Professional Documents
Culture Documents
ENERO 2018
Agenda
Dia 1
EVALUACIÓN DE
MONITOREO DE COMPORTAMIENTO VULNERABILIDADES
• Colección de Logs • Monitoreo continuo de vulnerabilidades
• Análisis del flujo de red (Netflow) • Escaneo activo autenticado/sin
• Monitoreo de la disponibilidad del autenticar
servicio • Verificación de remediación
DETECCIÓN DE INTRUSOS
• IDS de red Capacidades de Seguridad
• IDS de host Esenciales Incorporadas
• Monitoreo de la Integridad de Archivos (FIM)
Descubrimiento de Activos
• En el USM: Ir a
ENVIRONMENT>ASSETS&GROUPS>ASSETS > ADDASSETS >Scan For New Assets
ENVIRONMENT>ASSETS&GROUPS>SCHEDULE SCAN
Evaluación de vulnerabilidades
• En el USM Ir a:
ENVIRONMENT>VULNERABILITIES>OVERVIEW
Detección de Intrusos
• Sistema de Detección de Intrusos de Red (NIDS) para interfaces de
sniffing pasivo analiza el payload data y monitorea la actividad
potencialmente malintencionada.
• Sistema de Detección de Intrusos de Host (HIDS) para detectar
problemas en los host, incluída la supervisión de la integridad del
archivo, las comprobaciones de rootkit y las verificaciones del registro.
• Los Sistemas de Detección de Intrusos (IDS) monitorean el tráfico de
la red en busca de comportamiento malicioso, mensajes de registro
del sistema y actividad del usuario.
• En el USM ir a:
ENVIRONMENT>NETFLOW
ENVIRONMENT>AVAILABILITY
Inteligencia de Seguridad
• En el USM Ir a:
CONFIGURATION>OPEN THREAT INTELLIGENCE
CONFIGURATION>THREAT INTELLIGENCE
ANALYSIS>SECURITY EVENTS (SIEM)
2) Escenarios de despliegue e
integración con plataformas
Arquitectura USM - Componentes
• USM Sensor: Agrega la data de log collection , asset discovery , vulnerability scanning ,
IDS data y netflow data.
• Un USM AIO (All in One) Tiene los tres componentes en un mismo sistema.
Opciones de despliegue
On-premise, en cloud, o con un USM All-in-One para colectar,
Proveedor de Servicio Gestionado All-in-One
correlacionar, almacenar y
Appliance
de Seguridad (MSSP). gestionar la información.
Componentes
información y gestionar el despliegue.
separados
Appliance físico o virtual para on- USM Logger para un largo periodo
premise. de almacenamiento.
Los USM sensor están diseñados para enviar sus datos al USM Server. Una vez que el USM Server
ha procesado los datos de los USM Sensors, los datos se almacenan en la USM Logger.
Escenario 01: Un único entorno
AlienVault USM
All-in-One Appliance
Información
de Seguridad
Data Sources
Un único entorno
Escenario 02: Entorno distribuido
Información
de Seguridad
En el USM ir a: ENVIRONMENT>ASSETS&GROUPS
Manejo de Assets y Networks
Definicion de Assets
El USM tiene un sistema de ASSET MANAGEMENT que es
usado por todos los componentes de Alienvault. Estos ASSET
son inicialmente agregados al USM mediante el passive
discovery y active scanning, también se pueden agregar
manualmente.
El sistema de ASSET MANAGEMENT permite una fácil
búsqueda usando diversos filtros para revisar y editar
información de un ASSET.
Este sistema también incluye un inventariado integral al cual
de agrega información detallada del ASSET.
En el USM ir a: ENVIRONMENT>ASSETS&GROUPS
Manejo de Assets y Networks
Asset List View – Search Filter
Manejo de Assets y Networks
Asset List View – Search Filter
Manejo de Assets y Networks
Asset List View - Actions
Manejo de Assets y Networks
Examinando el Asset
Manejo de Assets y Networks
Examinando el Asset
Manejo de Assets y Networks
Valor de un Asset
Cada Asset que es detectado o importado
en el Alienvault tiene un valor de Asset que
va del 0 al 5 , 0 es el valor mas bajo y 5 el
mas alto. Este valor esta incluido en el
calculo del risk assessment realizado por el
USM Server (SIEM).
En el USM ir a: CONFIGURATION>COMPONENTS>SENSOR
CONFIGURATION>DETECTION
Threat Detection
NIDS (Network Intrusion Detection System)
NIDS es una muy importante tool dentro del USM y activa:
• Información de ataque detallada de la escucha pasiva
• Deteccion de problemas de seguridad (Trojan horses,
viruses,worms)
• Deteccion de violación de políticas (pornografía,
p2p,mensajeria)
• Deteccion de malas configuraciones.
Es una de las principales fuentes de información para las
directivas de correlacion y cross correlacion.
Threat Detection
HIDS (Host Intrusion Detection System)
Alienvault USM viene con HIDS integrado el cual provee:
• Log Monitoring y Collection
• Rootkit detection
• File integrity cheking
• Windows registry integrity checking
Alienvault HIDS usa la arquitectura server/agent , donde el
Alienvault HIDS agent reside en los servidores que son
monitoreados y el HIDS server reside en el USM Sensor.
En el USM ir a: ENVIRONMENT>DETECTION>HIDS
Threat Detection
HIDS (Host Intrusion Detection System)
Alienvault usa el OSSEC como agente HIDS desplegados en
cliente y se comunica con el USM Sensor vía UDP 1514
Para Windows la configuración esta en C:\Program Files
(x86)\ossec-agent\ossec.conf y log file en C:\Program Files
(x86)\ossec-agent\ossec.log.
Para Linux la configuración esta en /var/ossec/etc/ossec.conf
y log file en /var/ossec/logs/ossec.log
OSSEC Server
Remoted: Receives data from
agents
Analysisd: Processes data
(mainprocess)
Monitord: Monitor agents
Agenda
Dia 2
https://www.alienvault.com/docs/data-sheets/usm-plugins-list.pdf
Data Source Plugin
USM appliance utiliza rsyslog como el sistema por defecto para implementar
syslog , los archivos de configuración de los dispositivos reside en
/etc/rsyslog.d
Data Source Plugin
Data Source Plugin
7) Manejo de Politicas,Directivas ,
eventos y alarmas (Threat Intelligence)
Eventos
El data source plugin ID es un único numero usado por el USM para identificar
cada data source
Este numero es usado para identificar un evento, en reglas de correlacion y
cuando defines reglas de políticas.
El rango reservado para que los usuarios puedan crear nuevos data source
plugins es de 9000 - 10000
• 0 — No importance
• 1 — Very Low
• 2 — Low
• 3 — Average
• 4 — Important
• 5 — Very Important
Event Reliability
0 Falso positivo
1 10% posibilidad de ser un ataque
2 20% posibilidad de ser un ataque
…
10 Ataque Real
Una Alarma es un especial tipo de evento el cual se genera cuando el riesgo del
evento es 1 o mayor.
Si el motor de correlacion detecta un nuevo evento a atraves de una directiva de
correlacion(tal evento se llama directive event) y la correlacion tiene un alto
reliability (el cual resulte un alto riesgo del evento) el evento correlacionado se
convierte en una alarma.
Las alarmas son el punto de partida para que los analistas comiencen
investigaciones y análisis. Estos pueden generarse:
- Con reglas de correlación (de directivas de correlación).
- Eventos individuales de controles de seguridad
- Eventos de registro particulares que son suficientemente significativos para
justificar investigación
Alarmas
Correlacion
- El resultado de un error de tipeo por parte del administrador (un intento de login fallido
seguido por un successful login)
- Successfull brute force attack con bajo reliability (10 intentos de logins fallidos
seguido por uno exitoso)
- Successfull brute force attack con alto reliability (100,000 intentos de logins fallidos
seguido por uno exitoso)
Correlation
Logical Correlation
Correlation
Cross Correlation
Correlaciona dos tipos diferentes de eventos detectados por
dos diferentes data sources.
La mayoría de cross correlation esta relacionada a eventos de
IDS con vulnerabilidades
El IDS detecta un ataque a un asset con una vulnerabilidad
especifica , el reliability del evento va cambiar a 10
USM es pre configurado con una serie de reglas de
Cross correlation.
Correlation
Cross Correlation
Correlaciona dos tipos diferentes de eventos detectados por
dos diferentes data sources.
La mayoría de cross correlation esta relacionada a eventos de
IDS con vulnerabilidades
El IDS detecta un ataque a un asset con una vulnerabilidad
especifica , el reliability del evento va cambiar a 10
Consecuencias define que va suceder cuando los eventos hagan match con las
condiciones.
USM Policy
Actions
Actions son una consecuencias para un USM Policy.Cuando un evento hace match
con una política una acción es ejecutada
Los .log.gz son los archivos de logs y los .log.sig archivos que incluyen la firma
digital
Mantenimiento de sistema
Backup de Eventos
Eventos en el USM son automáticamente backed up y pueden ser restaurados
Los eventos son backed up todos los días y se almacenan en el sistema por 30
días.
Restaurar los archivos de backups de eventos es una tarea común cuando los
eventos ya fueron eliminados y se requiere realizar una investigación.
Mantenimiento de sistema
Restaurar Eventos
Se puede eliminar todos los eventos del SIEM database dando en CLEAR
SIEM DATABASE.Seleccionando un archivo de backup se puede eliminarlo
Mantenimiento de sistema
Backup de configuracion
Ir a CONFIGURATION > ADMINISTRATION > BACKUPS >
CONFIGURATION va mostrar todos los backups por cada dispositivo
Alienvault
Mantenimiento de sistema
Restore de configuracion
Ir a CONFIGURATION > ADMINISTRATION > BACKUPS >
CONFIGURATION va mostrar todos los backups por cada dispositivo
Alienvault
9) Vistas y Reportes
Reportes
Reportes pueden ser vistos en HTML y descargados o enviados en PDF por correo