de la alarma. Nota: esta es para los incidentes, no acciones.

75 Policy > Plugin Groups Política> Plugin Grupos La pagina de el plug-in de Grupos muestra el nombre de los diversos grupos de plugins, así como información relevante acerca de cada uno, como se muestra en la Figura 32 - Políticas> Grupos Plugin. Figura 32

76 Al igual que los demás pestañas de las Política, se puede modificar, eliminar o añadir un complemento a su sistema de grupo. Para insertar un nuevo plugin de grupo, haga clic en Insertar nuevo grupo, que se encuentra por encima de la mesa. Una vez que la pagina del plug-in de Grupos aparece, debe agregar un nombre y una descripción para el grupo mediante los cuadros de texto. A continuación, seleccione una o más plug-ins utilizando las casillas de verificación junto a la lista de los plugins. Una vez que seleccione un plugin, usted debe agregar su DIM utilizando el cuadro de texto que aparece junto al nombre del plugin. Haga clic en Aceptar cuando haya terminado, usted automáticamente volvera a la página de grupos de plug-in cuando el nuevo plug-in aparecerá en la parte inferior de la lista. Para modificar un plugin de grupo, haga clic en Editar de la columna Acciones del plugin grupo deseado. Todo menos el número de ID de grupo (que se asigna automáticamente a su grupo, cuando lo creó) pueden ser modificados. Una vez que esté satisfecho con sus cambios, haga clic en Aceptar. Automáticamente volver a la página de grupos de Plugin. Los plug-in son necesarios para la política, por ejemplo, Si desea utilizar sólo un plugin, tendrás que crear un grupo con sólo un plugin dentro de él. Con este enfoque, es mucho más fácil crear políticas complejas.

77 MONITORES

78 Monitores> Sesión (ntop) Son vistos a través de sesiones de Monitores> Sesión. Sesiones de TCP y UDP sesiones de comunicaciones entre las máquinas de una red de seguimiento. Son persistentes las comunicaciones entre dos hosts (si se trata de una sesión TCP). Los monitores de período de sesiones de OSSIM, cuando correlacionan los datos de la red. Nntop recopila y presenta información de este período de sesiones. Hay un sensor de selección y una tabla con la red de sesiones en esta interfaz (ver Figura 33 - Monitores> Sesión). Figura 33

79 El sensor de selección permite al usuario elegir en qué período de sesiones del sensor para ver el cuadro. El selector es la combinación de la caja debajo del menú OSSIM y sobre el protocolo TCP / UDP. El selector de listas de los sensores y redes. Las Redes se definen en Política> Redes. Active sesiones TCP / UDP en la tabla se enumeran todos los períodos de sesiones para el sensor. Hay diez columnas en este cuadro: Cliente es el nombre de host o dirección IP de la aceptación para hablar con un servidor. Un host es cualquier equipo, router, impresora, u otro dispositivo conectado a una red. Hay cuatro campos en esta columna. El primer campo es el nombre del host. ntop mostrará un nombre si puede resolver el nombre DNS o NetBIOS a través de, de la mejor dirección IP que se muestre. El segundo campo es opcional y entre paréntesis y se indica cómo se resolvió el nombre de host. El tercer campo es, El icono de Bandera indican que con un riesgo particular de aceptacion, donde el verde es bajo, el amarillo es medio, y rojo es de alto riesgo. Finalmente, el último campo es el número de puerto en el tráfico de la red de aceptación donde es originario ntop utiliza el archivo / etc / services en el servidor ntop para resolver con los números de servicio de nombres. Servidor es el nombre de host o dirección IP para aceptar las conexiones de los clientes. Un servidor normalmente acepta conexiones de varios clientes, ya que ofrece servicios a los clientes. Hay cuatro campos de esta columna. Estos campos son los mismos ámbitos que el cliente se ha descrito anteriormente (véase el Cliente). Los datos enviados es la cantidad de datos enviados desde el cliente en la conexión actual. Esto se da en bytes, kilobytes (KB), Megabytes (MB), etc Rcvd datos (datos recibidos) es la cantidad de datos recibidos desde el servidor de la conexión actual. Esto se da en bytes, kilobytes (KB), Megabytes (MB), etc Dado que se activa a la hora y la fecha cuando se inició este respecto. Esta vez es el momento en el servidor ntop. Último visto es el momento en que el seguimiento de la última conexión de la red. Este es el momento en el servidor ntop. Duración es la duración de la sesión de seguimiento. Esto es en el formato hh: mm: ss. La latencia es la grabación de latencia entre el cliente y el servidor.

80 Monitores> Red (ntop) Las redes son vistas a través de ntop. Es una red de código abierto "de arriba". Principio es un comando de * nix que se enumeran los "de arriba" los procesos activos en el host (esto es similar a el administrador de tareas en las ventanas. Supervisa y recoge información sobre los protocolos y las máquinas de la red. OSSIM utiliza un envoltorio alrededor de una barra lateral izquierda ntop para presentarlo de una manera compatible con el uso y la metodología de OSSIM Figura 34 - Monitores> Red). Figura 34

81 En la barra lateral izquierda de OSSIM tiene una serie de opciones para ver los datos. Estas opciones son accesibles para todos los sensores y sus interfaces (como se define en virtud de la Política Sensores ficha). El sensor de selección permite al usuario elegir qué sensor para ver los datos. El selector es la combinación de la caja en la parte superior de la barra lateral izquierda. El selector de listas de los anfitriones con los agentes de OSSIM instalados. La interfaz del selector permite al usuario elegir qué interfaz de datos para ver ntop. El selector es la combinación de la caja del sensor debajo de la selección. Esta selección muestra todos los interfaces configurados para su uso en el sensor seleccionado anteriormente. Nota: La interfaz de selección sólo funcionará si ntop se inicia con la opción "-M" opción. ntop utiliza esta opción para permitir la separación del tráfico por la interfaz. Sin esta opción, todo el tráfico aparecerá bajo el sensor. Mundial es el mundial de la información para el sensor seleccionado. Esto proporciona una visión general de la ejecuticion de las mediciones del ntop. Esta página contiene un gran número de gráficos apto para su inclusión en los informes de gestión sobre el estado actual de la red. Particularmente digno de mención, es un enlace a los datos históricos de tráfico incluidos en el Informe, aquí podrás ver la información histórica almacenada en formato RRD. Listas de los protocolos de aceptación del tráfico clasificado por los protocolos de red. Las categorías incluyen las redes y protocolos de la capa de transporte de las cinco capas de TCP / IP modelo (por ejemplo, ICMP, IGMP, TCP, UDP, etc.) Muestra informes con el número de bytes enviado a través de cada protocolo. Servicios> Por aceptacion: El Total de aceptacion del tráfico, total de listas clasificadas por la solicitud de red solicitud. Esta es una tabla con una fila para cada uno de aceptación y de los valores de los datos con el número de bytes enviados por cada host. Las categorías son protocolos de la capa de aplicación de las cinco capas de TCP / IP modelo (por ejemplo, HTTP, DNS, NETBIOS, etc.) Servicios> Por aceptacion: es la suma total de bytes enviados y recibidos por el anfitrión. Servicios> Por aceptacion: enviado listas de la misma información, pero sólo envió datos. Servicios> Por host: recv listas de la misma información, pero en los datos recibidos. Servicios> Servicio de estadísticas muestra información general acerca de los protocolos y servicios en la red. Esta es una combinación de cuadros y gráficos. Servicios> Al cliente-servidor la listas de servicios visto en la red y los servidores que utilizan los servicios. Esta es una tabla con filas para cada servicio. Rendimiento> Por host: Total de las listas totales promedios, picos, y las actuales tasas de tráfico de la red. Esta es una tabla con filas para cada uno de aceptacion y de los valores de los datos con la tasa para cada host en bytes por segundo (bps). El total es la suma de los bytes enviados y recibidos por el anfitrión. Rendimiento> Por host: Enviados listas de la misma información, pero sólo envió datos. Rendimiento> Por host: recv listas de la misma información, pero sólo los datos recibidos. Matrix> Data Matrix es un cuadro de subred IP de tráfico.

82 Matrix> Tiempo Matrix es una tabla con códigos de color para la lista de los porcentajes de tráfico de cada host en la red por tiempo. Gateways, VLANs> Pasarelas de las listas de la actividad de la subred local routers. Muestra los routers que se utilicen de manera activa por cualquier host. Gateways, VLAN> VLAN listas locales de la actividad de las redes de área local virtuales (VLAN). Los usuarios del sistema operativo y las listas de los sistemas operativos y la ID de usuario se encuentran en la red. Los datos dentro de aquí no tiene una relación directa con el Informe de aceptacion información Dominios lista las estadísticas de todos los dominios de la red. Monitores> Disponibilidad (Nagios) La Disponibilidad muestra la situación de los ejércitos y la presentación de informes relacionados en Nagios. Nagios informes sobre un host y servicios dentro de su red. OSSIM utiliza una envoltura con una barra lateral izquierda en torno a Nagios para presentarlo de una manera compatible con OSSIM del uso y la metodología (ver Figura 35 - Monitores> Disponibilidad).

83 Figura 35

84 Es necesario configurar Nagios para utilizarlo. En resumen, los ejércitos deben ser configurados y se añade a / etc / archivos de configuración de Nagios. Esto implica la creación de plantillas y los objetos de una variedad de invitados y configuraciones (por ejemplo, Unix, Windows, servidor, cliente, etc.) En la barra lateral izquierda OSSIM tiene una serie de opciones para ver los datos. Estas opciones son accesibles para todos los sensores. Los datos se dividen entre supervisión y presentación de informes. El sensor de selección permite al usuario elegir qué sensor para ver los datos. El selector es la combinación de la caja en la parte superior de la barra lateral izquierda. El selector de listas de huéspedes con el agente de OSSIM instalado. Vigilancia Detalle de servicios se enumeran los detalles de seguimiento de los servicios de red. Esto incluye servicios como http y ftp. Detalle de aceptación se enumeran los detalles de seguimiento de los ejércitos. Esto proporciona detalles de las distintas estadísticas recogidas por los agentes de Nagios. Condición general, Estado de cuadrícula, Mapa del Estado, Servicio de Problemas, problemas de servicio, los problemas de acogida, Proceso de Información, Información de la ejecución y proporcionar todos los puntos de vista diferentes en información completa para el sensor. Estas características permiten a los usuarios ver los problemas con sus activos de red en un solo lugar. Comentarios permite a los administradores compartir información acerca de los distintos activos. Programación de la cola es donde Nagios diversos puestos de trabajo están programadas, Nagios ejecuta procesos en diversas ocasiones y que aquí es donde se configura. Esto incluye cuando los servicios se controlan entre otras cosas. Presentación de informes Tendencias de informes con gráficos de los diversos activos del Estado durante un período de tiempo. Disponibilidad de informes sobre la disposición de bienes durante un período de tiempo. Evento Histograma una gráfica con los informes de la disponibilidad de un activo a lo largo del tiempo. Resumen del evento ha genérico acerca de los informes de aceptacion y de servicio de datos de alerta. Esto incluye los totales de alerta, alerta de los productores principales, y una serie de otros parámetros. Notificaciones muestra los mensajes que se han enviado a varios contactos en Nagios' base de datos. Estos mensajes se utilizan para transmitir información sobre un bien determinado a determinadas personas. Información de desempeño es una colección de gráficos que ilustran mrtg diversos datos estadísticos para el seguimiento de activos.

85 Monitores> Sensores Sensores de estado se muestra a través de Monitores> Sensores de interfaz. Aquí verás los sensores conectados a OSSIM, como OSSIM utiliza sensores para recopilar datos. La información en esta página web puede cambiar cuando la página web se cargue. Hay un cuadro de este estado de la interfaz de listado de plugins en el sensor (ver Figura 36 - Monitores> Sensores). Figura 36

86 Hay cinco columnas a la tabla de estado del sensor. Plugin es el nombre del plugin instalado y configurado en el sensor. Un plugin es el mecanismo mediante el cual recibe los datos OSSIM. El plugin se encarga de analizar los datos en el sensor y la normalización en un formato que entiende OSSIM. Indica si el plugin o no está operand. ARRIBA verde indica que el complemento se está ejecutando y el envío de información a OSSIM. ABAJO rojo indica que el plugin no está en ejecución. Un desconocido negro indica que el sensor no puede determinar el estado (esto no es necesario una mala cosa). Acción (a la derecha de 'Estado') es un hipervínculo que puede ser usado para cambiar el estado del plugin. Intento para iniciar el correspondiente plugin. Detener hipervínculos intento para detener la extensión correspondiente. Estos comandos se ejecutan sólo en el sensor correspondiente. Activado indica si el plugin o no está activo y presenta informes. El plugin se puede desactivar en el archivo de configuración del agente. El sensor incorporado en el monitor de vigilancia no discapacitados plugins. Además, puede ser desactivado en una de las siguientes medidas columna. Acción (a la derecha de 'Activado') es un hipervínculo que puede ser usado para cambiar el estado del plugin. Desactivar desactiva un plugin y se detiene automáticamente a partir de cuando el sensor se reinicia. Permitir que se convierta en un complemento y lo inicia cuando un señor se reinicia.

87 EVENTOS

88 Eventos> Sim Eventos Aqui podemos Observar la firma(signature) del sensor que esta trabajando asi como el ip destino como el origen del ip,las prioridad que se le asigna asi tambien como el riesgo. Ver figura 37. figura 37

89 Eventos> Eventos en tiempo real El Visor de sucesos en tiempo real representa los eventos a medida que van llegando en el servidor. Puede ser utilizado para propósitos de depuración, así como-siempre en pantalla el indicador para los eventos. ver figura 38 Aqui puede filtrar un sensor por medio de un simple click al lado derecho puede escojer: pads arpwatch pof sshd snort rrd_treschold pam_unix sudo directive_alert nagios rrd_anomaly nagios figura 38

90 Eventos> Visor de sucesos La página muestra información de eventos para cinco tipos distintos de eventos del sistema: snort, astucia, OS eventos, servicio de eventos, eventos y MAC. Uso del panel del filtro, puede visualizar los eventos de su elección, como se muestra en la Figura 39 - Panel de control> Eventos. Figura 39

91 Panel de control> Eventos Snort eventos están relacionados con snort, la red de detección de intrusos y el sistema de prevención. Si algunos de sensores de su sistema se está ejecutando snort, cualquier ataque o intrusión en relación con snort se registran como tales. Snare eventos están relacionados con el registro y la auditoría del sistema de recogida del mismo nombre Sistema de Análisis de la intrusión de Medio Ambiente y presentación de informes. Este eventos se extraen de las ventanas eventos. OS Events are any type of event that attempts to modify shows a modification in the operating system on someyour machine in the network. Eventos OS son cualquier tipo de evento que muestra los intentos de modificar una modificación en el sistema operativo en su máquina en la red. Servicio de eventos son cualquier tipo de evento que muestra las modificaciones a los intentos de modificar cualquiera de los servicios de su máquina de algunos en la red. MAC Los eventos son cualquier tipo de evento que muestra los intentos de modificar el MAC modificaciones en cualquier máquina en la red. dirección en su máquina. La página de eventos le ofrece una serie de tareas para trabajar con los eventos del sistema.además de encontrar información detallada sobre los eventos del sistema específico, también puede configurar las pestañas del evento y el uso en OSSIM Forense (ácid-báse). En la parte superior de la página de eventos, hay una sección con enlaces a los cinco eventos del sistema, como se mencionó anteriormente en esta página. Por supuesto, puede crear nuevos tipos de eventos diferentes, como se verá más adelante.al hacer clic en el enlace, los resultados son reducido a ese tipo de evento. Por ejemplo, haciendo clic en Snort, la lista de resultados que aparece en la parte inferior se reducirá notablemente, ya que sólo se muestran los eventos de Snort. Si lo prefiere, puede utilizar el panel del filtro en el centro de la página de Eventos para buscar un evento o eventos usando criterios específicos. Usando el panel de filtros, puede presentar: Los host le permite establecer un determinado nombre de host para el evento. Fecha de la caja de texto le permite establecer un rango de fechas para el evento (s). Al hacer clic en el icono de calendario a la derecha del cuadro de texto, puede seleccionar la fecha de inicio y finalización mediante el calendario emergente.al establecer una fecha, tenga en cuenta que la fecha debe seguir el año-mes-el formato de fecha. Mostrar el cuadro de selección por radio le permite aplicar un tipo a sus resultados de búsqueda. You can choose to display events by date, type, source IP, or destination IP. Puede elegir visualizar los eventos por fecha, tipo, fuente de la propiedad intelectual, propiedad intelectual o de destino.

92 Una vez que haya definido los criterios de búsqueda, haga clic en Continuar. Como se puede ver en la Figura 40, los eventos se incluyen en una sola fecha, que aparece como un menú plegable. Si abre el menú, los acontecimientos aparecen uno por uno en virtud de la fecha. Figura 40 Para cada caso, la página muestra los eventos por tipo de evento, la fecha en que ocurrieron, así como el origen y el destino de las direcciones IP. Puede encontrar información adicional sobre el evento, como el plugin, plugin DIM, y cualquier usuario de datos, ampliando el menú que se compone el nombre del evento en virtud de la columna Tipo.

93 Configurar pestañas Evento La pestaña configurar evento es una de las dos opciones adicionales en la parte superior derecha de la página de Eventos, junto con el forense Ir a la página. Esta pantalla presenta una tabla con los cinco tipos de eventos: Snort, SNARE, OS Eventos, Servicio de Eventos, Eventos y MAC. Cada tipo de evento ofrece una casilla de verificación (para seleccionar varios tipos de eventos), así como una breve descripción del evento. Cada tipo de evento en el citado cuadro también presenta la configuración de su propio enlace, si hace clic en Configuración, aparece un nuevo grupo para ese evento por debajo de la mesa, como se muestra en la Figura 41 - Eventos Portada. Figura 41

94 El nuevo panel contiene cuatro fichas que le permiten fijar los parámetros para una columna de un evento: Fecha, Plugin, Origen y Destino. Para alternar entre las pestañas, simplemente haz clic en la pestaña nombre.puede eliminar una pestaña, o columna, haciendo clic en su correspondiente enlace Suprimir. Puede añadir una pestaña adicional, haga clic en el enlace "Añadir columna. Cada columna tiene un ajuste de tres: Columna etiqueta permite definir el nombre de la columna, una vez establecido, aparece como una pestaña en la parte superior del panel. Columna de contenido le permiten definir el contenido de la ficha, así como una etiqueta. La configuración de las columnas le permiten configurar la apariencia columna funciones, como la alineación, el ancho y si utilizar o no el ajuste de línea.

95 INCIDENTES

96 Incidentes Los incidentes página muestra la lista de los incidentes registrados por el equipo. Aquí encontrarás los incidentes guardan automáticamente o manualmente generado. Se divide en tres secciones distintas, tal y como se muestra en la Figura 42 - Incidentes> Incidentes: un filtro, detalles incidente, e insertar incidente. Figura 42 El simple filtro devuelve el pedido incidentes en función de sus criterios. Una vez que hayas encontrado el incidente, ya sea mediante la simple filtro o la lista por defecto (todos) que aparece al abrir la página de los incidentes, se puede obtener o añadir más información acerca de un incidente por: Al hacer clic en el título incidente. Al hacer clic en el número de ticket. Una vez que cualquiera de las entradas de la columna se hace clic, la página de información de las incidente parece. Cuenta con información detallada, como el incidente nombre, clase, tipo, fecha de creación, dirección IP, etc Si la persona que registra el incidente billete(ticket) incluye notas o cualquier información importante relativa al incidente, al parecer aquí Hay dos características importantes en esta página: El botón Editar de incidentes El botón Nuevo Ticket

97 A) Si hace clic en Editar, puede actualizar manualmente parte de la información que aparece en la página de detalles. The modifiable fields include: Los campos modificables incluyen: Título Prioridad Tipo IP Puerto Nessus ID Risk Riesgo Descripción Una vez que se modifique alguno de los valores existentes, es necesario validar estos cambios haciendo clic en Aceptar.Los nuevos cambios se hicieron sobre la marcha y aparecen en la página de los incidentes de ese incidente. B) También puede crear una nueva entrada usando el mencionado botón Nuevo billete. Tenga cuidado, este no registra un nuevo incidente o título, sino que le permite agregar una nueva entrada para abrir un billete o de incidente.una vez que haga clic en Nuevo billete, se le redirigirá a la nueva sección de la Venta de entradas Incidentes página de detalles (alternativamente, usted puede desplazarse hacia la parte inferior de la ventana y crear manualmente un nuevo billete.) Hay seis campos distintos que se pueden configurar mediante el nuevo billete ventana: El campo Estado le permite determinar el estado actual de los nuevos billetes, por lo general si se ha resuelto o no. Por defecto, está configurado en Abrir. El campo Prioridad le permite establecer la importancia de los nuevos billetes.. Por defecto, se configura a 3 -> Baja.Puede establecer la prioridad del nuevo billete de 1 (bajo) a 10 (Alto). Alternativamente, puede configurar la segunda lista desplegable para Baja, Media o Alta. Si establece la lista desplegable con los números, la segunda lista desplegable automáticamente cambia a Bajo, Medio, Alto o en función del número de prioridad seleccionadas. Por el contrario, si selecciona Bajo, Medio, Alto o de la lista desplegable, la ex lista desplegable automáticamente para el número más bajo para el estado. Por ejemplo, en la lista desplegable de Alta define el número a 8; ajuste en la lista desplegable a 2 juegos a la baja. El campo de transferencia que permite transferir el nuevo billete a otro usuario, si procede. El Anexo sobre el terreno le permite añadir un archivo a la nueva entrada. Esto es bueno para añadir información adicional a la entrada.

98 Descripción El campo es un cuadro de texto que le permite añadir todas las observaciones adicionales o información importante a su nuevo billete. El campo de acción le permite agregar cualquier acción a realizar para el nuevo billete. El usuario final (un cliente, otros departamentos de la empresa, o simplemente las personas a cargo) tiene que saber cuál es la acción necesaria para ese problema. Una vez completado el nuevo billete, se puede validar haciendo clic en el botón Añadir entrada en la parte inferior de la página del nuevo billete. Los usuarios también pueden suscribirse a las entradas por correo electrónico.una dirección válida de correo electrónico es necesario para que esto funcione.los suscriptores son notificados de los cambios en el billete, siempre que se produzcan. Incidentes> Tipos La sección dispone de tres incidentes diferentes pestañas, incluidos los tipos de sección, como se muestra en la Figura 43 - Incidencias> Tipos. Incidentes en la página, puede trabajar con recordar un incidente en particular y el aviso de que había un "tipo" que se le aplican.tipos de Uso de la página, puede ver o modificar la lista de tipos disponibles para sus incidentes. Estas modificaciones incluyen la edición, añadir o borrar. Figura 43

99 Usted puede editar un incidente de tipo, haga clic en el vínculo Modificar en la columna Acciones del incidente ID. Sin embargo, están limitados en lo que se puede actualizar realmente. De hecho, si hace clic en Modificar, aparece una pantalla que le permite añadir o modificar una descripción en un cuadro de texto.una vez que haya realizado los cambios necesarios en el incidente de tipo, haga clic en Aceptar.Si usted hace un cambio y decide que le gustaría mantener el texto inicialmente almacenados aquí, haga clic en Restablecer. Este botón actúa como el botón Deshacer, sin embargo, una vez que usted guarde su nuevo texto, no puede volver a un texto anterior descripción. Un cuadro de diálogo que aparece a continuación, confirma el éxito de los cambios, haga clic en Atrás. Si esta característica no se adapte a sus necesidades, siempre puede agregar un nuevo tipo de incidente. En la parte inferior de la tabla de tipos de incidentes, haga clic en Agregar nuevo tipo. La pantalla que aparece es similar en función a la pantalla Modificar mencionados en el párrafo anterior, la principal diferencia es que tiene un cuadro de texto que le permite introducir un incidente ID.Una vez que ha añadido un nombre de usuario (y descripción), haga clic en Aceptar. Aparece un cuadro de diálogo que confirma el éxito de los cambios, haga clic en Atras. Incidentes> Etiquetas Figura 44 La sección dispone de tres incidentes diferentes pestañas, incluyendo la sección de etiquetas, como se muestra en la Figura 44 - Incidencias> Etiquetas.Incidentes en la página, puede usted recordará que trabajan con un incidente en particular y el aviso de que había un "extra" que se le aplican. El "extra" es similar a un estado por el incidente. Se puede utilizar por ejemplo para clasificar los incidentes. Uso de la página Tipos de etiquetas, puede ver o modificar la lista de los extras disponibles para sus incidentes. Estas modificaciones incluyen la edición, añadir o borrar.

100 Usted puede editar un incidente de tipo etiqueta haciendo clic en el vínculo Modificar en la columna Acciones para la etiqueta de identificación. A diferencia de la página Tipos de etiquetas, puede modificar la descripción, así como el nombre de ID de la etiqueta. Una vez que haya realizado los cambios necesarios, haga clic en Aceptar.Siempre se puede descartar los cambios haciendo clic en Cancelar.Independientemente de que usted haga clic en el botón, automáticamente volver a la página de etiquetas. Si esta característica no se adapte a sus necesidades, siempre se puede añadir una nueva etiqueta incidente.en la parte inferior de la tabla de incidente etiquetas, haga clic en Agregar nueva etiqueta.la pantalla que aparece es similar en función a la pantalla Modificar mencionados en el párrafo anterior, la principal diferencia es que los cuadros de texto están vacíos.una vez que ha añadido un nombre de usuario (y descripción), haga clic en Aceptar.Siempre se puede descartar los cambios haciendo clic en Cancelar.Independientemente de que usted haga clic en el botón, automáticamente volver a la página de etiquetas. Incidentes> Informe La sección cuenta con cuatro incidentes diferentes pestañas, incluido el Informe de la sección, como se muestra en la Figura 45 - Incidencias> Informe. En el Informe de la página, puede ver una serie de informes creados previamente que proporcionan información sobre los incidentes. Figura 45

101 Hay cinco informes por separado en el Informe de la página, sin embargo, es importante señalar que no se puede modificar o manipular los informes de ninguna manera. Hay informes son los siguientes: Incidentes por estado Incidentes por tipo Incidentes por el usuario a cargo Cerrado los incidentes por mes Tiempo de resolución de incidentes Cada gráfico proporciona representación numérica de los datos, por ejemplo, los incidentes por tipo de informe se enumeran los tipos de incidentes que se produjeron, así como el número de incidentes por tipo.posteriormente, una representación gráfica se muestra sobre la base de estos datos.

102 INFORMES

103 Informes> Informe de Índice de host El informe muestra la ficha de acogida Informe página por defecto, como se muestra en la Figura 46 Informes> Informe de Índice de host. Figura 46 Existen cuatro diferentes tipos de informes disponibles en el Informe de Índice, incluido el Informe de acogida.estos son: Informe de acogida(host) Informe de alarma Informe de seguridad Informe en PDF Estos informes se pueden acceder haciendo clic en la pestaña Informes situada debajo del botón, como se muestra en la figura de arriba

104 . Informes> Informe de acogida (host) El Informe del host muestra los distintos hosts definidos por el sistema operativo. La página del informe del host muestra una tabla con el nombre de host, dirección IP, de activos, y el correspondiente sistema operativo. Para trabajar con un nombre en esta página, haga clic en el enlace del nombre de host correspondiente dirección IP o el sistema operativo. La parte más importante del host Informe aparece una vez que haga clic en el nombre de host deseado (véase la Figura 47 - Informes> Informe de host). Una vez que el informe parece, hay dos paneles: el panel de la izquierda presenta informe de host, tales como inventario, métricas, alarmas, alertas, uso, y las anomalías.el panel derecho muestra la información relevante para el vínculo hacer clic en el panel izquierdo.por defecto, es el inventario de la información. Figura 47 El informe del panel de host (el panel de la izquierda) proporciona una amplia capacidad para trabajar con sus informes. El Inventario de enlace aparece varias piezas de información relativa al host en tres secciones distintas. Información de la anfitriona de la sección se muestra el nombre de host, dirección IP, sistema operativo, y la máquina de la dirección MAC. La segunda sección ofrece información sobre el host que pertenece, y en particular la red de sensores para el anfitrión. La tercera sección contiene los puertos y servicios de información relacionados con el host. Esto incluye el nombre del servicio, la versión y fecha Usted puede elegir si desea ver los datos obtenidos con herramientas de pasivo (p0f, pastillas..), o los datos obtenidos con las herramientas activas (nmap).

105 El enlace aparece Métrica representaciones gráficas que indican las estadísticas de rendimiento de seguridad para varios períodos: último día, la semana pasada, el mes pasado, y el año pasado. Estas cartas, medir el desempeño, muestran el número de ataques y violaciones de la seguridad (de compromiso) para el nombre de host.esta página también muestra los niveles actuales para el nombre de host. El siguiente enlace es para tres diferentes tipos de alarmas: Fuente o Destino, Origen y Destino. La Fuente de alarma o de destino de origen o de destino muestra las alarmas con el mismo período de investigación que informe del host. La página ofrece una lista de las alarmas correspondientes en la parte inferior de la página.incluye información como el nombre de la alarma, el riesgo, sensor, estado, etc De forma predeterminada, esta lista está en blanco, sin embargo, puede localizar rápidamente este tipo de alarmas utilizando la función de filtro en la parte superior de la página. Utilizando el filtro, puede establecer un rango de fechas de los incidentes de alarma, así como establecer el origen y el destino de las direcciones IP, y seleccionar el número de alarmas para mostrar por página. Una vez que haya establecido sus criterios, haga clic en Ir y que aparecen en la lista mencionada en la parte inferior de la página. La Fuente muestra única fuente alarmas.esta página funciona exactamente igual que la Fuente o la página de destino, sin embargo, en el filtro, sólo la dirección IP de origen en la lista. El destino de destino muestra sólo las alarmas. Esta página funciona exactamente igual que la Fuente, La página de destino, sin embargo, en el filtro, sólo la dirección IP de destino en la lista. La próxima serie de enlaces a diversas alertas, o eventos: Eventos Src, Dst Eventos. La página principal es una página de introducción a la sección de Eventos. Esta página trabaja mano a mano con BASE (Básica y Análisis de Seguridad del motor).la parte superior de la página tiene un enlace a la página de inicio (que le llevará a la página de BASE y no una actualización de la página principal), así como una función de búsqueda y alertas en caché. Desde la página principal, puede consultar las alertas de su nombre de host (dirección IP), por tipo: la fuente, el destino, o de origen / destino. También puede realizar un WHOIS sobre el nombre de su máquina utilizando una de varias autoridades: ARIN, RIPE, APNIC o LACNIC. También puede ver el número de sensores para el nombre de su máquina o el acceso Alerta Grupo Mantenimiento usando el enlace correspondiente. La pagina de Eventos brinda información sobre la fuente de los acontecimientos.el lado izquierdo de la página muestra la última información de las consultas, así como los criterios utilizados para hacer la consulta.puede borrar los criterios, haga clic en el enlace abierto en esta ventana. El lado derecho de la página de Resumen de Estadísticas de los sensores, las alertas (eventos), los vínculos de propiedad intelectual, y los puertos (destino y origen). Por favor, recuerde que dentro de cada alerta BASE es un evento en OSSIM. Así que cuando decimos que las descripciones que de la misma a más eventos.

106 Informes> Informe de alarma La página muestra los informes de alarma representación gráfica de los host, como se muestra en la Figura 48 - Informes> Informe de alarma. Figura 48 Como se muestra en la figura de arriba, se muestran gráficos que indican importantes datos relacionados con el host. El primer gráfico muestra los host que han recibido la mayoría de los ataques. Una representación numérica aparece junto a la gráfica que muestra una tabla con el nombre de host y el número de sucesos ataque Cada ataque se corresponde con una determinada alarma. Esta página contiene los siguientes cuadros: Top 10 Atacan los Ejércitos Top 10 atacante Ejércitos Top 10 Usado Puertos Top 10 Alarms Las 10 alarmas Top 10 Alarms by Risk Las 10 alarmas por riesgo Con la excepción de la última tabla, Las 10 alarmas por riesgo, se puede encontrar más información sobre el nombre del host, alarma, puerto o haciendo clic en su enlace correspondiente.

107 Informes> Informe de Seguridad Los Informes de Seguridad de la página muestra la representación gráfica de los ejércitos, como se muestra en la Figura 49 Informes> Informe de Seguridad. Figura 49 Como se muestra en la figura de arriba, la página Informes de Seguridad es muy similar en contenido a los informes de alarma en el sentido de que ofrece la representación gráfica de información relacionada con la seguridad. Informes de Seguridad de la página ofrece una serie de gráficos: Top 10 host mas Atacados Top 10 host atacantes Top 10 puertos mas usados Top 10 Eventos Top 10 Eventos de Riesgo Al igual que la página Informes de alarma, el Informe también ofrece una página de representación de datos de cada gráfico, incluyendo el nombre de host / alarma, etc También se proporciona información relativa a las cantidades de sucesos. Con la excepción de la última carta, Top 10 Eventos por riesgo, se puede encontrar más información sobre el nombre del host, alarma, puerto o haciendo clic en su enlace correspondiente.

108 Informes> Informe PDF La pagina del Informes PDF le permite seleccionar qué informe o para generar informes en formato PDF, como se muestra en la Figura 50 - Informes> Informe PDF. Figura 50 Como se muestra en la figura de arriba, la página de informes en PDF permite seleccionar cuatro informes a través de la caja desplegable en la parte superior del formulario. Un número de sub-opciones se pueden seleccionar mediante el uso de las casillas de verificación debajo de la lista desplegable. Cada tipo de informe tiene sus propias opciones.usted puede elegir cuál de ellos incluirá, como se puede filtrar por diferentes atributos. Un archivo PDF se Generar cuando el botón se presiona. OSSIM puede guardar su información en este formato sin necesidad de ningún software de terceros o plug-ins. La generación de informes disponibles son: Seguridad Métrica Alarmas Incidentes

109 Una vez que seleccione el informe y las sub-opciones para generar, en los informes de seguridad o de alarma, puede designar el número de host para mostrar la tabla.por defecto, OSSIM se propone sacar 15. Para generar el informe, simplemente haga clic en Generar. OSSIM genera en su informe a un único archivo PDF y muestra el informe. Informes> Inventario de OSC Luego en Inventario ingresamos en el menu principal de OCS>Seguridad>Informacion de Red A continuación ingresamos en uid y escogemos mostrar o ecogemos el cero por default

110 Una vez seleccionado uid en 0 nos trasladamos a OCS>Seguridad>Informacion de Red>Inventoried(inventario), Clickamos en el numero que esta debajo de la opcion inventario

111 Clickamos en add column para agregar mas caracteristicas de los equipos para el inventario de salida del reporte Clic en Computadora Para ver todas las caracteristicas agregadas anteriormente como: Dominio,ip address,memoria,nombre del sistema operativo so etc. Para Visualizar las Caracteristicas del inventariado de Ocs>Inventory

112 Para imprimir las Caracteristicas del inventariado de Ocs>Inventory, hacer click en el icono señalado Finalmente lo podemos exportar con la extension de archivo pdf o postscrypt ejemplo ver anexo del manual con el nombre output.pdf