Scribd Logo
Upload

Welcome to Scribd!

  • Siem

    Uploaded by

    darwing
    64 views2 pages
    Este documento describe cómo configurar y probar un sistema SIEM (Security Information and Event Management) llamado OSSIM Alienvault. Explica cómo instalar el software, configurar fuentes de datos como sensores de red e IDS, descubrir activos de red, instalar un agente HIDS en un cliente Linux, y crear reglas de correlación para detectar actividad sospechosa como intentos fallidos de acceso SSH.

    Original Description:

    esta es una pequeña practica sobre SIEM

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Este documento describe cómo configurar y probar un sistema SIEM (Security Information and Event Management) llamado OSSIM Alienvault. Explica cómo instalar el software, configurar fuentes de datos como sensores de red e IDS, descubrir activos de red, instalar un agente HIDS en un cliente Linux, y crear reglas de correlación para detectar actividad sospechosa como intentos fallidos de acceso SSH.

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    64 views2 pages

    Siem

    Uploaded by

    darwing
    Este documento describe cómo configurar y probar un sistema SIEM (Security Information and Event Management) llamado OSSIM Alienvault. Explica cómo instalar el software, configurar fuentes de datos como sensores de red e IDS, descubrir activos de red, instalar un agente HIDS en un cliente Linux, y crear reglas de correlación para detectar actividad sospechosa como intentos fallidos de acceso SSH.

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 2

    Práctica sobre SIEM

    Enunciado

    En este ejercicio analizaremos las funcionalidades básicas del sistema OSSIM Alienvault y
    realizaremos un ejercicio sencillo de definición de reglas de correlación de eventos.

    Para la realización de la práctica utilizaremos el sistema OSSIM Alienvault. Se trata de la


    versión de libre distribución de Alienvault. Podéis descargarlo de aquí:
    https://www.alienvault.com/products/ossim. En este enlace (http://linoxide.com/security/install-
    configure-alienvault-siem-ossim/) tenéis una explicación sobre instalación y primeros pasos.

    Si lo preferís, podéis utilizar la máquina virtual que hemos preparado con OSSIM Alienvault
    preinstalado. Esta máquina está pensada para desplegarla junto en el entorno ‘LAN’ que hemos
    creado para actividades anteriores. Os recomendamos que arranquéis también el router Vyatta y
    el cliente LUbuntu. Este último cliente lo necesitaréis para conectaros y administrar el SIEM. Si
    optáis por esta vía, la dirección IP del SIEM es https://10.0.0.150

    Las contraseñas de la máquina virtual son las siguientes:

    · Acceso por terminal o SSH: root/admin

    · Acceso web: root/admin-OSSIM

    Por simplicidad y para que podáis abordar la realización de la práctica, no proponemos un


    despliegue completo de SIEM. Para ello, necesitaríamos desplegar sensores en distintos
    segmentos de red, para lo cual tendríamos que realizar una instalación de OSSIM como sensor.
    En nuestro caso, hemos realizar una instalación que incluye el servidor y un sensor en un único
    nodo.

    Nuestra instalación también incorpora la configuración de una interfaz de red para


    monitorización. El tráfico de esa interfaz será monitorizado por un IDS basado en Suricata. Es
    posible activar muchos otros plugins.

    1. Analice las opciones que ofrece OSSIM para configurar distintas fuentes de datos y
    posibilidades monitorización y explique aquí las que considere más interesantes.

    Otro elemento importante dentro de OSSIM es la configuración y descubrimiento de activos.


    Tiene funcionalidades de descubrimiento automático de activos y es posible tanto dar de alta
    nuevos activos como categorizar los mismos.

    2. Explore y documente brevemente las opciones que ofrece OSSIM para


    descubrimiento de activos
    Conectar un HIDS a nuestro SIEM
    A continuación, vamos a ver cómo podemos desplegar un nuevo sensor en OSSIM. En concreto,
    vamos a desplegar un HIDS (Host IDS) en un cliente de la red LAN. Vamos a seguir la
    referencia que ofrece para esto Alienvault en este documento: https://www.alienvault.com/doc-
    repo/usm/threat-detection/AlienVault-USM-4.x-5.x-Deploying-HIDS-Agents-to-Linux-
    Hosts.pdf

    3. Realiza la instalación del HIDS OSSEC siguiendo la guía

    4. Da de alta el HIDS como un nuevo agente en el SIEM OSSIM

    5. Verifica que en la tabla de eventos del SIEM se van reflejando los eventos del HIDS.
    Para ello, instala un nuevo paquete, por ejemplo.

    De la misma forma que hemos agregado este HIDS para Linux, podemos descargar e instalar
    HIDS para los hosts Windows.

    Creación de Reglas de Correlación de Eventos


    Para que podáis ver las posibilidades que nos ofrece un sistema SIEM vamos a realizar una
    pequeña actividad de creación de reglas de correlación de eventos. Con un SIEM no sólo
    podemos centralizar la recolección y consolidación de información de registro sino que también,
    y ahí reside su verdadero potencia, podemos definir reglas que relacionen distintas fuentes para
    construir información relevante a partir de los datos.

    En este caso, os proponemos que construyáis reglas de correlación para la detección de actividad
    sospechosa usando SIEM con los sensores que ya hay configurados por defecto y con el nuevo
    agente OSSEC que hemos agregado. Os sugerimos que uséis como base el servicio SSH pero
    podéis emplear el que queráis.

    Un buen punto de partida es el que se presenta aquí: https://www.alienvault.com/knowledge-


    base/raising-alarms-on-ssh-log-in-failure-events

    6. Configura una regla de correlación para detección de actividad sospechosa usando


    las posibilidade correlación de SIEM (creación de directivas y reglas, dentro de ‘Threat
    Intelligence’) y explica el proceso.

    7. Muestra un caso donde se disparen las reglas

    You might also like