Professional Documents
Culture Documents
Enunciado
En este ejercicio analizaremos las funcionalidades básicas del sistema OSSIM Alienvault y
realizaremos un ejercicio sencillo de definición de reglas de correlación de eventos.
Si lo preferís, podéis utilizar la máquina virtual que hemos preparado con OSSIM Alienvault
preinstalado. Esta máquina está pensada para desplegarla junto en el entorno ‘LAN’ que hemos
creado para actividades anteriores. Os recomendamos que arranquéis también el router Vyatta y
el cliente LUbuntu. Este último cliente lo necesitaréis para conectaros y administrar el SIEM. Si
optáis por esta vía, la dirección IP del SIEM es https://10.0.0.150
1. Analice las opciones que ofrece OSSIM para configurar distintas fuentes de datos y
posibilidades monitorización y explique aquí las que considere más interesantes.
5. Verifica que en la tabla de eventos del SIEM se van reflejando los eventos del HIDS.
Para ello, instala un nuevo paquete, por ejemplo.
De la misma forma que hemos agregado este HIDS para Linux, podemos descargar e instalar
HIDS para los hosts Windows.
En este caso, os proponemos que construyáis reglas de correlación para la detección de actividad
sospechosa usando SIEM con los sensores que ya hay configurados por defecto y con el nuevo
agente OSSEC que hemos agregado. Os sugerimos que uséis como base el servicio SSH pero
podéis emplear el que queráis.