Professional Documents
Culture Documents
1 de 7
http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...
Me gusta
Manuales, tutoriales, guas y ejemplos de configuracin de AlienVault OSSIM, el mejor SIEM del mercado, en
espaol. Con openredes aprende a usar las mejores herramientas open source de redes.
Compartir
182
Buscar
Con la tecnologa de
Traductor
Alojado en
HACE 1 AO
En esta entrada iremos haciendo un resumen de las rutas, los directorios y la localizacin de los ficheros de
configuracin relevantes o a tener en cuenta en OSSIM y en AlienVault USM.
Directorios:
Perfil sensor
Perfil server
(versin AlienVault USM) Ruta a almacen de logs /var/ossim/logs/
Ruta server OSSEC /var/ossec/
Ruta base de datos /var/lib/mysql/
Ruta a directivas de correlacin de usuario /etc/ossim/server/context-hash/ (desde la versin 4.2 en adelante)
Publicidad
14/12/2015 23:14
2 de 7
http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...
HACE 1 AO
Para proceder con la actualizacin de la plataforma AlienVault USM OSSIM se sugiere seguir los siguientes pasos:
Entender bien lo que hay que hacer antes de proceder. Sigue leyendo.
Proteger los plugins personalizados o que hayamos modificado. Desde versin 4.4 de AlienVault USM OSSIM la
actualizacin ya no mata los plugins personalizados almacenados como .local en el directorio /etc/ossim/agent
/plugins/, as que lo mejor, si an no lo haces, es copiar los plugins que tienes en uso con el mismo nombre y
aadiendo .local (quedando por ejemplo apache.cfg.local). A partir de ahora lo mejor es editar estos .local para hacer
modificaciones y dejar intactos los originales ya que en cada actualizacin se sobrescribirn.
Proteger los plugin sids personalizados. La versin 4.4 aun sigue aniquilando los sids personalizados, estos se
almacenan en la base de datos y son machacados en cada actualizacin. Para evitarlo lo mejor es acostumbrarse a
crear nuevos plugin sids desde un fichero sql (los originales estn en el directorio /usr/share/doc/ossim-mysql/contrib
/plugins/ comprimidos o almacenados como .sql) y
HACE 2 AOS
visitas
Un aporte muy interesante de Ferran para OSSIM y AlienVault USM es su versin corregida
de regexp.py.
Para los que no lo sepan regexp.py es un script de OSSIM y AlienVault USM que se ubica en /usr/share/ossim/scripts
/regexp.py y trata de ser una til herramienta para ayudar a los tcnicos en la ardua tarea de creacin de plugins para
OSSIM, mas bien trata de ser til para la parte de testing de nuevos plugins. regexp.py es un script que lee un fichero de
logs y lo evala contra una expresin regular concreta o un fichero de plugin que contenga varias expresiones regulares
con las que han de matchear los eventos que se encuentran en el fichero de logs y nos dice el resultado, de forma que
sabremos si nuestras expresiones regulares son correctas o no. Y digo que regexp.py trata de ser una til herramienta
bsicamente porque no funciona bien y sus errores (los mismos desde el origen de los tiempos) lo hacen inservible,
estos son los errores que nosotros hemos detectado en el script regexp.py:
No respeta el orden de las expresiones regulares contenidas dentro del fichero de plugin que usemos.
El modificador y (show non matching lines) no funciona.
No funciona el uso de los
Nube
actualizar vyatta administracin
Vyatta AlienVault AlienVault USM
OSSIM autenticacion openvpn certificados
configuracion
firewall vyatta
vpn vyatta
HACE 4 AOS
VPN vyatta
14/12/2015 23:14
3 de 7
http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...
vyatta firewall
vybuddy
Lo mas visto
HACE 4 AOS
nslookup obtener IP de un
AlienVault USM OSSIM, Vyatta 2.761 visitas
English version
Gua paso a paso para actualizar la versin del plugin de Vyatta que estemos usando en el
agente de OSSIM. Si no tienes registrado el plugin de Vyatta en el agente de OSSIM para poder ponerlo en
funcionamiento primero deberas pasarte por la gua de instalacin del plugin de Vyatta en el agente de OSSIM.
Para actualizar la versin del plugin:
1. Descargamos el fichero vyatta.cfg de la ltima versin del plugin de Vyatta y lo introducimos en el agente de OSSIM
en la ruta /etc/ossim/agent/plugin/
El plugin lo podemos descargar desde su pgina y guardarlo despus en la ruta /etc/ossim/agent/plugin/ del
agente de OSSIM.
O directamente desde OSSIM con los siguientes comandos:
2. Descargamos el fichero vyatta.sql de la ltima versin del plugin de Vyatta y lo introducimos en el agente de OSSIM
en la ruta /usr/share/doc/ossim-mysql/contrib/plugins/
El plugin lo podemos descargar desde su pgina y guardarlo despus en la ruta /etc/ossim/agent/plugin/ del
agente de
HACE 4 AOS
Versin en espaol
In order to understand and normalize information sent by certain device OSSIM agent needs
a plugin focused to this device. A plugin consists basically on regular expressions and a list
that make possible to identify unambiguously each produced event. Once normalized information is obtained using the
plugin it is passed to other agent functions which send the information to OSSIM server as events form. OSSIM considers
two kinds of plugins, detectors and monitors plugins. Vyatta plugin needs to be a detector plugin. Before face up to a
creation of a detector plugin is very important to have the working flow clear:
The device generates an event.
Syslog module of the device sends the event to OSSIM agent.
On OSSIM agent rsyslog gets the event on 514 UDP port (default).
According to rules configured on rsyslog (/etc/rsyslog.conf and /etc/rsyslog.d/) it will send the event to the
corresponding logs file.
Plugin will read events collected on corresponding log file (specified with locate variable on .cfg plugin file).
Each event from the log file will be normalized according to plugin rules.
Each normalized event will be sent to OSSIM server with its corresponding
Destacados
ndice de entradas relativas al
configuracin de Vyatta
Tutorial, manual de configuracin
del mdulo de firewall en Vyatta
vbash, la interfaz de lnea de
comandos (CLI) de Vyatta
14/12/2015 23:14
4 de 7
http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...
Cuidado con las actualizaciones
HACE 4 AOS
Msica selecta
Versin en espaol
Steps below will guide you to upgrade your Vyatta plugin version for OSSIM agent. If you
havent registered a Vyatta plugin on OSSIM agent yet then you need to have a look to the
1. Download vyatta.cfg file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file
on OSSIM agent at /etc/ossim/agent/plugin/ path.
You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.
Or you can do it directly with these commands:
Comentarios recientes
Maximiliano
Hola, quiero saber la
forma de copiar un
archivo grande desde
un equipo local. El
problema es que donde
yo accedo a []
HACE 2 MESES
2. Download vyatta.sql file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file
on OSSIM agent at /usr/share/doc/ossim-mysql/contrib/plugins/ path.
You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.
Or you can do it directly with these commands:
Yohan
quedo corrida la
informacin Origen:
192.168.0.0/24 Destino:
200.60.0.0/24,
200.50.0.0/24 []
HACE 2 MESES
Yohan
Estimados, Muy til esta
informacin. Estoy
intentando implementar
una poltica que haga lo
siguiente: Necesito
limitar el ancho de []
HACE 4 AOS
HACE 2 MESES
English version
dispositivo. Un plugin bsicamente consiste en una serie de expresiones regulares y una lista que permite identificar de
forma inequvoca el tipo de evento producido. Una vez se obtiene la informacin estandarizada se pasa a otras funciones
del agente para ser enviada al server de OSSIM en forma de eventos. OSSIM considera dos tipos de plugins, detectores y
monitores. Los detectores leen los logs que se almacenan de un determinado dispositivo y los estandarizan para que el
agente pueda enviarlos al servidor de OSSIM. Los monitores reciben indicaciones del servidor de OSSIM y analizan de
forma activa los dispositivos. Segn lo anterior, el plugin de Vyatta ser de tipo detector. Antes de enfrentar la creacin
de un plugin detector hay que tener claro el flujo de funcionamiento:
El dispositivo genera un evento.
Mediante syslog lo enva al agente de OSSIM.
juapew
Hola Chicos queria
haceros una pregunta, he
buscado por todo lado la
solucion a mi problema
pero nada , estoy
intentando entrar por ssh
[]
HACE 3 MESES
iluminati
No est mal, pero para
un puerta... pero y si
tienes 2 puertas o dos
garajes? Yo he montado
arrafagas y va de coa.
Saludos
HACE 9 MESES
MOSTRAR MS
HACE 4 AOS
Entradas recientes
AlienVault USM OSSIM, Vyatta 2.670 visitas
English version
Una vez actualizado o dado de alta el nuevo plugin de Vyatta en el agente de OSSIM
podemos hacer las siguientes pruebas y ver que estamos recibiendo en el servidor de OSSIM
todos los eventos reflejados en el nuevo plugin de forma correcta. Con estos pasos podemos provocar en nuestro
sistema Vyatta que un archivo con logs de ejemplo sea logueado y enviado al agente de OSSIM el cual deber analizarlos
y normalizarlos.
Resumen de rutas y
ficheros de configuracin
en OSSIM y AlienVault
USM (0)
En esta entrada iremos
haciendo un resumen de
las rutas, los directorios
14/12/2015 23:14
5 de 7
1. En OSSIM abrimos la ventana de tiempo real desde Analysis - SIEM - Real Time:
http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...
2. En la mquina Vyatta descargamos de openredes los archivos de ejemplo de logs, hasta ahora los logs de ejemplo
disponibles son:
sample_firewall (2,8 KiB, 1.859 hits)
sample_ospf (1,2 KiB, 675 hits)
Por ejemplo:
HACE 1 AO
[otrs] Backend de
autenticacin de agentes
por LDAP (0)
La configuracin de
OTRS para que use un
servidor LDAP como
backend de
autenticacin de
agentes, por ejemplo
OpenLDAP, Active
Directory, []
HACE 1 AO
Actualizacin de la
plataforma AlienVault
USM OSSIM (0)
Para proceder con la
actualizacin de la
plataforma AlienVault
USM - OSSIM se sugiere
seguir los siguientes
pasos: Entender bien lo
que []
HACE 1 AO
de OTRS en Linux, el
paso final es el de aadir
el script del programador
de []
HACE 1 AO
HACE 1 AO
MOSTRAR MS
Blogroll
Be virtual, my friend
Blog de Vctor M. Fernndez
CCIE en espaol
14/12/2015 23:14
6 de 7
HACE 4 AOS
http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...
Comandante Linux
Darax Blog
Versin en espaol
When the vyatta plugin is upgraded or registered on the OSSIM agent we can check its
operation and see that OSSIM server is receiving all events reflected on plugin correctly.
Following steps below we can cause a sample log file to be logged on our vyatta system and then sent to OSSIM agent
wich has to analyze and normalize them.
1. On OSSIM go to Analysis - SIEM - Real Time to see events arriving to OSSIM server in real time:
2. On your Vyatta box download form openredes sample log files. Up to date existing sample log files are:
sample_firewall (2,8 KiB, 1.859 hits)
sample_ospf (1,2 KiB, 675 hits)
El Rincn Exquisito
Enseantes del Arenal. Academia
Ripolls de Sevilla
Entorno Digital Inteligente
lapipaplena.net
Nicklabs
Programacin @Droope
For example:
Virtulinux
vyatta4people.org
[BACK DOOR]
Enlaces de interes
AlienVault Open Threat Exchange!
Siguiente
14/12/2015 23:14
7 de 7
http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...
14/12/2015 23:14