Manuales y ejemplos AlienVault USM OSSIM | openredes - Networkin...

1 de 7

http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...

AlienVault USM OSSIM

Me gusta

Manuales, tutoriales, guas y ejemplos de configuracin de AlienVault OSSIM, el mejor SIEM del mercado, en
espaol. Con openredes aprende a usar las mejores herramientas open source de redes.

Compartir

182

Buscar

Con la tecnologa de

Traductor

Alojado en
HACE 1 AO
En esta entrada iremos haciendo un resumen de las rutas, los directorios y la localizacin de los ficheros de
configuracin relevantes o a tener en cuenta en OSSIM y en AlienVault USM.
Directorios:

Perfil sensor

Ruta a ficheros de plugins /etc/ossim/agent/plugins/

/usr/share/ossim/scripts/
Directorio de configuraciones curtom para rsyslog /etc/rsyslog.d/ (cada vez que arranca rsyslog se leen todos
los .conf de este directorio)
Directorio de almacenamiento de bases de datos de eventos almacenados en cache por el agente /var/ossim
/agent_events/ contiene ficheros .db en los que se almacena la cache de eventos en caso de que el sensor no
pueda conectar con el server al que se los ha de enviar.

Perfil server
(versin AlienVault USM) Ruta a almacen de logs /var/ossim/logs/
Ruta server OSSEC /var/ossec/
Ruta base de datos /var/lib/mysql/
Ruta a directivas de correlacin de usuario /etc/ossim/server/context-hash/ (desde la versin 4.2 en adelante)

Publicidad

Ruta a almacen de report custom /usr/share/ossim/www/tmp/

/usr/share/ossim/scripts/
Ruta a todos los ficheros sql de cada uno de los plugins que contienen los plugin_sids /usr/share/doc/ossimmysql/contrib/plugins/
Ruta a los

14/12/2015 23:14

Manuales y ejemplos AlienVault USM OSSIM | openredes - Networkin...

2 de 7

http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...

HACE 1 AO
Para proceder con la actualizacin de la plataforma AlienVault USM OSSIM se sugiere seguir los siguientes pasos:
Entender bien lo que hay que hacer antes de proceder. Sigue leyendo.

Hacer un backup de cada equipo de la plataforma AlienVault USM OSSIM.

Proteger los plugins personalizados o que hayamos modificado. Desde versin 4.4 de AlienVault USM OSSIM la
actualizacin ya no mata los plugins personalizados almacenados como .local en el directorio /etc/ossim/agent
/plugins/, as que lo mejor, si an no lo haces, es copiar los plugins que tienes en uso con el mismo nombre y

aadiendo .local (quedando por ejemplo apache.cfg.local). A partir de ahora lo mejor es editar estos .local para hacer
modificaciones y dejar intactos los originales ya que en cada actualizacin se sobrescribirn.

Proteger los plugin sids personalizados. La versin 4.4 aun sigue aniquilando los sids personalizados, estos se
almacenan en la base de datos y son machacados en cada actualizacin. Para evitarlo lo mejor es acostumbrarse a

crear nuevos plugin sids desde un fichero sql (los originales estn en el directorio /usr/share/doc/ossim-mysql/contrib
/plugins/ comprimidos o almacenados como .sql) y

HACE 2 AOS

visitas
Un aporte muy interesante de Ferran para OSSIM y AlienVault USM es su versin corregida
de regexp.py.

Para los que no lo sepan regexp.py es un script de OSSIM y AlienVault USM que se ubica en /usr/share/ossim/scripts
/regexp.py y trata de ser una til herramienta para ayudar a los tcnicos en la ardua tarea de creacin de plugins para
OSSIM, mas bien trata de ser til para la parte de testing de nuevos plugins. regexp.py es un script que lee un fichero de
logs y lo evala contra una expresin regular concreta o un fichero de plugin que contenga varias expresiones regulares
con las que han de matchear los eventos que se encuentran en el fichero de logs y nos dice el resultado, de forma que
sabremos si nuestras expresiones regulares son correctas o no. Y digo que regexp.py trata de ser una til herramienta
bsicamente porque no funciona bien y sus errores (los mismos desde el origen de los tiempos) lo hacen inservible,
estos son los errores que nosotros hemos detectado en el script regexp.py:
No respeta el orden de las expresiones regulares contenidas dentro del fichero de plugin que usemos.
El modificador y (show non matching lines) no funciona.
No funciona el uso de los

Nube
actualizar vyatta administracin
Vyatta AlienVault AlienVault USM
OSSIM autenticacion openvpn certificados

configuracion
firewall vyatta
vpn vyatta

HACE 4 AOS

AlienVault USM OSSIM, Monitorizacin, OSSEC 3.745 visitas

En esta entrada un pequeo tutorial para dar de alta los clientes en el servidor de OSSEC,

tanto estando instalado en OSSIM o en un servidor aislado.

Dar de alta el nuevo cliente en el servidor

configuracion openvpn vyatta

configuracion vyatta configurar vyatta

ejemplos vyatta firewall

open source
firewall virtual

firewall vyatta frontend vyatta

instalacion plugin OSSIM login local usuario

openvpn manuales vyatta mendocino

monitorizacion redes monitorizacin

openvpn vyatta plugin vyatta

OSSIM Radiohead repositorios Debian Vyatta
repositorios vyatta router open source SSH

the king of limbs thinclient linux tips linux

tips vyatta vc6.2 virtualizacion redes virtual
router

VPN vyatta

vyatta vyatta CLI

14/12/2015 23:14

Manuales y ejemplos AlienVault USM OSSIM | openredes - Networkin...

3 de 7

http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...

vyatta firewall

Extraer la key para el nuevo agente

vyatta core vyatta core 6.2 vyatta espaol

vyatta plugin OSSIM

vyatta router

vybuddy

WP Cumulus Flash tag cloud by Roy

Tanck requires Flash Player 9 or
better.

Lo mas visto
HACE 4 AOS

nslookup obtener IP de un
AlienVault USM OSSIM, Vyatta 2.761 visitas

English version

Gua paso a paso para actualizar la versin del plugin de Vyatta que estemos usando en el
agente de OSSIM. Si no tienes registrado el plugin de Vyatta en el agente de OSSIM para poder ponerlo en
funcionamiento primero deberas pasarte por la gua de instalacin del plugin de Vyatta en el agente de OSSIM.
Para actualizar la versin del plugin:

1. Descargamos el fichero vyatta.cfg de la ltima versin del plugin de Vyatta y lo introducimos en el agente de OSSIM
en la ruta /etc/ossim/agent/plugin/
El plugin lo podemos descargar desde su pgina y guardarlo despus en la ruta /etc/ossim/agent/plugin/ del
agente de OSSIM.
O directamente desde OSSIM con los siguientes comandos:

Nota: Cambiar vx.xx por la ltima versin

2. Descargamos el fichero vyatta.sql de la ltima versin del plugin de Vyatta y lo introducimos en el agente de OSSIM
en la ruta /usr/share/doc/ossim-mysql/contrib/plugins/
El plugin lo podemos descargar desde su pgina y guardarlo despus en la ruta /etc/ossim/agent/plugin/ del
agente de

HACE 4 AOS

dominio, servidores de nombres

DNS, DNS inverso y servidores de
mail de dominios - 83.380 visitas
Los 25 mejores comandos/trucos

SSH - 64.880 visitas

Error user is not in the sudoers
file. This incident will be reported.
Habilitar permiso de ejecucin de
sudo - 38.381 visitas

Evitar ERROR 1130 (HY000): Host

x.x.x.x is not allowed to connect
to this MySQL server configurar
acceso remoto al servidor MySQL
- 29.287 visitas
Configurar un cliente OpenVPN en
Windows con OpenVPN GUI para

conectar a una VPN RA en Vyatta

- 26.341 visitas
Brico: Conectar mando del parking
o garaje a las luces largas o
rfagas con temporizador - 23.177
visitas
Instalar GNS3 0.8.2, Dynamips
0.2.8-RC3 y Qemu 0.11 en Ubuntu
11.10 Oneiric Ocelot - 19.484
visitas
Formato de la cabecera de
segmentos TCP - 18.039 visitas
Vyatta en espaol - 17.872 visitas
Configuracin de ejemplo en
Vyatta - 17.434 visitas

AlienVault USM OSSIM, Vyatta 5.854 visitas

Versin en espaol

In order to understand and normalize information sent by certain device OSSIM agent needs
a plugin focused to this device. A plugin consists basically on regular expressions and a list
that make possible to identify unambiguously each produced event. Once normalized information is obtained using the
plugin it is passed to other agent functions which send the information to OSSIM server as events form. OSSIM considers
two kinds of plugins, detectors and monitors plugins. Vyatta plugin needs to be a detector plugin. Before face up to a
creation of a detector plugin is very important to have the working flow clear:
The device generates an event.
Syslog module of the device sends the event to OSSIM agent.
On OSSIM agent rsyslog gets the event on 514 UDP port (default).

According to rules configured on rsyslog (/etc/rsyslog.conf and /etc/rsyslog.d/) it will send the event to the
corresponding logs file.

Plugin will read events collected on corresponding log file (specified with locate variable on .cfg plugin file).
Each event from the log file will be normalized according to plugin rules.
Each normalized event will be sent to OSSIM server with its corresponding

Destacados
ndice de entradas relativas al

Sistema Operativo de red Vyatta

Vyatta hispano
ndice de entradas relativas al
SIEM open source OSSIM
ndice de la seccin de apuntes de
redes
Plugin para la integracin de
Vyatta en OSSIM by openredes
Gua de instalacin del plugin de
Vyatta en OSSIM
Topologa de ejemplo como base
a la seccin de tutoriales de

configuracin de Vyatta
Tutorial, manual de configuracin
del mdulo de firewall en Vyatta
vbash, la interfaz de lnea de
comandos (CLI) de Vyatta

14/12/2015 23:14

Manuales y ejemplos AlienVault USM OSSIM | openredes - Networkin...

4 de 7

http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...
Cuidado con las actualizaciones

HACE 4 AOS

installation guide first.

de Vyatta desde la versin VC6.2!!

AlienVault USM OSSIM, Vyatta 2.863 visitas

Msica selecta
Versin en espaol

Steps below will guide you to upgrade your Vyatta plugin version for OSSIM agent. If you
havent registered a Vyatta plugin on OSSIM agent yet then you need to have a look to the

To upgrade the Vyatta plugin version:

1. Download vyatta.cfg file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file
on OSSIM agent at /etc/ossim/agent/plugin/ path.

You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.
Or you can do it directly with these commands:

Comentarios recientes
Maximiliano
Hola, quiero saber la

forma de copiar un
archivo grande desde

una maquina remota, a

un equipo local. El
problema es que donde
yo accedo a []

HACE 2 MESES

Note: Change vx.xx with the latest version.

2. Download vyatta.sql file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file
on OSSIM agent at /usr/share/doc/ossim-mysql/contrib/plugins/ path.
You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.
Or you can do it directly with these commands:

Yohan
quedo corrida la
informacin Origen:
192.168.0.0/24 Destino:
200.60.0.0/24,
200.50.0.0/24 []

HACE 2 MESES

Yohan
Estimados, Muy til esta
informacin. Estoy

intentando implementar
una poltica que haga lo
siguiente: Necesito
limitar el ancho de []

HACE 4 AOS

HACE 2 MESES

AlienVault USM OSSIM, Vyatta 5.521 visitas

English version

Para que el agente de OSSIM pueda interpretar y estandarizar la informacin que un

determinado dispositivo le enva es necesario que disponga de un Plugin enfocado en ese

dispositivo. Un plugin bsicamente consiste en una serie de expresiones regulares y una lista que permite identificar de
forma inequvoca el tipo de evento producido. Una vez se obtiene la informacin estandarizada se pasa a otras funciones
del agente para ser enviada al server de OSSIM en forma de eventos. OSSIM considera dos tipos de plugins, detectores y
monitores. Los detectores leen los logs que se almacenan de un determinado dispositivo y los estandarizan para que el
agente pueda enviarlos al servidor de OSSIM. Los monitores reciben indicaciones del servidor de OSSIM y analizan de
forma activa los dispositivos. Segn lo anterior, el plugin de Vyatta ser de tipo detector. Antes de enfrentar la creacin
de un plugin detector hay que tener claro el flujo de funcionamiento:
El dispositivo genera un evento.
Mediante syslog lo enva al agente de OSSIM.

Rsyslog recibe el evento por el puerto 514 UDP (por defecto).

Segn las reglas con las que est configurado rsyslog enviar el evento a un

juapew
Hola Chicos queria
haceros una pregunta, he
buscado por todo lado la
solucion a mi problema
pero nada , estoy
intentando entrar por ssh
[]

HACE 3 MESES

iluminati
No est mal, pero para
un puerta... pero y si
tienes 2 puertas o dos
garajes? Yo he montado
arrafagas y va de coa.
Saludos

HACE 9 MESES

MOSTRAR MS

HACE 4 AOS

Entradas recientes
AlienVault USM OSSIM, Vyatta 2.670 visitas

English version

Una vez actualizado o dado de alta el nuevo plugin de Vyatta en el agente de OSSIM
podemos hacer las siguientes pruebas y ver que estamos recibiendo en el servidor de OSSIM
todos los eventos reflejados en el nuevo plugin de forma correcta. Con estos pasos podemos provocar en nuestro

sistema Vyatta que un archivo con logs de ejemplo sea logueado y enviado al agente de OSSIM el cual deber analizarlos
y normalizarlos.

Resumen de rutas y
ficheros de configuracin
en OSSIM y AlienVault
USM (0)
En esta entrada iremos
haciendo un resumen de
las rutas, los directorios

14/12/2015 23:14

Manuales y ejemplos AlienVault USM OSSIM | openredes - Networkin...

5 de 7

1. En OSSIM abrimos la ventana de tiempo real desde Analysis - SIEM - Real Time:

http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...

2. En la mquina Vyatta descargamos de openredes los archivos de ejemplo de logs, hasta ahora los logs de ejemplo
disponibles son:
sample_firewall (2,8 KiB, 1.859 hits)
sample_ospf (1,2 KiB, 675 hits)

sample_ovpn (3,6 KiB, 624 hits)

sample_pamunix (970 bytes, 727 hits)

sample_pmacctd (85 bytes, 512 hits)
sample_vyatta (127 bytes, 583 hits)
sample_wlb (171 bytes, 525 hits)

sample_zebra (661 bytes, 566 hits)

Por ejemplo:

3. Lanzamos el fichero a syslog con el comando logger:

4. A la vez que ejecutamos el comando

y la localizacin de los ficheros de

configuracin relevantes o a []

HACE 1 AO

[otrs] Backend de
autenticacin de agentes
por LDAP (0)
La configuracin de
OTRS para que use un
servidor LDAP como
backend de

autenticacin de
agentes, por ejemplo
OpenLDAP, Active
Directory, []

HACE 1 AO

Actualizacin de la
plataforma AlienVault
USM OSSIM (0)
Para proceder con la
actualizacin de la
plataforma AlienVault
USM - OSSIM se sugiere
seguir los siguientes
pasos: Entender bien lo
que []

HACE 1 AO

[otrs] Scheduler is not

running (Debian) (0)
Si instalas OTRS en
Debian usando este
manual de instalacin

de OTRS en Linux, el
paso final es el de aadir
el script del programador
de []

HACE 1 AO

Brico: Conectar mando

del parking con
temporizador en luces
largas de una Husqvarna
Nuda 900 (1)
Una de las
modificaciones mas
necesarias a nivel

prctico para una moto

es, en mi opinin, la de
conectar el mando del
parking a las luz de []

HACE 1 AO

MOSTRAR MS

Blogroll
Be virtual, my friend
Blog de Vctor M. Fernndez
CCIE en espaol

14/12/2015 23:14

Manuales y ejemplos AlienVault USM OSSIM | openredes - Networkin...

6 de 7

HACE 4 AOS

http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...
Comandante Linux

AlienVault USM OSSIM, Vyatta 3.712 visitas

Darax Blog
Versin en espaol

When the vyatta plugin is upgraded or registered on the OSSIM agent we can check its
operation and see that OSSIM server is receiving all events reflected on plugin correctly.

El blog de Elio Bastias

Following steps below we can cause a sample log file to be logged on our vyatta system and then sent to OSSIM agent
wich has to analyze and normalize them.

1. On OSSIM go to Analysis - SIEM - Real Time to see events arriving to OSSIM server in real time:

2. On your Vyatta box download form openredes sample log files. Up to date existing sample log files are:
sample_firewall (2,8 KiB, 1.859 hits)
sample_ospf (1,2 KiB, 675 hits)

El Rincn Exquisito
Enseantes del Arenal. Academia
Ripolls de Sevilla
Entorno Digital Inteligente

sample_ovpn (3,6 KiB, 624 hits)

lapipaplena.net

sample_pamunix (970 bytes, 727 hits)

sample_pmacctd (85 bytes, 512 hits)

Nicklabs

sample_wlb (171 bytes, 525 hits)

Pipo E2H - Soluciones TIC

avanzadas.

sample_vyatta (127 bytes, 583 hits)

sample_zebra (661 bytes, 566 hits)

Programacin @Droope

For example:

Virtulinux

3. Trigger sample log file to syslog with logger command:

4. Try to see real time window on OSSIM at the same time that we execute command above and you could see
simulated logs arriving to

vyatta4people.org
[BACK DOOR]

Enlaces de interes
AlienVault Open Threat Exchange!

Siguiente

Documentacin HTML Vyatta

Grupo Vyatta hispano en Linkedin
OSSIM, the Open Source SIEM
Pgina en la comunidad Vyatta
sobre openredes
Unofficial Vyatta Wiki
Vyatta community

openredes, networking open source - Vyatta, OSSIM, Nagios, ntop...

14/12/2015 23:14

Manuales y ejemplos AlienVault USM OSSIM | openredes - Networkin...

7 de 7

http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...

Hay otros mundos pero estn dentro de este - openredes, openmind

Te interesa Vyatta? nete a nuestro grupo Vyatta hispano en Linkedin!!
Copyright 2015 openredes - Networking Open Source | Publicaciones bajo

Licencia Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported .

Funciona gracias a Wordpress Tema Mystique de digitalnature |

Feeds RSS | HTML 5

14/12/2015 23:14