Upload File

instalacion de ossim siem

9
Laboratorio: Instalación y configuración AlienVault Open Source SIEM (OSSIM) Introducción: AlienVault Open Source SIEM (OSSIM) es un sistema de seguridad integral que abarca desde el nivel de detección a un nivel ejecutivo generar métricas e informes. AlienVault se ofrece como un producto de seguridad que permite integrar en una única consola todos los dispositivos y herramientas de seguridad disponibles en la red, así como la instalación de herramientas de seguridad de código abierto de prestigio como Snort, OpenVAS, Ntop y OSSEC. Una vez que los eventos generados por diferentes herramientas y dispositivos han sido recogidos por AlienVault, el sistema realiza una evaluación del riesgo para cada evento y se produce la correlación. Durante el proceso de correlación, de una serie de patrones, AlienVault genera nuevos eventos para detectar ataques o problemas en la red. Para acceder a toda la información recopilada y generada por el sistema, AlienVault incluye una consola web que nos permite también configurar el sistema y ver el estado general de la red en tiempo real. Antes de empezar: AlienVault es un producto en constante evolución. Por esta razón, usted tiene que asegurarse de que está utilizando la última versión del instalador AlienVault y esta guía de instalación. Las nuevas versiones están siempre disponibles en el sitio web del Proyecto http://www.alienvault.com. Propósito de este laboratorio: El propósito de este tutorial es proporcionar al lector una guía paso a paso sobre cómo instalar SIEM AlienVault Open Source. Este documento también cubre los conceptos básicos y una breve explicación de la función de cada perfil que una instalación AlienVault puede adoptar. ¿Por qué un instalador?: AlienVault es un producto que integra más de 30 herramientas de código abierto. Tanto el sistema operativo y muchas herramientas integradas se han modificado para mejorar su funcionamiento dentro del sistema. Esa es la razón por la instalación desde el código fuente AlienVault requiere un conocimiento muy amplio y compilación de más de 40 herramientas diferentes. Para simplificar el complejo proceso de compilación, instalación y configuración de todas estas herramientas, el equipo de desarrollo AlienVault distribuye instalador que incluye el sistema operativo, todos los componentes y una potente configuración y actualización del sistema. AlienVault instalador está basado en el sistema operativo Debian GNU / Linux y está disponible en las ediciones de 32-bit y 64-bit 32 bits vs 64 bits: Si su procesador tiene soporte de 64-bits entonces usted puede tomar ventaja de la actuación en esta arquitectura. En las implementaciones de determinados basados en el rendimiento de la red y el número de eventos, puede ser necesario un hardware capaz de manejar grandes volúmenes de datos. La arquitectura de 64-bits también permite el uso de una mayor cantidad de memoria física. Sensor: El Perfil de sensor permitirá tanto a los detectores de AlienVault y el colector. Los siguientes detectores están activados de forma predeterminada: Snort (sistema de detección de intrusos en la red) Ntop (Monitor de red y uso) OpenVAS (Análisis de Vulnerabilidad)

Upload: j4ving77

Post on 08-Aug-2015

483 views

Category:

Documents


2 download

Report

DESCRIPTION

Laboratorio de de como instalar ossim vs 4

TRANSCRIPT

Page 1: Instalacion de ossim siem

Laboratorio: Instalación y configuración AlienVault Open Source SIEM (OSSIM)

Introducción: AlienVault Open Source SIEM (OSSIM) es un sistema de seguridad integral que abarca desde el nivel de detección a un nivel ejecutivo generar métricas e informes. AlienVault se ofrece como un producto de seguridad que permite integrar en una única consola todos los dispositivos y herramientas de seguridad disponibles en la red, así como la instalación de herramientas de seguridad de código abierto de prestigio como Snort, OpenVAS, Ntop y OSSEC.

Una vez que los eventos generados por diferentes herramientas y dispositivos han sido recogidos por AlienVault, el sistema realiza una evaluación del riesgo para cada evento y se produce la correlación. Durante el proceso de correlación, de una serie de patrones, AlienVault genera nuevos eventos para detectar ataques o problemas en la red.

Para acceder a toda la información recopilada y generada por el sistema, AlienVault incluye una consola web que nos permite también configurar el sistema y ver el estado general de la red en tiempo real.

Antes de empezar: AlienVault es un producto en constante evolución. Por esta razón, usted tiene que asegurarse de que está utilizando la última versión del instalador AlienVault y esta guía de instalación. Las nuevas versiones están siempre disponibles en el sitio web del Proyecto http://www.alienvault.com.

Propósito de este laboratorio: El propósito de este tutorial es proporcionar al lector una guía paso a paso sobre cómo instalar SIEM AlienVault Open Source. Este documento también cubre los conceptos básicos y una breve explicación de la función de cada perfil que una instalación AlienVault puede adoptar.

¿Por qué un instalador?: AlienVault es un producto que integra más de 30 herramientas de código abierto. Tanto el sistema operativo y muchas herramientas integradas se han modificado para mejorar su funcionamiento dentro del sistema. Esa es la razón por la instalación desde el código fuente AlienVault requiere un conocimiento muy amplio y compilación de más de 40 herramientas diferentes.

Para simplificar el complejo proceso de compilación, instalación y configuración de todas estas herramientas, el equipo de desarrollo AlienVault distribuye instalador que incluye el sistema operativo, todos los componentes y una potente configuración y actualización del sistema. AlienVault instalador está basado en el sistema operativo Debian GNU / Linux y está disponible en las ediciones de 32-bit y 64-bit

32 bits vs 64 bits: Si su procesador tiene soporte de 64-bits entonces usted puede tomar ventaja de la actuación en esta arquitectura. En las implementaciones de determinados basados en el rendimiento de la red y el número de eventos, puede ser necesario un hardware capaz de manejar grandes volúmenes de datos. La arquitectura de 64-bits también permite el uso de una mayor cantidad de memoria física.

Sensor: El Perfil de sensor permitirá tanto a los detectores de AlienVault y el colector. Los siguientes detectores están activados de forma predeterminada:

Snort (sistema de detección de intrusos en la red) Ntop (Monitor de red y uso) OpenVAS (Análisis de Vulnerabilidad) P0f (detección pasiva del sistema operativo) Pads (sistema de detección pasiva de activos) Arpwatch (Ethernet / IP dirección del monitor recortes) OSSEC (Host Intrusion Detection System) Osiris (Supervisión de integridad del host) Nagios (Monitoreo Disponibilidad) OCS (Inventario)

Una vez que el perfil de sensor se ha activado, puede desactivar los detectores de modo que sólo mantiene la funcionalidad colección.

Paso 1: INSTALACIÓN AUTOMATIZADA

La instalación automatizada se va a instalar la versión de código abierto AlienVault con el perfil all-in-one habilitado. Una vez completada la instalación, el usuario actualice manualmente para obtener los beneficios de la versión AlienVault Professional. La instalación se lleva a cabo casi sin intervención del usuario. La instalación automatizada se va a configurar el mapa de teclado de latinoamericano y todos los textos estarán en español.

Page 2: Instalacion de ossim siem

Configuración de la red: En este punto usted tendrá que configurar la tarjeta de administración de red. Usted debe utilizar una dirección IP con acceso a Internet durante el proceso de instalación. Esta dirección IP se utiliza en la interfaz de gestión.

Introduzca la dirección IP y haga clic en Continuar.

La máscara de red a usar en su red. Introduzca la máscara de red y seleccione Continuar

Page 3: Instalacion de ossim siem

El sistema en su red que deberá usar como servidor de DNS (Domain Name Service) del servidor. Si dispone de un servidor de nombres local en su red debería ser la primera en esta configuración. Puede introducir como servidores de nombres como desee. Introduzca las direcciones IP de los DNS (separados por espacios) y seleccione Continuar.

Particiones de disco: Ahora es el momento para el particionado. Tenga en cuenta que esto borrará todos los datos almacenados en el disco duro.

Page 4: Instalacion de ossim siem

Seleccione "guiada: Usar todo el disco" y haga clic en Continuar: Si el equipo tiene varios discos, seleccione el disco en el que se instalará AlienVault y haga clic en Continuar. En caso de que la máquina tiene un único disco simplemente haga clic en Continuar.

Configurar usuarios y contraseñas: Después de que el sistema de base se ha instalado, el instalador le permitirá configurar la cuenta "root". Otras cuentas de usuario se pueden crear después de la instalación se ha completado. Cualquier contraseña que cree debería tener al menos 6 caracteres y debería tener tanto caracteres en mayúsculas y minúsculas, así como caracteres de puntuación. Tenga mucho cuidado cuando decida su contraseña de root, ya que es la cuenta más poderosa. Evite palabras de diccionario o el uso de cualquier información personal que pueda adivinar fácilmente.

Page 5: Instalacion de ossim siem

Actualización de la instalación: La instalación se puede conectar a la web AlienVault para descargar la última versión disponible de cada paquete de software incluido en AlienVault profesional SIEM. Este proceso puede tardar hasta 1 hora (Dependiendo de su conexión a Internet). Sea paciente y no cancelar este proceso.

Seleccione "Sí" y haga clic en Continuar. Una vez finalizada la instalación, el sistema se reiniciará cargando su nuevo sistema AlienVault.

Paso 2: Configuración

Configuración del sistema: Para simplificar la configuración de la gran cantidad de herramientas incluidas en AlienVault, la configuración está centralizada en un único archivo. Cada vez que modifique esta configuración se debe ejecutar un comando para actualizar la configuración de todas las aplicaciones basadas en la configuración centralizada.

La configuración centralizada se almacena en el archivo siguiente:

/etc/ossim/ossim_setup.conf

Puede editar este archivo con cualquier editor de texto (vi, nano, pico...). Los usuarios inexpertos deben utilizar el siguiente comando para editar este archivo:

ossim-setup

Para aplicar la configuración centralizada en cada archivo de configuración que tendrá que ejecutar el siguiente comando:

Page 6: Instalacion de ossim siem

ossim-reconfig

Configuración de la red: Los equipos que ejecutan AlienVault requieren un cuidado especial cuando se configura la red.

La configuración de red se define en el archivo siguiente:

/etc/network/interfaces

Si la configuración de la red se ha modificado, para aplicar los cambios utilice el siguiente comando:

/etc/init.d/networking restart

Cada caja AlienVault debe tener al menos una dirección IP estática para los diferentes componentes AlienVault pueden comunicarse entre ellos y el administrador puede tener acceso remoto a las máquinas.

Cada interfaz con una dirección IP debe tener una entrada en el archivo / etc / network / interfaces con el siguiente esquema:

allow-hotplug eth0iface eth0 inet static

address 192.168.1.5netmask 255.255.1.0network 192.168.1.0broadcast 192.168.255.255gateway 192.168.1.1dns-nameservers 192.168.1.100

Estas interfaces se utilizan para recoger todo el tráfico de la red no debe tener una dirección IP. Interfaces de promiscuos no requiere ninguna configuración especial en el archivo de configuración de red.

Actualización de AlienVault: Los siguientes comandos se actualizarán el sistema AlienVault:

apt-get update; apt-get dist-upgrade;

Ingresar a la aplicación web del servidor AlienVault Open Source SIEM (OSSIM) desde otro usuario

Page 7: Instalacion de ossim siem

Escribimos nuestro usuario root y la contraseña que ingresamos durante la instalación de AlienVault Open Source SIEM (OSSIM), una vez ingresado estos datos por primera vez aparecerá una siguiente pantalla la cual nos pide cambiar nuestra password por uno nuevo


Folleto Alienvault-OSSIM

Providing SIEM systems with self-adaptation · Providing SIEM systems with self-adaptationq ... [26], and OSSIM [18] are some of the multi-layered security frameworks presented so

MASSIF - CSP Forum · 24/09/2012 · Both OSSIM security directives and MASSIF SIEM CEP are based on XML. Therefore, a

Providing SIEM Systems with Self–Adaptation - UC3M · Providing SIEM Systems with Self–Adaptation ... Experimentation is conducted on a real deployment within OSSIM to validate

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD … · Aplicación de Plan de Pruebas en OSSIM ... (SIEM) are engaged in collecting all such information and process it to offer a wide vision

Alienvault OSSIM v4.7.1

OSSIM Presentation CIO2013 v5

Magic Quadrant for Security Information and Event Management · Magic Quadrant for Security Information and Event Management ... solution is Open Source SIEM (OSSIM ... Magic Quadrant

Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze

Protecting Communication in SIEM systems - … · Protecting Communication in SIEM systems ... OSSIM fast guide • Gartner GAS Core Research Note – Critical Capabilities for Security

Collecting Windows logs using Snare · and forwards the events to the AlienVault Server (SIEM or Logger). 2 Download required software ... root@ossim:~# tail –f /var/log/ossim/agent.log

Lecture OSSIM

Detección y bloqueo de botnets mediante la combinación ... · OSSIM, de la empresa AlienVault, es un SIEM. 1. de libre distribución que proporciona de forma integrada la monitorización

Company Profile OSSIM

SIEM Security Information and Event Management sustavi · • Hardverski SIEM sustavi • Količina log zapisa veća od 1000 EPS ... • AlienVault OSSIM • OSSEC • Komercijalni

Incident Response for Targeted attacks 9/Talks/ROOTCON 9 - Incident... · Alienvault OSSIM Open Source SIEM (GPL) Version 5.0 released on April 20, 2015 Based on third party Open

OSSIM WHITEPAPER Overview

MASSIF Architecture document v15 - CSP Forum · 20/12/2011 · Keywords SIEM, ... OSSIM Open Source Security Information Management ... The MASSIF architecture document provides an

SIEM Overview with OSSIM Case Study · SIEM •SIEM = Security Information and Event Management •Collects security information from multiple sources; internal and external to an

AHTS VS491 CD SIEM PEARL SIEM EMERALD SIEM · PDF fileahts vs491 cd siem pearl siem emerald siem sapphire siem aquamarine siem ruby siem topaz siem diamond siem garnet siem opal siem

OSSIM Overview

OSSIM Components

Hacking Techniques and Intrusion Detection - binary … · Hacking Techniques & Intrusion Detection Fall 2012/2013 Dr. Ali Al-Shemery aka: ... SecurityOnion), SIEM (ex: OSSIM), –Improvement

Ossim Desc Es

OSSIM User Training: Get Improved Security Visibility with OSSIM

OSSIM – Monitorando ameaças tecnológicas em

The Next Generation of SIEM - TAG Cyber · The Next Generation of SIEM ... CTO at AlienVault (the maker’s of OSSIM) 2013. What if you had an entirely clean sheet to start with?

Cybersecurity+ - Amazon Web Services · Cybersecurity+ Analyst(CSA+)+ ... (SIEM)+soHware+ hps:// products/ossim&& Etherape+ Highelevel+traffic+visualisaon + hp:

OSSIM Overview - ndiastorage.blob.core.usgovcloudapi.net · OSSIM 3 Open Source Geospatial Foundation OSSIM High Performance Geo-spatial Image Processing Open Source Software Distribution

OSSIM Desc En

OSSIM - OSGeo Download Serverdownload.osgeo.org/ossim/docs/pdfs/OssimBuildInstructions_v1.4.pdf · For this example we will use ~/ossim-svn . ... dependencies are ossimPredator for

Instalacion OSSIM

How can OSSIM help you with your PCI DSS Wireless ... · How can OSSIM help you with your PCI DSS Wireless requirements? Topics ... OSSIM What is Ossim? Alienvault SIEM ... Ossim

Analiza mogućnosti povezivanja alata OSSIM s alatima za ...sgros/publications/diploma_thesis/sulic_dino... · SIEM) otvorenog koda ... Ukoliko u OSSIM alatu nije omogućena opcija

Ensuring Cyber-Security in Hydroelectric Dam through … · Ensuring Cyber-Security in Hydroelectric Dam through a novel SIEM system Cesario Di Sarnoa,, ... OSSIM SIEM allows to