OSSIM – Open Source Security Information Management – Release

Hace un tiempo le habimos presentado a OSSIM – Open Source Security Information Management, esta suite se encuentra en la actualidad en la version 2.3 (Agosto 2010)


OSSIM tiene por objetivo proporcionar una recopilaci贸n completa de las herramientas que trabajando juntas dan una vista detallada sobre todos y cada uno de los aspectos de sus redes, hosts, dispositivos de acceso f铆sico, server, etc; en lo que se refiere a vulnerabilidades.

AlienVault Open Source SIEM (OSSIM) es un sistema de seguridad integral en c贸digo abierto que cubre desde la detecci贸n hasta la generaci贸n de m茅tricas e informes a un nivel ejecutivo. AlienVault se ofrece como un producto de seguridad que le permitir谩 integrar en una 煤nica consola todos los dispositivos y herramientas de seguridad que disponga en su red, as铆 como la instalaci贸n de otras herramientas de c贸digo abierto y de reconocido prestigio como Snort, Openvas, Ntop y OSSEC.

AlienVault es un producto que integra m谩s de 30 herramientas Open Source. Tanto el sistema operativo como muchas de las herramientas integradas, han sido modificadas para mejorar su funcionamiento dentro del sistema. Es por ello que la instalaci贸n de AlienVault a partir del c贸digo fuente requiere de unos ampl铆simos conocimientos y de la compilaci贸n de m谩s de 40 herramientas.

Funcionamiento B谩sico

Trataremos de mostrar, de forma simplificada, que procesos tienen lugar dentro de AlienVault:

1. Las aplicaciones generan eventos de seguridad
2. Los eventos son recogidos y normalizados
3. Los eventos son enviados a un servidor central
4. Valoraci贸n del riesgo de cada evento
5. Correlaci贸n de eventos
6. Almacenamiento de los eventos
7. Acceso a los eventos almacenados
8. Acceso a la configuraci贸n
9. Acceso a m茅tricas e informes
10. Acceso a informaci贸n en tiempo real del estado de nuestra red

Los eventos de seguridad son generados por las diferentes aplicaciones y/o dispositivos que dispongamos en nuestra red. Estos eventos son recogidos y normalizados por el Sensor de AlienVault, que se encarga adem谩s de enviarlos a un servidor central. En un despliegue de AlienVault podremos disponer de tantos Sensores como necesitemos. Como ejemplo, se puede situar un sensor dentro de la DMZ, un sensor en cada ciudad o dedicar un sensor para monitorizar cada una de las redes de la corporaci贸n.

El Sensor de AlienVault incluye una serie de herramientas (Snort, Ntop, Tcptrack, Arpwatch鈥) que permiten analizar todo el tr谩fico de red en busca de problemas de seguridad y anomal铆as. Para poder sacar provecho de esta funcionalidad de AlienVault es imprescindible que el Sensor de AlienVault sea capaz de ver todo el tr谩fico de la red, bien sea utilizando un concentrador, o configurando un port mirroring o port Span en la electr贸nica de red.

Todos los sensores de AlienVault env铆an sus eventos a un 煤nico servidor de AlienVault, que se encarga de efectuar una valoraci贸n del riesgo para cada evento, y en el que tambi茅n tendr谩 lugar el proceso de correlaci贸n. Una vez estos dos procesos han tenido lugar, los eventos son almacenados en la base de datos de AlienVault.
Para tener acceso a toda esta informaci贸n, as铆 como a la configuraci贸n del sistema y a una serie de m茅tricas e informes haremos uso de la Consola Web de AlienVault. Desde esta consola Web tambi茅n tendremos acceso a informaci贸n en tiempo real a una serie de aplicaciones que nos facilitar谩n el an谩lisis del estado global de nuestra red.

Los detectores siguientes est谩n activados por defecto:

Snort (IDS a nivel de Red)
Ntop (Monitor de red y uso)
Openvas (Gesti贸n de Vulnerabilidad)
P0f (Sistema Operativo de Detecci贸n Pasiva)
Pads (Sistema Pasivo de Detecci贸n de Activos)
Arpwatch (Anomal铆as de cambios de mac)
OSSEC (IDS a nivel de Host)
Osiris (Monitor de integridad)
Nagios (Monitor de disponibilidad)
OCS (Inventario)

M谩s info:

* Capturas
* Documentacion
* Imagen Vmware
* Web oficial del proyecto

Descargar ahora!

Share

This entry was posted in tools. Bookmark the permalink.

Deja una respuesta

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *

Este sitio usa Akismet para reducir el spam. Aprende c贸mo se procesan los datos de tus comentarios.