Alienvault OSSIM v4.7.1

8/9/2019 Alienvault OSSIM v4.7.1

1/60

Concepto,

instalacin,confguracin yherramientas deAlienvault OSSIM

v4.8


2/60

Por: Jorge Osorio y Roger Orozco.


3/60

ndice Alienvault

Introduccin 1Concepto 2Objetivo 2

DivisinAbstracta 3Aplicacin Cliente 3

Requerimientos de instalacinHardware 4Red 4

InstalacinInstalacin paso a paso 5Instalacin de sensor 11

Configracin de pro!" 14Configracin de rango de redes 1#Configracin de base de datos 1$Configracin de %onitores netflow 1&

Activacin de plgins 21Instalacin " configracin de 'agios en sensores 22

Cuadros de mandoInfor%acin general 24

Real (i%e Cop" 25)ecrit" 25(a!ono%" 2#

*stado despliege

Cadro de %ando 2#Avisos " errores 2$

+apa de riesgosInfor%acin general 2$

O(,-atos de reptacin 2.

AnlisisAlar%as 2.*ventos )I*+

)I*+ 2&(ie%po real 3/

(ic0ets 3/

EntornoActivos 31-escbri%iento de activos 31

rpos " redes 32lnerabilidades 32erfiles 33'etflow 33Captra de trfico 34-isponibilidad

+onitoriando 34Infor%es 35

-eteccin 35


4/60

InformesInfor%acin general 3#

ConfiguracinAd%inistracin

6sarios 3$rincipal 3$Copia de segridad 3.

-espliegeCo%ponentes

Alienvalt Center 3.)ensores 3&)ervidores 3&

rogra%ador 4/6bicaciones 4/

Info7 )obre a%enaasol8ticas 41

Acciones 41ertos 42-irectivas 42C%pli%iento de nor%ativa 43Correlacin Crada 44Origen de datos 45(a!ono%8a 459ase de conoci%iento 4#

Configuraciones+i perfil 4$)esiones actales 4.

Actividad de sarios 4&Soporte

A"da 5/-escargas 51

Actualizacin a 4!" 52Res%en de %ejora%iento de actaliacin 53lnerabilidades reseltas con la actaliacin 54


5/60

Introduccin

O))I+ ofrece todas las caracter8sticas :e n siste%a profesional necesita de na oferta)I*+; recopilacin de eventos; de nor%aliacin " de correlacin7 *stablecido " pesto en

%arc


6/60

Concepto

Alienvalt O))I+ es na


7/60

Divisin Abstracta

-esde na perspectiva abstracta; pode%os dividir a O))I+ en dos secciones7 Acontinacin se presenta la descripcin de a%bas partes7

Software Servidor.

*s na distribcin del siste%a operativo @in! :e necesita estar conectado a la red :ese va a %onitorear7 Ade%s necesita na I fija para poder acceder a s infor%acin7Co%o parte de la distribcin estndar de O))I+; se instala na serie de progra%as paraconfigrar; %onitorear " responder ante ata:es sobre la red7 A continacin se %encionalas


8/60

Requerimientos de instalacin

%ard&are

)e reco%ienda :e si se centa con n procesador de #4 bits; se instale la versin de #4bits; pes en esta versin dar n %ejor rendi%iento de los recrsos " por lo general enlas distribciones de #4 bits no ocasionan proble%as7

*l re:eri%iento de


9/60

Instalacin

O))I+ es prodcto :e integra %s de 3/


10/60

27 6na ve seleccionado la pri%era opcin de instalacin; se %estran las opcionesdel lengaje en el cal se va a configrar el O))I+7

37 A continacin pide :e se seleccione la bicacin para poder fijar na ona


11/60

47 A continacin se pide la configracin del teclado :e seg>n corresponda7

7


12/60

57 6na ve seleccionado la configracin del teclado "


13/60

.7 A continacin; se configra la direccin de pasarela de la red; es decir elenca%inador; " se da clic en continar7

&7 *n la sigiente pantalla se pide la configracin del s>per sario " la contraseFade acceso7 )e Introdce el no%bre de s>per sario " la contraseFa " se da clicen continar7

9


14/60

1/7 6na ve configrado el s>per sario " la contraseFa de este; se procede a laparticin del disco dro7 @o :e sige es esperar :e siga el proceso7

117 6na ve particionado el disco; contin>a la instalacin del siste%a base7)i%ple%ente se deja :e contin>e el proceso7

127 Cando se ter%ine de instalar el siste%a base; e%piea a cargar la ter%inacin dela instalacin " solo :eda esperar el proceso7

137 6na ve :e


15/60

157 a introdcido el sario " la contraseFa; aparece na pantalla verde el cal

contiene na serie de opciones para configrar el siste%a7

Instalacin del sensor de Alienvault.

@a instalacin del sensor de Alienvalt es parte de los sensores de O))I+D es parecida ala instalacin co%>n :e se


16/60

@os de%s pntos de la instalacin son si%ilares al del servidor; se configra el idio%a; la

bicacin; la configracin del teclado; la direccin I :e perteneca a la %is%a red enla :e se encentra el servidorD; la %scara de la red; el enca%inador; sario;contraseFa " la ona


17/60

6na ve ter%inada la instalacin del sensor es necesario ingresar el sario " contraseFaen la pantalla de bienvenida del sensor desp?s se desplegara el %en>; con esto elsensor se atentificar al servidor de %anera ato%tica " pode%os co%probarlo en elGra%ewor07

ara verificar :e el sensor "a se identific en el Gra%ewor0; se abre la ventana deDespliegue , Componentes , Sensores7

Al abrir la pestaFa de sensores aparecer n %ensaje diciendo :e n sensor estreportndose; %ostrando la direccin I del sensor " las opciones :e se peden to%ar"a sea insertar o descartar7

13


18/60

Cando se agrege el sensor solo es necesario recargar la pgina " verificar :e los

ca%bios "a se aplicaron correcta%ente7

14


19/60

Configuracin del proxy.

@a configracin del pro!" es necesaria en algnos casos; por si el lgar en donde seinstal el sensor centa con n pro!" en espec8fico para la salida


20/60

-esp?s es necesario entrar a0ro1- Configuration " dentro de la opcin se selecciona%odomanual " se configra el pro!"7

6na ve :e se le asign el %odo %anal se le pondrn los datos :e pida co%o= *nterpro!" ser na%e; enter pro!" password; pro!" port; pro!" -')7

Cando se concl"a con la actaliacin de los datos es necesario regresar a la ventanaprincipal " darle a Appl- c2angespara gardar los ca%bios " actaliarlos7

Otra for%a de ca%biar el pro!" es en %odo consola entrando del %en> grfico


21/60

Configuracin de los rangos de redes que va a monitorear el sensor.

@os rangos del %onitoreo es esencial para tener na bena ad%inistracin de los activosdel lgar de donde se instalar el servidor " los sensores del Alienvalt7ara la configracin en %odo grfico entra%os al %en> de Alienvalt " se selecciona laopcin configure Sensor7

6na ve dentro de del %en> de configracin se selecciona la opcin monitorednet&or/s " dentro de esta configracin pedir :e se asignen los rangos los calessern %onitoriados; los rangos :e se asignen son independientes nos de otros "deben de ir correspondiente al lgar donde se instalar el servidor o los sensores paratener n so %s c%odo " controlado7

17


22/60

@a configracin del rango de %onitoreo pede ser ta%bi?n en %odo consola si es %e%a"or co%odidad; para la configracin del rango es necesario entrar a el %odo consolaseleccionando la opcin $ailbrea/ t2is appliance; na ve dentro edita%os el arcnica%ente se separa por na co%a7

Configuracin de la base de datos.

@a configracin de la base de datos es necesaria para tener bien estrctrado elAlienvalt; con esto se tendr los datos al%acenados en na sola base de datos para

facilitar la generacin de reportes o consltas :e se deseen nico :e tiene de %anera predeter%inada instalado labase de datos7

*l direcciona%iento de la I de los sensores se ca%biar en la rta deetcossimossim6setupconf bscando la linea de 7database8 na ve bicada seobservaran tres pntos en los cales se %encionan ip6db; pass; user7 @a direccinip6db%estra na direccin local; en el passno est establecida ningna contraseFa "el useres root; estos datos vienen de %anera predeter%inada al instalar el sensor7

18


23/60

Co%o se re:iere direccionar la base de datos de los sensores


24/60

Configuracin de monitores de netflow.

Cando se da alta n nevo sensor Alienvalt Alienvault5setup " escoger la opcin Kailbrea0 t


25/60

)e bscar la l8nea sorces; a:8 se observar :e "a se centa con n sensor dadode alta :e corresponde a Alienvalt el cal tiene asignado s propio id; port; col; t"pe7

(a%bi?n se encontrar los %is%os par%etros pero en este caso no centa con id pero

los otros par%etros son asignados de %anera defalt cando detecta :e se


26/60

Activacin de los plugins de Alienvault

@os plgins de Alienvalt son esenciales para tener n ben control de los pntos :e sedesee vigilar o tener n %ejor control de este; los plgins son independientes entresensores " servidores esto :iere decir :e se pede activar plgins independientes enn sensor " otros diferentes en otro sensor o servido; " as8 poder cbrir de %ejor %aneralos pntos d?biles del lgar donde se instale el Alienvalt7

ara la activacin de los plgins es necesario entrar al %en> de Alienvalt; na veadentro se debe seleccionar la opcin Configre )ensor7

6na ve dentro del sensor Alienvalt se seleccionar la opcin )elect -ata )orces7

a estando dentro del %en> -ata )orces se desplegar n %en> con todos los plgins:e tiene instalado el Alienvalt; para seleccionarlo es necesario ponerse sobre el plgindeseado " presionar espacio del teclado; cando concl"a con la seleccin de plgins seselecciona Aceptar7

Al seleccionar aceptar es necesario regresar al %en> principal " seleccionar Appli

22


27/60

c2anges7

Instalacin y configuracin de Nagios en los sensores.

*l 'agios pede ser instalado en cada no de los sensores "a :e ningno centa coneste servicio; 'agios per%ite llevar n co%pleto control de la disponibilidad de losservicios; procesos " recrsos de n e:ipo; :e selen ser >tiles si se desea obtenerinfor%acin de este tipo7

ara la instalacin de 'agios en los sensores es necesario estar en %odo consola "escribir aptitude Install nagios'" la instalacin co%enar7

ara la configrar el 'agios de %anera correcta


28/60

6na ve ingresado estas l8neas es necesario gardar " salir para desp?s restablecer losvalores del 'agios con la instrccinetcinitdnagios' restart7

A


29/60

Herramientas de la interfa web Alienvault !SSI".

Cuadros de mando#Informacin general.

*sta es la seccin principal al abrir la interfa del Alienvalt O))I+; el cal %estra lainfor%acin general sobre los eventos )I*+; las alar%as " el tipo de nivel de riesgo en lared; todo esto en for%a de grficas7 -entro de esta opcin se pede seleccionar el tipo devista :e se desea; se da la opcin de visin e!ective; tic0ets; secrit"; ta!ono%";networ0; vlnerabilities " real ti%e7

Cabe %encionar :e en este apartado ta%bi?n se tiene la opcin de ordenar a gsto lavisin de las grficas7 *n este apartado; son solo con fines infor%ativos " no se pede%odificar el contenido de algna grfica; son solo para fines infor%ativos7

25


30/60

Cuadros de mando#Informacin general#$eal %ime Copy.

*n esta pestaFa %estra infor%acin acerca de eventos :e sceden en la red en tie%poreal; en el cal dice la fec


31/60

Cuadros de mando#Informacin general#%axonomy

*n esta pestaFa; %estra infor%acin acerca de los tipos de riesgo; virs " a%enaas :epeden e!istir en el siste%a7 +estran grficas de top 1/ de


32/60

*n esta seccin se %estran los avisos " errores :e podr8a


33/60

*n este aparatado se %estra n %apa del %ndo el cal dice las I %aliciosas :e seencentran alrededor del planeta " los principales pa8ses con %a"or riesgo de I7 -e igal%anera se peden encontrar eventos )I*+ en diferentes partes del %apa7

An)lisis#Alarmas.

*n esta seccin; se encentran en for%a de grficas las alar%as generadas por elsiste%a el cal nos dice si e!iste alg>n siste%a co%pro%etido; si e!iste alg>n ata:e enla red; si e!iste alg>n descbri%iento de algna debilidad en el siste%a entre otros7(a%bi?n %estra en tie%po real las alar%as :e se clasifican por estado; propsito "estrategia; el tipo de riesgo; el origen " el destino de la alar%a7

An)lisis#&ventos SI&"#SI&"

29


34/60

*n esta pestaFa se %estran los eventos )I*+ )ecrit" Infor%ation and *vent+anage%entD el cal %estran eventos en la red "a sea por >lti%o d8a; la >lti%a se%ana;el >lti%o %es o por n rango de fec


35/60

*n esta seccin; se encentran los eventos encontrados en el siste%a pero con lacaracter8stica de ser eventos en tie%po real; los cales se %estran en na tabla con lafec


36/60

*n esta pestaFa se localian todos los activos escaneados por los sensores :e seencentran de las diferentes redes7 @os activos son los e:ipos :e se encentran enciertas secciones de la red en donde se localian los sensores " se colocan en na tablacon el no%bre del e:ipo; la I del e:ipo; el alias del e:ipo; las alar%as; los eventos;las vlnerabilidades " detalles de cada e:ipo7 *stos activos se peden clasificar oencontrar por %edio de filtros; los cales se peden clasificar por activos :e tenganalar%as; activos :e tengan eventos; activos :e centen con vlnerabilidadesL o ta%bi?nse peden clasificar los activos por el %o%ento :e feron descbiertos; los cales seclasifican por activos aFadidos el >lti%o d8a; la >lti%a se%ana; el >lti%o %es o por n

rango de fec


37/60

*sta seccin se encentra divida en tres parte7 rpos; redes " grpos de redes7 *n laseccin de grpos; se encentran al%acenados los grpos de


38/60

*n esta seccin se pede definir en varias secciones; las cales co%prenden losservicios; global; rendi%iento " %atri7 *n el apartado de servicios nos %estra nagrfica con el trfico global del sensor seleccionado7 *n la i%agen :e se %estra acontinacin; se %estra na grfica en la cal se da a conocer el servicio de netflow enel sensor principal servidorD en el cal se %estra el trfico :e pasa a trav?s de ?l7

&ntorno#Netflow.

*n la pestaFa de 'etflow; se encentran nas grficas :e enseFan el trafico (C; eltrfico 6-; el IC+; entre otros protocolos de Internet :e pasan por los diferentessensores de la red7

&ntorno#Captura de %r)fico.

34


39/60

Co%o el no%bre lo indica; en esta seccin se realia la captra de trfico de la red; en lacal se selecciona el sensor a tiliar para la captra; el tie%po esti%ado de la captra; elta%aFo de pa:etes de la captra; el origen " el destino de la captra de trfico7 Al aco%pletar estas partes; se selecciona lanar captra " nos generar n arc


40/60

*sta seccin es si%ilar a la de disponibilidad%onitoriando; solo :e en esta seccin segeneran infor%es sobre tendencias; disponibilidad;


41/60

*sta seccin se genera reportes de todo tipo de acciones7 *n la parte inferior se %encionael reporte de alar%as; detalles de activos; infor%e de disponibilidad; reporte bssiness Tco%pliance I)O CI; infor%e geogrfico; infor%e de %?tricas; eventos )I*+; a%enaas" base de datos de vlnerabilidades; estado de tic0ets; infor%e de tic0ets; infor%e deactividad de sarios e infor%e de vlnerabilidadesL todos estos infor%es se pedengenerar "a sea por n doc%ento -G; o enviar n correo electrnico con los datos delinfor%e7

Configuracin#Administracin#/suarios

37


42/60

*n esta seccin del Alienvalt O))I+; se encentra la parte ad%inistrativa del progra%a;pes a:8 se conte%pla la ad%inistracin de sarios; es decir; la creacin de sariosnor%ales; sarios ad%inistrativos; %odificar sarios " ta%bi?n eli%inar sarios;an:e esta >lti%a opcin solo es posible si es el ad%inistrador del siste%a7 (a%bi?n sepede ver la actividad de cada no de los sarios registrados en el siste%a7

Configuracin#Administracin#rincipal.

*n esta seccin se peden realiar copias de segridad del siste%a; %odificacin detic0ets; %?todosEopciones de login; %?tricas; interca%bio de a%enaas; %odificar elfra%ewor0 de O))I+; %odificar pol8ticas de contraseFas; las actividades de los sarios "%odificar el escner de vlnerabilidades7

Configuracin#Administracin#Copia de seguridad.

38


43/60

*n esta seccin se peden generar o restarar algna copia de segridad en el siste%aO))I+; tiliando el gestor de copias de segridad " dar de alta en las feclti%os eventos de bac0p7

Configuracin#(espliegue#Componentes#Alienvault Center

*n esta seccin se encentra toda la infor%acin de los co%ponentes; tanto co%osensores " servidores7 'os %estran los datos de estos co%o son el no%bre; la I; elestado; el so de la RA+; so del )PA; so de la C6; nevas actaliaciones7

Configuraciones#(espliege #Componentes#Sensores.

39


44/60

Co%o s no%bre lo indica; a:8 se encentran todos los sensores :e estn dados dealta en el siste%a; de igal %anera se encentran datos co%o no%bre; I; perto;prioridad; estado " descripcin7

Configuraciones#(espliege #Componentes#Servidores.

Al igal :e en la seccin anterior; a:8 se conte%plan los no%bres; direcciones I;

pertos; estados " descripcin de los servidores tiliados en el Alienvalt7

Configuracin#(espliege#rogramador

40


45/60

*n esta seccin se encentra la fncin de progra%ar el '%ap; el O)C " P+I7 *n estecaso se peden crear; %odificar " eli%inar los escaneos7

Configuracin#(espliegue#/bicaciones.

*n este aparatado se conte%plan las bicaciones en donde se encentra instalado elO))I+7 )e pede asignar el no%bre de la bicacin; na descripcin; la localiacin; lalatitd " la longitd7 -e igal %anera se peden crear; %odificar o eli%inar las bicacionesen cal:ier %o%ento :e sea necesario7

Configuracin#Info. Sobre amenaas#ol0tica.

41


46/60

*n esta seccin se le peden asignar las pol8ticas :e no necesite a los diferentesgrpos :e se encentran dentro de los :e es el siste%a de Alienvalt7 )e pedenasignar condiciones tanto al origen de na %:ina co%o a s destino al igal :e a lospertos de origen; pertos de destino " tipos de eventos7 (a%bi?n se peden asignarconsecencias a acciones; eventos )I*+; logger " reenv8o de eventos7 de si%ilar for%ase peden asignar condiciones a cada pol8tica :e se desee i%ple%entar7

Configuracin#Info. Sobre amenaas#Acciones.

*n esta seccin se encentran las acciones :e se


47/60

*n esta seccin se encentran descritos los pertos; los protocolos de cada perto; el tipode servicio :e se tilia " la descripcin del perto7 )e peden tener na vista individalpor perto o se peden visaliar por grpos de pertos7 -e igal %anera se pedencrear nevos pertos; %odificar pertos " eli%inar pertos7

Configuracin#Info. Sobre amenaas#(irectivas.

*n esta seccin es donde se encentran las directivas de correlacin7 @as correlacionestienen el propsito de bscar evidencias :e co%preben si n evento de segridad escierto o si se trata de n falso positivo7 *n las directivas de correlacin; se i%ple%entanlas %edidas necesarias para c%plir estos par%etros7 *n esta seccin se pedenencontrar varios tipos de directivas preestablecidas por el siste%a; ta%bi?n se peden

crear nevas directivas; se peden co%probar directivas; reiniciar servicios " bscar elno%bre de algna directiva7

Configuracin#Info. Sobre amenaas#Cumplimiento de normativa.

43


48/60

*n esta seccin se peden i%ple%entar las nor%ativas internacionales de segridad;co%o es la nor%a I)O 2$//1 o la CI -)) 27/7 *n esta parte se desglosan cada na delas partes de la I)O " se pede decidir :e i%ple%entar " :e no7

Configuracin#Info. Sobre amenaas#Correlacin cruada.

@a correlacin crada per%ite prioriar o depreciar eventos a los :e sabe%os :eso%os vlnerables %ediante el crce de infor%acin proveniente de detectores "analiadores de vlnerabilidades7 @a correlacin crada depende de la base de datos devlnerabilidades espec8ficas " tablas de correlacin crada para cada detector7

*n esta seccin se peden ver los tipos de correlaciones :e e!isten7 )e aprecian en natabla donde se describe el no%bre de origen de datos; el tipo de evento; el no%bre de

referencia; el no%bre referencia )I-7 Al igal :e en secciones anteriores; se pedencrear nevas correlaciones; %odificar correlaciones " eli%inar correlaciones7

44


49/60

Configuraciones#Info. Sobre amenaas#!rigen de datos.

A trav?s de na tabla se pede conte%plar el origen de datos en cal se describen la I-origen de datos; el no%bre; el tipo; el tipo de prodcto " la descripcin7 (a%bi?n sepeden editar los datos; se peden ad%inistrar referencias de eventos " restarar plgins7

Configuracin#Info. Sobre amenaas#%axonom0a.

45


50/60

*n este apartado se conte%plan todas las categor8as :e se tiene acerca de los or8genesde datos :e se encentran en la ta!ono%8a del siste%a7 -entro de cada categor8a sepede editar los or8genes de datos; ad%inistrar referencia de eventos; restarar plgins "crear nevos or8genes de datos7

Configuracin#Info. Sobre amenaas#1ase de conocimiento.

*n esta seccin se encentra na base de datos con todos los aconteci%ientos :e


51/60

Configuraciones#"i perfil.

*n esta parte se encentra en la parte sperior derec


52/60

Configuraciones#Sesiones actuales.

*n esta seccin se peden apreciar las sesiones de los sarios :e en este preciso%o%ento estn activos7 'os %estra en na tabla el no%bre del sario; s direccin I;el no%bre del e:ipo; el agente; la I- de sesin; la feclti%aactividad " las acciones de este7 )i se es n sario ad%inistrador; se peden sacar a losde%s sarios7

48


53/60


54/60

*n esta pestaFa se peden observar toda la actividad de los sarios con el siste%a7 )e%estran desde la actividad %s reciente


55/60

*sta seccin se encentra en la parte sperior derec


56/60

*n esta seccin encontra%os na serie de progra%as :e nos a"daran a co%pletaracciones :e re:iera el Alienvalt7 *ncontra%os


57/60

todos los clientes nevos " e!istentes7 Alienvalt ani%a o reco%ienda a los sariosaplicar pri%ero la actaliacin a n siste%a de preba para co%prender " aprender laneva fncionalidad antes de actaliar los siste%as de prodccin7

Informacin importante de actualiacin.

@a neva versin del Alienvalt incl"e actaliaciones para el servidor web Apac


58/60

'eva i%agen +ware virtal disponible para el sensor estndar con interfaces de

red #,197 @os clientes :e s:eda )I*+7

*l agente de Alienvalt anico para cada bicacin de

arc


59/60

Catro vlnerabilidades feron descbiertas " :e se blica ss< :e se pede tiliar para iniciar sesin en ele:ipo7

rodctos afectados= Alienvalt v47$7/ e inferiores7

Gactores atenantes= *!ploit re:iere acceso a la red local para la instalacin deAlienvalt7 *!ploit no re:iere atenticacin7

37 Cdigo de vlnerabilidad= AN113.&7

-escripcin= 6na vlnerabilidad de divlgacin de infor%acin fe descbierta "divlgada de for%a privada7 *sta vlnerabilidad podr8a per%itir a n atacante

acceder a infor%acin confidencial de la %e%oria %ediante el env8o de peticionesespecial%ente diseFados al servidor7

rodctos afectados= Alienvalt v747$7/ e inferiores7

Gactores atenantes= *!ploit re:iere acceso a la red local para la instalacin deAlienvalt7 *!ploit no re:iere atenticacin7

47 Actaliacin de segridad en -ebian= AN11$3#7

-escripcin= arios pa:etes de -ebian se


60/60

para resolver vlnerabilidades e!pl8citas7 *stos pa:etes se

Alienvault OSSIM v4.7.1

Documents

Transcript of Alienvault OSSIM v4.7.1