You are on page 1of 112

Redes de Computadoras

Manual de OSSIM

UNIVERSIDAD NACIONAL DE INGENIERIA FEC

MANUAL DE OSSIM (Open Source Security Information Management)

Nombre: Mariana Mercedes Tenorio Martnez Carne: 2005-20583 Grupo: 5T3 - CO Msc. Roberto Alfaro

Viernes 14 de Agosto del 2009

Universidad Nacional de Ingeniera

Pgina 1

Redes de Computadoras

Manual de OSSIM

INDICE

Universidad Nacional de Ingeniera

Pgina 2

Redes de Computadoras

Manual de OSSIM

INTRODUCCION

Universidad Nacional de Ingeniera

Pgina 3

Redes de Computadoras

Manual de OSSIM

El OSSIM (Open Source Security Information Management) quiere suplir un hueco en las necesidades que los grupo profesionales del mundo de la seguridad da a da nos encontramos. Sorprende que con el fuerte desarrollo tecnolgico producido en los ltimos aos nos ha provisto de herramientas con capacidades como las de los IDS (Un sistema de deteccin de intrusos o de sus siglas en ingls Intrusion Detection System), sea tan complejo desde el punto de vista de seguridad de obtener una visin de una red con un grado de abstraccin que permita una revisin prctica y asumible. La intencin inicial en el desarrollo de este proyecto es mejorar esta situacin a travs de una funcin que podramos resumir con el nombre de: Correlacin o la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a travs de esta situacin privilegiada relacionar y procesar la informacin permitiendo aumentar la capacidad de deteccin, priorizar los eventos segn el contexto en que se producen, y monitorizar el estado de seguridad de nuestra red. En el camino nos hemos encontrado con nuevas necesidades que nos han permitido aumentar la precisin de nuestro sistema, desarrollando la capacidad que ya forma parte del ncleo de OSSIM. La valoracin de riesgos como forma de decidir en cada caso la necesidad de ejecutar una accin a travs de la valoracin de la amenaza que representa un evento frente a un activo, teniendo en cuenta la fiabilidad y probabilidad de ocurrencia de este evento. Desde este momento nuestro sistema se vuelve ms complejo pues ha de ser capaz de implementar una Poltica de Seguridad, el Inventario de la Red, nos ofrecer un Monitoreo de riesgos en tiempo real, todo ello configurado y gestionado desde un Framework. Este proyecto quiere ser as mismo una muestra de la capacidad del mundo de cdigo abierto de crecer en s mismo y aportar soluciones punteras en sectores concretos como el de la seguridad de redes, donde las soluciones del mundo libre aportan otro importante valor: la auditabilidad o capacidad de auditora de los sistemas que instalamos en nuestra red.

Universidad Nacional de Ingeniera

Pgina 4

Redes de Computadoras

Manual de OSSIM

OBJETIVO

Universidad Nacional de Ingeniera

Pgina 5

Redes de Computadoras

Manual de OSSIM

Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de deteccin y visibilidad en la monitorizacin de eventos de seguridad de la organizacin. Adems de obtener las mejores herramientas de cdigo abierto, algunas de las cuales se describen a continuacin, ossim establece un fuerte motor de correlacin, detallando nivel de interfaces de visualizacin bajo, medio y alto, as como la presentacin de informes y herramientas de gestin de incidentes, trabajando en un conjunto de activos se define como anfitriones, redes, grupos y servicios.

Universidad Nacional de Ingeniera

Pgina 6

Redes de Computadoras

Manual de OSSIM

CONCEPTO Y SERVICIOS

Universidad Nacional de Ingeniera

Pgina 7

Redes de Computadoras

Manual de OSSIM

OSSIM es una distribucin de productos open source integrados para construir una infraestructura de monitorizacin de seguridad. SERVICIOS Ossim contiene las siguientes caractersticas de los componentes del software: Arpwatch: utilizado para la deteccin de anomala de mac. P0f: utilizado para la deteccin y anlisis de los cambios en los sistemas operativos OS. Pads: utilizado para el servicio de deteccin de anomalas. Nessus: utilizado para la evaluacin de la vulnerabilidad y de correlacin cruzada (IDS vs Security Scanner). Snort: el IDS, tambin se utiliza para cruzar la correlacin con nessus. Spade: Realiza las estadsticas de paquetes de motor de deteccin de anomalas. Se usa para obtener conocimientos sobre los ataques sin firma. Tcptrack: utilizado para los datos de la sesin de informacin que puede dar informacin til para el ataque correlacin. Ntop: construye una impresionante red de base de datos de informacin que podemos obtener de deteccin de anomalas en el comportamiento aberrante. Nagios: Se alimenta de la base de datos activos para supervisar la disponibilidad de los equipos. Osiris: una gran HIDS (HIDS, Sistema de deteccin de intrusos en un Host. Busca detectar anomalas que indican un riesgo potencial, revisando las actividades en la mquina (host). Puede tomar medidas protectoras.) OCS-NG: Cruz-Plataforma para realizar los inventarios e informes. OSSEC: la integridad, de rootkit, deteccin y registro de ms.

Universidad Nacional de Ingeniera

Pgina 8

Redes de Computadoras

Manual de OSSIM

OSSIM LOGIN

Universidad Nacional de Ingeniera

Pgina 9

Redes de Computadoras

Manual de OSSIM

OSSIM Login es el punto de entrada al sistema OSSIM (ver Figura 1 Pantalla de Login). La instalacin por defecto tiene un usuario Admin con contrasea Admin. Debera cambiar la contrasea en cuanto instale el sistema.

Figura 1

Universidad Nacional de Ingeniera

Pgina 10

Herramientas> Escanear NET

Para comenzar a trabajar con el OSSIM, tenemos que realizar un estudio de la topologa que se va a utilizar por ejemplo nosotros ocupamos la topologa de la universidad a nivel lgico. 1. escaneamos el segmento de red de la uni. 192.168.103.0/24 porque es el segmento principal, lo cual el escaneo duro 20 minutos.

Herramientas> Escanear NET


NET La pgina de rastreo le permite establecer diversas redes de exploracin para buscar los cambios en los hosts o servicios de su sistema operativo, como se muestra en la Figura 2 - Herramientas> Red de exploracin.

Figura 2

Como se muestra en la figura de arriba, es fcil realizar una exploracin de escaneo de red mediante la seleccin de una red disponible de la lista desplegable. El rango de direcciones IP aparece en el cuadro de texto a su derecha. Esto no puede ser modificado, si desea aadir alguna nueva red que necesita para ir a la Poltica Redes y definir una nueva. Adems, puede optar por seleccionar Manual, en el que el mencionado cuadro de texto puede ser modificado. Una vez est listo, haga clic en Buscar. OSSIM escanea la red y muestra un mensaje una vez que est completo. Los resultados aparecen en la red, la pgina de exploracin por debajo de la red, seleccione la tabla. Puede hacer clic en Actualizacin de los valores de la base de datos, que muestra la pgina Insertar nueva exploracin. Esta pgina le permite aadir a las propiedades globales recin escaneadas de aceptacion. Estas propiedades son: Valor Umbral C Umbral A RRD Perfil Insrtese un nuevo perfil? NAT Sensores Opciones de exploracin Descripcin Algunas propiedades pueden tener enlaces correspondientes que le permiten realizar tareas adicionales, especialmente al trabajar con sensores. Una vez que haya completado los cambios, haga clic en Aceptar. Puede hacer clic en Reset para volver a los valores iniciales.

Herramientas> Copia de seguridad

Herramientas> Copia de seguridad


La copia de seguridad de la pgina le permite restaurar los eventos anteriores a su sistema, as como ver previamente eventos restaurados eventos, como se muestra en la Figura 3 - Herramientas> Copia de seguridad. Esto funcionar para los eventos que aparecen en la base o el Visor de sucesos OSSIM. El backuped de datos ser la base de datos de snort (que incluye todos los eventos), no la base de datos OSSIM (que incluye, principalmente, las alarmas y la configuracin de entradas). Las fechas que aparecen pueden ser restauradas en el Administrador de copia de seguridad, por debajo de la columna restaurar fechas. Simplemente haga clic en una fecha y luego haga clic en Insertar. OSSIM realiza la restauracin y muestra el estado de la restauracin de copias de seguridad ms adelante en la seccin de Eventos. Para eliminar un evento restaurado, haga clic en la fecha del evento en las fechas en la seccin Base de Datos y haga clic en Eliminar. Ingresar al registro para que se refleje el cambio que se registro en los eventos de copia de seguridad, sealando que se ha eliminado, en qu momento, por quin, y el estado actual de la transaccin.

Figura 3

Registro de Usuario

Registro de Usuario
El usuario realiza un seguimiento de registro de usuario en movimiento OSSIM, como se muestra en la Figura 4 - Herramientas> Registro de usuario.

Figura 4

El filtro le permite ordenar las entradas del registro por el usuario y / o por accin. Por defecto, todos los usuarios y las acciones se muestran por fecha. La accin de registro de usuario muestra la fecha de la accin, el usuario que realiza la accin, la direccin IP del equipo que realiz la accin, el cdigo, y una descripcin de la accin. Las entradas del registro muestran 50 entradas a la vez, puede utilizar las flechas por encima de la mesa de registro para navegar en las pginas de registro.

Herramientas> Descargas
Las descargas proporcionan enlaces a las secciones de los paquetes del software preconfigurado para el funcionamiento de Ossim, Actualmente incluye: Osiris Astucia OCS FW1Loggrabber Python

CONFIGURACION

Configuracin> principal La pgina principal de la seccin de configuracin le permite configurar el aspecto y la configuracin del sistema general, (ver figura 5 Configuracin> Principal.)

Figura 5

Para asegurarse de que tiene los datos mas recientes disponibles, haga clic en el botn Actualizar configuracin. Esto guarda la configuracin de los datos mostrados en esta pgina. Para volver a la configuracin inicial, puede hacer clic en restaurar valores predeterminados. Hay 17 diferentes secciones que se pueden configurar desde esta pgina. Ellos son: Idioma Servidor FrameworkD Snort Osvdb Mtrica Grupo Ejecutivo phpGACL PHP RRD Enlaces Copia de seguridad Nessus ACID Aplicaciones externas Accin del usuario logging Visor de sucesos en tiempo real

Cada seccin proporciona una breve descripcin de lo que se est configurando. La mayora de parmetros se puede ajustar usando los cuadros de texto o mens desplegables. Tenga especial cuidado al actualizar contraseas, Por favor, recuerde que muchas de las cosas no funcionarn correctamente si no dan las contraseas correctamente. Una vez que haya terminado, haga clic en Actualizar configuracin para guardar los cambios.

Configuracin> Usuarios Usuarios de la pgina le permite ver la lista de usuarios disponibles, (ver figura 6 - Configuracin> Usuarios), as como realizar una serie de tareas administrativas para las cuentas de usuario.

Figura 6

Para trabajar con un usuario existente, puede cambiar su contrasea de la cuenta o actualizar su perfil. Haga clic en Cambiar Contrasea en la columna Acciones del nombre de usuario deseado. Cambiar la contrasea aparece la pantalla, introduzca su nueva contrasea y volver a escribir con fines de seguridad y, a continuacin, haga clic en Aceptar. Recuerde que debe elegir una contrasea que no es fcil de adivinar por las personas que conozca. Volver a los Usuarios en la pgina, puedes actualizar los perfiles de cuenta de usuario, incluidos los permisos, etc haciendo clic en Actualizar en la columna Accin en nombre de usuario. Modificar en la pgina de usuario, puede cambiar el nombre de usuario (pero no de acceso), direccin de correo electrnico, empresa, departamento y nombre con los cuadros de texto. Puede establecer permisos para permitir la seleccin de las redes, permitir sensores, as como pantallas de OSSIM que son accesibles para el usuario. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de dilogo que confirma que su operacin fue un xito, haga clic en Atrs para volver a la pgina de usuarios. Tambin puede crear una nueva cuenta de usuario haciendo clic en Insertar nuevo usuario de la parte inferior de la pgina Usuarios. Insertar a un nuevo usuario es similar a la actualizacin de la pantalla del usuario que se ha mencionado anteriormente. Usted debe agregar un usuario de acceso, un nombre de usuario, direccin de correo electrnico, nombre de la empresa, departamento, as como una direccin de correo electrnico vlida (que debe volver a tipo por motivos de seguridad). Como se mencion anteriormente, se pueden establecer permisos para permitir la seleccin de redes, de sensores, as como pantallas de OSSIM que son accesibles para el usuario. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de dilogo que confirma que su operacin fue un xito, haga clic en Atrs para volver a la pgina donde los usuarios el nuevo usuario aparece en la tabla.

Configuracin> Plugins Los plugins son utilizados por OSSIM para aceptar el sensor de entrada, o para enviar preguntas a los sensores del monitor. Su configuracin es revisable a travs del marco (ver Figura 7 - Configuracin> Plugins). Toda la informacin que se encuentre aqu slo puede ser editada dentro de la base de datos de OSSIM. Esta interfaz se compone de cuatro partes o columnas.

Figura 7

El ID es el nmero interno que OSSIM utiliza para rastrear diversos plugins. Cada plugin tiene un plugin ID. Cada plugin utiliza este nmero y sus sub-ID. Sub-ID se pueden ver haciendo clic en el hipervnculo ID. El nombre es el nombre de la extensin asignada a la extensin ID. Esto puede ser cualquier cadena, pero debe ser descriptivo. El tipo es el tipo de plugin. Detector es un tipo de plugin que OSSIM utiliza para enviar datos al servidor .Monitor es un plugin que OSSIM realiza los tipo de consultas de informacin. Descripcin de la informacin adicional es utilizada para aclarar el propsito de un plugin. Esto es muy til cuando un plugin tiene un nombre particularmente oscuro.

Configuracin> Plugins> DIM El Plugin de SID es el nmero interno OSSIM que utiliza para rastrear los mensajes de diferentes sensores. Por ejemplo, hay un nico plug-insid para cada alerta snort que genera (ver la Figura 8 - Configuracin> Plugins> DIM). Algunos parmetros para DIM podrn ser editados aqu. Esta interfaz se compone de ocho columnas.

Figura 8

El plug-in es el nmero interno OSSIM que utiliza para rastrear diversos plugins. Cada plugin tiene un plugin ID. Cada plugin utiliza este nmero y sus sub-ID. El Sid es el nmero utilizado por OSSIM para discriminar los mensajes de plugin. Tenga en cuenta que las dos columnas siguientes slo se aplican a la snort plugin: La categora es utilizada por el sensor de snort para identificar el archivo de las reglas del snort cuando son almacenados. Tradicionalmente, estas reglas se almacenan en / etc / snort / normas sobre el sensor de aceptacion. La clase es una clasificacin para las alertas de snort. Ellas tienen diferentes nmeros de identificacin, que figuran entre parntesis. Hay tres tipos de clases: crtica, intermedio y bajo riesgo. El cuadro que figura a continuacin es la lista de la clase. Cuadro 1 - Clases de Snort

El nombre es una cadena asignada a la DIM. Esto puede ser cualquier cadena, sino que debe ser el mensaje generado por el sensor. La prioridad es un nmero usado para calificar las alertas de OSSIM con diferentes niveles. Es un valor numrico de 0 a 5. 0 es la prioridad ms baja y se indica que debe pasar por alto OSSIM DIM ,1 es la prioridad ms baja, mientras que el 5 es el ms alto. La fiabilidad es una medida de estado de funcionamiento. Se trata de un valor de 0 a 10 donde 10 es la ms fiable y 0 es el menos. Fiabilidad se lee como una dcima parte de un porcentaje. Es decir el 4 significa que hay un 40% de probabilidad de que esta norma es precisa en esta etapa de la directiva. La columna Accin contiene un botn Modificar. Al hacer clic en el botn guarda los cambios en la columna de prioridad y fiabilidad en la base de datos de OSSIM. En este momento es necesario cambiar el plugin por plugin sid por sid, esto significa que puede cambiar la prioridad o la confiabilidad de un valor justo para el plugin sid cada vez.

Configuracin> Config RRD La configuracin RRD permite la configuracin de las alertas RRD OSSIM. Alertas RRD son la base de datos Round Robin alertas. Ntop utiliza estas bases de datos para almacenar informacin sobre el trfico de la red que se analiza. OSSIM pregunta a estas bases de datos y genera las alertas sobre la base de la configuracin aqu. En RRD las mltiples configuraciones son posibles. Estas configuraciones pueden ser establecidas y utilizadas para las mquinas, redes, grupos de red o de poltica, y para generar eventos / alarmas RRD. RRD Config es donde se definen estas configuraciones. Hay un cuadro que se utilizar para el control de estos en la interfaz de usuario (vea la Figura 6 - Configuracin> Config RRD). Esta es una cuestin interesante en OSSIM. Por ejemplo, usted quiere una alarma generada por todos los hosts en su red que intenta enviar ms de 10 correos electrnicos en un minuto, el comportamiento podra ser un virus de la ampliacin. Pero, por supuesto, podra ser un servidor de correo, por lo que necesita para disminuir la sensibilidad del servidor de correo (el aumento de umbral) la asignacin de un perfil RRD a ella.

Figura 9

El cuadro de configuracion RRD tiene dos columnas. Tambin cuenta con un hipervnculo para la incorporacin de nuevos perfiles de RRD. Perfil es el nombre del perfil de configuracin de RRD. Este nombre se define por el usuario. OSSIM utiliza este nombre en otras secciones de la interfaz para identificar los diferentes perfiles que se han configurado. Accin es la posible opcion que puede llevarse a cabo para ese perfil. Acciones son los hipervnculos que se especifica la accin al hacer clic. Acciones pueden ser Modificar o Borrar. Modificar se usa para cambiar la configuracin de un perfil. Borrar elimina el perfil de configuracin de la base de datos de OSSIM. Modificar es la nica accin disponible para el perfil mundial. OSSIM requiere el perfil RRD para un correcto funcionamiento. La inclusin de nuevas RRD es el perfil de un hipervnculo que utiliza para aadir otro perfil para RRD OSSIM. Podr asignar a algn objeto en la formulacin de polticas para adaptarse a sus especficas caractersticas.

Configuracin> Config RRD> Modificar / Nueva RRD Config Configuracin> Config RRD> Modificar / Nueva configuracin de los perfiles RDD es donde puede ser editado. La edicin de la pgina web es editar una tabla con los valores de parmetros posibles (ver la Figura 10 - Configuracin> Config RRD> Modificar / NUEVA RRD Perfil).

Figura 10

Modificar la tabla de la configuracin RRD muestra todos los posibles atributos que pueden ser modificados para el perfil de RRD. Hay siete columnas en esta tabla.

Atributo es el nombre del valor del RRD que debe vigilarse. Este valor se define en la configuracin de ntop y la base de datos de OSSIM. La instalacin por defecto muestra todos los valores que interesan a la mayora de los usuarios de OSSIM. Umbral es el valor absoluto por encima de la cual una descripcin se crear por OSSIM. Se crear una alerta si ntop informa este valor. La unidad de medida para este nmero es completamente dependiente del atributo. Si el atributo se fragmento por Bytes, entonces el valor de umbral es el valor absoluto de bytes. Si el atributo se fragmento por paquetes entonces el valor de umbral es el valor absoluto de los paquetes de difusin. Prioridad es el valor de prioridad asignada a esta alerta RRD. El valor de prioridad debe estar entre 0 y 5. Muy probablemente este y los valores umbral, son los que tendr que cambiar. Alfa es la adaptacin que intercepta parmetros. El valor debe estar entre 0 y 1, donde un nmero mayor significa que la interceptacin se adapta rpido. Este valor tambin se utiliza para gamma. Normalmente no es necesario cambiar esta situacin. Beta es la pendiente para la adaptacin de parmetros. El valor debe estar entre 0 y 1. Normalmente no es necesario cambiar esta situacin. La persistencia es el tiempo en minutos, el caso debe tener una duracin antes que se genere una alerta. Activado es una casilla que indica si el atributo dado ser objeto de seguimiento.

Configuracin> Registros de Accin del usuario La Pagina del Registro de la accin del usuario le permite determinar qu debe realizar un seguimiento de los registros OSSIM y almacenar, como se muestra en la Figura11 - Configuracin> Accin del usuario Registros. Una serie de registros de usuarios de accin se seleccionan por defecto. Para quitar una, simplemente desactive la casilla de verificacin, o seleccione la casilla de verificacin para activar el registro. Una vez que haya terminado de hacer cambios, haga clic en Actualizar configuracin para que los cambios surtan efecto.

Figura 11

Configuracin> Incidentes Plantilla de correo electrnico La plantilla de correo electrnico de los incidentes le permite crear plantillas para la creacin de e-mail cuando se trabaja con los incidentes, tal como se muestra en la Figura 12 - Configuracin> Incidentes Plantilla de correo electrnico.

Figura 12

Para trabajar con una plantilla, puede seleccionar una plantilla de etiqueta desde el panel de la izquierda de la ventana y aplicar la etiqueta (estos son similares a las macros) e insertarlos en la plantilla de correo electrnico utilizando las teclas direccionales. Todos los cambios se realizan en las secciones del asunto y el cuerpo utilizando estas flechas o actualizando manualmente de los cuadros de texto. Para ver una imagen fiel de su trabajo, haga clic en Vista previa. A continuacin aparece una vista previa de la plantilla de editor. Realizar ms cambios, simplemente volver a la pantalla y seguir editando. Una vez completa, puede haga clic en Restaurar valores predeterminados para descartar los cambios o haga clic en Guardar plantilla para guardar los cambios. Sustitucin de palabras clave La sustitucin de palabras clave son las variables que interpretan sus correspondientes valores. En la tabla a continuacin se enumeran las palabras clave disponibles (ver el cuadro 2 - lista de palabras clave). Las palabras clave se pueden utilizar para personalizar los correos enviados por los incidentes. OSSIM sustituye las palabras clave con los apropiados valores. Palabra clave ID NO INCIDENT TTULO EXTRA_INFO CHARGE_NAME IN_CHARGE_LOGIN IN_CHARGE_EMAIL IN_CHARGE_DPTO IN_CHARGE_COMPANY PRIORITY_NUM PRIORITY_STR TAGS CREATION_DATE ESTADO CLASE TIPO Cuadro 2 - lista de palabras clave Descripcin ID del incidente de la base de datos de identificacin El incidente humanos orientados hacia el El ttulo asignado a la incidente Incidente relacionado con la informacin La persona actualmente a cargo de resolver el incidente El ingreso de la persona actualmente a cargo de resolver el incidente El correo electrnico de la persona actualmente a cargo de resolver el incidente El departamento de la persona actualmente a cargo de resolver el incidente La compaa de la persona actualmente a cargo de resolver el incidente La prioridad del incidente en el nmero de 1 (bajo) a 10 (alto) La prioridad de la cadena de formato: Bajo, Medio o Alto La informacin adicional de las etiquetas adjuntas a los hechos Cundo fue creado el incidente? La situacin actual: abrir o cerrar El tipo de incidente: Alarma, Evento, Mtrico El incidente de la categora o grupo Ejemplo 63 ALA63 cambio de MAC detectado en la zona desmilitarizada Fuente PI: 10.10.10 John Smith jsmith jsmith@example.com Soporte Tcnico Ejemplo Inc. 8 Alto NEED_MORE_INFO 2009-05-18 19:40:53 Abrir Alarma Poltica de Violacin

LIFE_TIME TICKET_DESCRIPTION TICKET_ACTION TICKET_AUTHOR_NAME TICKET_AUTHOR_EMAIL TICKET_AUTHOR_DPTO TICKET_AUTHOR_COMPANY TICKET_EMAIL_CC TICKET_HISTORY TICKET_INVERSE_HISTORY

El tiempo transcurrido desde la creacin del incidente La descripcin llena de billetes por el autor La accin presentada por el autor de billetes La persona que acaba de crear un nuevo ticket El correo electrnico de la entrada de autores El departamento de la entrada de autores La empresa de la entrada de autores Quin (nombre y correo electrnico) recibi este mensaje de correo electrnico tambin? La lista completa de las entradas relacionadas con este incidente La lista completa de las entradas relacionadas con este incidente

1 Da, 10:13 MAC detectado un cambio en dmz1.int de acogida Investigar el incidente lo antes posible Sam Max smax@example.com operaciones de red Algunos Ejemplo Inc. / "John Smith /" jsmith@example.com

Configuracin> Actualizar Actualizacin de la pgina muestra el nmero de versin de la actual construccin de OSSIM que est usando, como se muestra en Figure 13 Configuracin> Actualizar.

Figura 13

Si cualquier actualizacion est disponible, se reflejaria en la seccin mencionada. Una lista de actualizaciones no crticas figura a continuacin en la seccin de todas las actualizaciones. Esto tambin incluye actualizaciones publicadas anteriormente que podra no ser la ms reciente - por ejemplo, es posible que ya ha instalado la versin C3 de una actualizacin, por lo que no es necesario desde la ltima actualizacin, tambin incluye las actualizaciones anteriores. Esta seccin tambin ofrece una breve resea de lo que se actualiz o fijo en la emisin. Es importante sealar que este vnculo aparecer despus de inicio de sesin hasta que el sistema est actualizado. La pgina se puede visitar con regularidad a fin de que usted este en la parte superior de las ltimas actualizaciones o parches disponibles para OSSIM.

CORRELACION

Correlacin> Directivas
Las directivas son un mecanismo que OSSIM utiliza para generar alarmas. Directivas podra ser un poco similar a las firmas del snort; Los byte en lugar de coincidir en las cadenas de bytes de datos coinciden con las directivas de mensajes de alerta generado por snort y otros sensores (Punto de plugin, plugins de Cisco, ventanas.). Hay dos tipos de normas utilizadas, los detectores y monitores. Mostramos un ejemplo con una Directiva. Puede manejar y Monitorear el detector de normas dentro de l. Los detectores generan alertas que desencadenan acciones. Figura 14 - Correlacin> Directivas del detector tiene dos reglas. Tanto de los detectores en este ejemplo son generadas por snort. La primera es Intrusion_rule. La segunda es la respuesta de ataque. El resto de reglas son los monitores. Los parmetros de las directivas no se pueden modificar usando la interfaz de OSSIM (ver la Figura 15 Correlacin> Directivas). Nuevas directivas deben ser creadas y editadas en la directiva archivos XML (/ etc / ossim / servidor / directives.xml). El visor de la Directiva est compuesto por dos paneles. El panel de la izquierda es una lista de todas las directivas que utilizan actualmente EL OSSIM. El panel de la derecha contiene detalles de la directiva actualmente seleccionado del panel izquierdo. El panel de la derecha es un rbol que muestra los detalles de las reglas con mltiples filas y columnas. Los elementos del rbol puede ser ampliado y se desminuido, haciendo clic en el + y - en el extremo hipervnculos lado izquierdo del panel. Cada fila representa una norma diferente para hacer una directiva. El servidor OSSIM crea un evento despus de cada regla en una directiva partida. Hay once diferentes columnas que muestran los diferentes parmetros de cada regla. La alarma se generar si este evento tiene bastante riesgo.

Figura 14

Figura 15

Nombre es el nombre de la regla. La fiabilidad es una medida de estado de funcionamiento. Se trata de un valor de 0 a 10 donde 10 es la ms fiable y 0 es el menos. Fiabilidad se lee como una dcima parte de un porcentaje. Es decir el 4 significa que hay un 40% de probabilidad de que esta norma es precisa en esta etapa de la directiva. Time_out es la duracin de un evento se controla en segundos. La norma es dar un seguimiento de ese perodo de tiempo en busca de los criterios especificados. Ocurrencia es el nmero de veces que debe coincidir con una norma antes de que se active. From es de la direccin IP de trfico que est fluyendo. Desde el campo puede tener una direccin IP, o una de las tres palabras clave: NINGUNA, SRC_IP, o DST_IP (ver el cuadro 3 - Palabras clave de la Directiva). Estas mismas palabras se pueden utilizar en el campo. Estos campos se utilizan una serie, que identifica el nivel de la norma que ha de tener la informacin (IP o puerto). Cuadro 3 - Palabras clave de la Directiva SRC_IP La Direccin IP de la fuente utilizada en la norma especificada DST_IP La direccin IP de destino utilizados en la norma especificada SRC_PORT El puerto de origen utilizados en la norma especificada DST_PORT Utiliza el puerto de destino especificado en la norma CUALQUIER Cualquier posible valor para el campo dado To es la direccin IP para el trfico de fluido. It Puede utilizar una direccin IP especfica o de cualquiera de las tres palabras mencionadas. Port_From es el nmero anfitrin del puerto que el trfico fluye de . El campo Port_From puede tener una lista separada por comas de los nmeros de puerto especficos, o una de las tres palabras clave: NINGUNA, SRC_PORT, o DST_PORT (vase el cuadro 3 - Palabras clave de la Directiva). Estas mismas palabras se pueden utilizar en el Puerto de campo. Puerto es el nmero de puerto de aceptacion que el trfico fluye a.Se puede utilizar un nmero de puerto o de cualquiera de las tres palabras mencionadas. Plugin ID es el nmero interno de OSSIM que utiliza para realizar un seguimiento de varios sensores. Esta columna indica el nmero, as como el nombre del particular plugin. Cada sensor tiene un plugin ID. Al hacer clic en el plugin DIM se selecciona una versin diferente de la pagina de configuracin> Plugins. Plugin de SID es el nmero interno de OSSIM que utiliza para rastrear los mensajes de diferentes sensores. Por ejemplo, hay un nico plug-in-sid para cada alerta que snort genera.

Correlacin> Correlacin Cruzada


La correlacin cruzada de OSSIM es la capacidad para relacionar a travs de dos diferentes plug-ins. La correlacin cruzada es usada para modificar la fiabilidad de un evento. Modificar este valor tiene efecto sobre el riesgo y, por defecto, en la generacin de alarmas. La regla bsica de las correspondencias cruzadas es la siguiente: si snort ha descubierto un ataque a la propiedad intelectual, y sabemos que el perodo de investigacin que tiene la vulnerabilidad, la fiabilidad se cambiar a 10. Cuando una correlacion cruzada personalizada, aade el caso de la fiabilidad del nuevo plugin antiguo. En esta pantalla se enumeran los datos generados acompaado por correlacin cruzada (ver la Figura 16 - Correlacin Cruz).

Figura 16

Correlacin> Cartera
El atraso es algo instantneo del motor de correlacin de OSSIM en el tiempo. Esta pgina, cuando se carga, muestra los datos actuales interpretados por el motor de correlacin (vase la Figura 17 - Correlacin> Cartera). Esta pantalla se puede utilizar para depurar el sistema y OSSIM o reglas.

Figura 17 Puede ver el numero de directiva entre parntesis (en la columna de la Directiva) y si se ha combinado o no alguna regla.

PANEL DE CONROL

Panel de control> Panel de Ejecutivo


El Grupo Ejecutivo OSSIM es de hecho el punto de partida de la aplicacin OSSIM. Una vez que se conecte a OSSIM, el Grupo Ejecutivo, como se indica en la Figura 18 - Panel de control> Panel Ejecutivo.

Figura 18

En general, es la "bienvenida" de la pgina, del Grupo Ejecutivo que le permite realizar una serie de cosas: Acceder a la ayuda en lnea. Realizar una de las ocho tareas que realiza el sistema a menudo. Encontrar informacin adicional en el sitio web ossim.net. Haz clic en "Editar" para personalizar el hipervnculo OSSIM Grupo Ejecutivo. El Grupo Ejecutivo puede tener varios sub-grupos. Los grupos pueden ser configurados para mostrar la informacin de los mdulos en todo OSSIM (ver la Figura 19 - Panel de configuracin).

Figura 19

Panel de control> agregados Riesgo


La mtrica pantallas o paneles, de los niveles de sistema de visualizacin grfica de los ataques y compromisos, como se muestra en la Figura 20 - Panel de control> Mtrica.

Figura 20

El ataque y el compromiso son dos indicadores que tienen los monitores de OSSIM independiente debido a la potencial gravedad de su naturaleza. Ambos son el resultado agregado de riesgo representado por el seguimiento de los acontecimientos que afectan a los activos En la pgina mtrica, un ataque representa el riesgo potencial de la mquina debido a los ataques en su mquina. En otras palabras, esto representa la posibilidad de un ataque, pero en realidad no indican que el ataque fue un xito. El Compromiso indica que se ha cometido un ataque contra su mquina. Mtrica de la pgina se divide en cuatro secciones distintas: El panel superior le permite seleccionar la duracin de sus indicadores: las ltimas 24 horas, la ltima semana, el ltimo mes, o durante el ao pasado. El panel central proporciona representaciones grficas, o paneles, que muestran las cifras globales de administracin, un Riskmeter, y de nivel de servicio. La parte inferior izquierda del panel proporciona informacin de compromiso. La parte inferior derecha del panel proporciona informacin de ataque. Puede hacer clic en el administrador grafico mundial de Mtrica y aparecer en una nueva ventana para facilitarle la visualizacin. Este grfico observa cualquier ataque o compromiso, un ejemplo en la hora y la fecha que se haya producido. El grafico Riskmeter, que tambin puede ser ms fcil de hacer solo haciendo clic para ver, la muestra de los ataques y compromisos a nivel mundial, la red y nivel de aceptacion. Esta pantalla es en tiempo real de monitor C & A. El Servicio de nivel grfico que muestra el actual nivel de servicio en su mquina. La informacin del grfico que se obtiene desde el mismo lugar que el Riskmeter la que podr ver el historial de mediciones C & A. Puede hacer clic en el porcentaje de muestra y ver las cifras de nivel de administrador. Este grfico le permite seleccionar la duracin de tiempo que se muestra en el grfico (ltimos da, semana, mes o ao), as como seleccionar si mostrar o no los ataques o compromisos. El compromiso y la seccin de ataque en la parte inferior del panel de visualizacin de informacin es similar para los dos eventos. Cada evento se divide en dos tipos: global y las redes de grupos externos. La seccin mundial contiene cuatro elementos de informacin: la puntuacin global, el importe mximo de la fecha, el mximo y los niveles actuales. La puntuacin Global cuenta con dos iconos: un grfico de informacin y de insertar un smbolo. Al hacer clic en el smbolo grfico, aparece la ventana de administracin de la mtrica mundial (exactamente como el de la parte superior del panel). El icono de insertar la informacin le permite configurar los ajustes de la mtrica que inserta los nuevos incidentes. Usted puede modificar la propuesta de informacin con otro (si es necesario). Por ejemplo, usted puede solicitar un ttulo con el incidente, establecer prioridades, definir el tipo, el objetivo, tipo de mtrica y valor, as como horas de inicio y finalizacin de eventos relacionados. La Red de grupos que se encuentra fuera de la seccin contiene informacin similar a las redes dentro de un grupo no definido en el Grupo de Poltica de la Red (ver Red de grupos). Cada red de afuera tambin contiene un grfico y un icono de insertar la informacin como se detalla en el prrafo anterior.

En la parte inferior de la pgina de Mtrica, aparece una leyenda que ilustra el porcentaje de umbral y su correspondiente riesgo mediante un cdigo de color.

Panel de control> Alarmas


El panel de las alarmas muestra informacin acerca de cualquier intrusin o intento de intrusin de la red, como se muestra en la Figura 21 Panel de control> Alarmas.

Figura 21

La pgina de las alarmas est dividida en dos paneles, el panel superior es un panel de bsqueda que le permite fijar la alarma de intrusin o criterios. Los resultados obtenidos aparecen en la parte inferior del panel de la pgina de la alarma. El panel de bsqueda le ofrece cuatro opciones para la localizacin de las alarmas o intrusiones: La casilla del filtro de verificacin, si selecciona, abierto la nueva alarma queda abierta, si selecciona cerrado se establece en Cerrado. La fecha de la caja de texto le permite establecer un rango de fechas para la alarma deseada (s). Al hacer clic en el icono de calendario a la derecha del cuadro de texto, puede seleccionar la fecha de inicio y final mediante el calendario emergente. Al establecer una fecha, tenga en cuenta que la fecha debe seguir el ao-mes el formato de fecha. La direccin IP cuadro de texto le permite establecer un origen y el destino de rango de direcciones IP para la alarma. alarmas por pgina cuadro de texto le permite establecer el nmero mximo de alarmas para mostrar por pgina. Una vez que haya establecido sus criterios de bsqueda, haga clic en Ir y los resultados aparecern en la busqueda en el panel inferior de la pgina. Estas alarmas son los primeros retornos ordenados por fecha, usted puede optar por eliminar todas las alarmas para una determinada fecha, haga clic en Eliminar junto a la fecha para el bloque de alarmas. Si lo prefiere, puede eliminar una alarma de forma individual haciendo clic en el enlace antes mencionado que se encuentra tambin junto a la entrada de alarma en los resultados de bsqueda. La tercera manera de eliminar todas las alarmas en sus resultados de bsqueda es haciendo clic en Eliminar todas las alarmas en la parte inferior del panel de resultados del panel de bsqueda. En el panel inferior de la pgina de alarmas, hay una serie de secciones que proporcionan informacin til cuando se trabaja con alarmas o intrusiones: La columna Alarmas muestra el nombre de la alarma de intrusin, o evento que se produce. Esto puede ser un nombre especfico, o simplemente una descripcin del evento, por ejemplo, "contra la posible intrusin vmossim". La columna riesgo muestra un nmero que indica la amenaza potencial a su mquina y de la red. Por ejemplo, un riesgo de 2 representa el mnimo riesgo para nuestro sistema. Por otra parte, un riesgo de 6, no slo plantea importantes a riesgo de peligro para su equipo, tambin tiene una etiqueta con cdigo de color indicando una mayor amenaza. La columna Sensor indica la direccin IP del dispositivo que detecta la alarma. La columna Desde indica la fecha en que se registr por primera vez en OSSIM ese ataque o intrusin. Que contiene la fecha, seguido por el tiempo. La columna ltima indica la fecha en que OSSIM detecto el ltimo caso particular, con respecto a ese ataque o intrusin. Que contiene la fecha, seguido por el tiempo. La columna Fuente muestra la direccin IP y el nmero de puerto donde el primer caso de ataque o intrusin apareci. La columna Destino muestra la direccin IP y el nmero de puerto donde el primer caso de ataque o intrusin apareci. La columna de estado muestra si la alarma est configurada para abrir o cerrar. Puede configurar una alarma con el estado Abierto o Cerrado simplemente haciendo clic sobre el enlace Abrir. El enlace a continuacin, muestra como cerrado. La columna Accin le permite realizar diferentes acciones de esta columna: en primer lugar, se puede eliminar una alarma como se mencion anteriormente, haga clic en Eliminar. Alternativamente, puede configurar las propiedades de la alarma incidente haciendo clic en el icono Insertar la informacin a la derecha del vnculo Eliminar. Estas propiedades incluyen toda la informacin que aparece por una alarma en el panel Resultados de la bsqueda, como la alarma, el riesgo, sensores, etc.

POLITICAS

Poltica> Poltica
Una gran parte de la conducta de ossim est configurada a travs de esta seccin. Los Activos deben ser definidos (tanto en la aceptacion y a nivel de red), acciones de IPS y las respuestas se pueden configurar y los puertos, los sensores, los servidores y grupos de plugin deben ser definidos para la poltica de configuracin. Esta seccin controla parte de la coleccin, la priorizacin y la correlacin ncleo de ossim, similar a una poltica de cortafuegos GUI. Se define un conjunto de fuentes, destinos, eventos, qu hacer con ellos, cmo y con qu objetivos se aplica (lo que los servidores / sensores para aplicar la poltica). Poltica de la pgina muestra la "poltica" para su sistema, como se muestra en la Figura 22. La poltica es esencialmente un grupo de ajustes que manejan el comportamiento y la seguridad. Aqu usted puede sintonizar OSSIM en mltiples formas, especificando qu es lo que quiere hacer con ciertos eventos o alarmas. Esta pgina le permite ver los ajustes y crear nuevas polticas cuando sea necesario. Cada vez que se modifique la poltica lo mejor es reiniciar el servidor, ya que modifica algunos detalles internos.

Figura 22 De forma predeterminada, no hay polticas, por lo que puede crear una haciendo clic en Insertar nueva poltica. La pgina para insertar la nueva poltica le permite establecer los siguientes bits de informacin a travs de la utilizacin de casillas de verificacin de radio y cajas:

Bsicamente durante la edicin de una poltica que tenga los siguientes campos para rellenar / ajustar: Fuente Este campo especifica el origen de los acontecimientos que queremos igualar.Los eventos que no tienen un objetivo o una meta que no tiene sentido (cambios de SO, cambios de mac, nuevo servicio, la vulnerabilidad identificada, etc.). Fuente puede tomar uno de tres valores: 1. Cualquier host definido en Poltica> Ejrcitos 2. Toda la red se define en la poltica -> Redes 3. El valor especial alguno. Destino Aqu se estableci el objetivo de un evento. En caso de que no tiene un objetivo (os, mac, servicio, etc.) debe ser definido como cualquier, este bjetivo ser insertado como 0.0.0.0 si est insertada en un campo obligatorio ip. Destination, again, can take one of three values: Destino, de nuevo, puede tomar uno de tres valores: 1. Any host defined at Policy --> Hosts Cualquier host definido en la poltica -> Ejrcitos 2. Any network defined at Policy --> Networks Toda la red se define en la poltica -> Redes 3. The special value any. El valor especial alguno. Puerto de Destino Puerto de destino se especifica el puerto de destino de un caso y puede ser definido en virtud de Poltica> Puertos. Prioridad Cada uno de los eventos llega con su propia prioridad y fiabilidad, que es tomado de la PP. Adems de los eventos pueden ser agregados en virtud de las nuevas prioridades y fiabilidad de las alarmas. Ambos tipos de eventos pueden ser perfeccionados mediante polticas y controles de este parmetro para ajustar la forma en la prioridad. La prioridad se puede seleccionar de una lista y puede tomar los siguientes valores: No ajuste (-1) 0 1 2 3 4 5 Todos ellos son automaticos, "No ajuste" deja intacta la prioridad, 0 hace invisible para el caso de cualquier cosa relacionada con el riesgo dentro de ossim.

Plugin de Grupos Cada caso es singularmente definido por dos nmeros, el "plug-in de identificacin" y "plug-in DIM". El uso de grupos la Poltica> Plugin puede definir uno o ms grupos adecuados para su pliza. Sensor Este es el sensor que debe generar los eventos de esta poltica. Puede configurar los sensores en virtud de Poltica> Sensores. Rango de tiempo Aunque algo limitado en este momento nos permite un tiempo de inicio y final la definicin de la poltica. Meta Cuando se "instala esta poltica. Efectivamente, no se instala en los objetivos seleccionados, pero dice que el objetivo ha de tener en cuenta esta poltica. Luego en conjunto Poltica> Servidores. (NOTA: Esto se agrupan junto con los sensores en virtud de "objetivos"). Los objetivos vlidos a partir del 2007/04/02 son servidores, su nombre debe coincidir con el <server name=""> entrada en / etc / ossim / server / config.xml. Por ejemplo, "serverUP" aqu:
<server port="40001" name="serverUP" ip="0.0.0.0"/> <server port="40001" name="serverUP" ip="0.0.0.0"/>

Caso las variables Estos son algunas opciones "s / no" que le dicen a los objetivos de qu hacer con el caso una vez que haya combinado: Correlacionar los eventos: En caso de que se pongan en venta el caso de ser utilizados para la correlacin? Correlacionar eventos cruzados: Para cruzar-plugin o identificaciones, las identificaciones del servicio correlacin? Tienda eventos: En caso de que sean almacenados? Calificar los acontecimientos: Afectan las cifras de riesgo? debe modificar el objetivo prioritario o C & A los niveles? Reenviar alarmas: En caso de que las alarmas generadas en estos eventos se reenven a otros servidores? Reenviar eventos: En caso de ser reenviados a otros servidores? Descripcin Slo eso, una simple descripcin. Varias de estas opciones le permiten aadir nuevas opciones, si la lista de opciones disponibles no se ajusta a sus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo sensor de vnculo por debajo de la cabecera de los sensores, a aadir un sensor a la lista de los sensores. Una vez que haya terminado, haga clic en Aceptar. Aparece un dilogo que indica que su poltica se ha creado con xito, haga clic en Atrs.

Puede hacer clic en Actualizar si no aparece. Si desea modificar o eliminar la poltica, puede hacerlo utilizando los enlaces de la columna Accin. Si optan por modificar el evento, la actualizacin de la pgina aparece la poltica de mostrar la misma lista de opciones que se ha mencionado anteriormente el mantenimiento de las casillas de verificacin y seleccione las casillas. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para volver a sus parmetros iniciales. La poltica de configuracin tiene el siguiente aspecto:

Figura 23

Poltica> Ejrcitos
La pagina de los Ejrcitos muestra la lista de los nombres de las mquinas, as como la informacin pertinente acerca de ellos, como se muestra en la Figura 24 - Poltica> Ejrcitos.

Figura 24

En la columna Accin, puede modificar uno de los nombres de host. Una vez que haga clic en Modificar para el nombre de host, puede modificar los siguientes elementos de informacin: Hostname IP Valor Umbral C: RRD se generar eventos si este valor es superado. Un umbral: RRD se generar eventos si este valor es superado. RRD Perfil: Es necesario definir un perfil de RRD, por defecto, si seguro. NAT Sensores Insrtese un nuevo sensor? Opciones de exploracin OS Direccin Mac Mac proveedores Descripcin Detalles acerca de estas opciones que se pueden encontrar en la Poltica> Detalles de la seccin. Varias de estas opciones le permiten aadir nuevas opciones, si la lista de opciones disponibles no se ajusta a sus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo sensor de vnculo por debajo de la cabecera de los sensores a aadir un sensor a la lista de los sensores. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para volver a sus parmetros iniciales. Tambin puede optar por crear una nueva haciendo clic en Insertar aceptacion de la nueva pgina de los Ejrcitos. La pgina para insertar la aceptactacion muestra la misma lista de los parmetros mencionados anteriormente que se puede configurar. Una vez que haya terminado, haga clic en Aceptar. Aparece un dilogo que indica que su poltica se ha creado con xito, haga clic en Atrs.

Poltica> Redes
La pagina de las redes muestra la lista de redes disponibles para tu sistema, as como la informacin pertinente para la red, como se muestra en la Figura 25 - Poltica> Redes. OSSIM en general tendr que definir todas las redes de donde usted desea obtener informacin.

Figura 25

Al igual que en las otras pestaas para las Polticas, puede modificar, eliminar o aadir una red. Para modificar una red existente, haga clic en Modificar en la columna Accin. Una vez que haga clic en Modificar, En la pagina de la red aparece Modificar, lo que le permite modificar los siguientes ajustes: Netname IP Valor Umbral C Umbral A RRD Perfil Sensores Opciones de exploracin Descripcin Los detalles acerca de estas opciones se pueden encontrar en la Poltica> Detalles de la seccin. Varias de estas opciones le permiten aadir nuevas opciones, si la lista de opciones disponibles no se ajusta a sus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo sensor de vnculo por debajo de la cabecera de los sensores a aadir un sensor a la lista de los sensores. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para volver a sus parmetros iniciales. Si decide crear una red, puede hacerlo desde la pgina haciendo clic en Redes Insertar nueva red. La misma lista de configuraciones est disponible para usted que se enumeran ms arriba. La nica diferencia es que al crear una nueva red, puede configurar mltiples o un rango de direcciones IP. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para volver a sus parmetros iniciales.

Poltica> Red de grupos


En la pagina de la Red de grupos se enumeran los grupos de red disponibles para su mquina, como se muestra en la Figura 26 - Poltica> Red de Grupos. Puede utilizar esta opcin para organizar sus redes.

Figura 26

De forma predeterminada, la Red de grupos de la pgina est vaca. Al igual que en las otras pestaas para las Polticas, puede modificar, eliminar o aadir un grupo de red. Para ello, haga clic en Insertar nuevo grupo de red. Puede configurar los parmetros para las siguientes actividades: Nombre Redes Umbral C Umbral A RRD Perfil Opciones de exploracin Descripcin Detalles acerca de estas opciones se pueden encontrar en la Poltica> Detalles de la seccin. Varias de estas opciones le permiten aadir nuevas opciones, si la lista de opciones disponibles no se ajusta a sus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo enlace de red debajo de la cabecera de las redes para aadir una red personalizada a la lista de redes disponibles. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de dilogo que confirma que su operacin fue un xito, haga clic en Atrs para volver a la Red de grupos de la pgina. El nuevo grupo de red aparece en la Red de grupos de la pgina, para modificarlo, simplemente haga clic en Modificar las columnas de la accin. La informacin anterior relativa a la creacin de un nuevo grupo de red tambin se aplica cuando la modificacin de un grupo de red.

Poltica> Detalles (Dentro de los Ejrcitos, Red de Redes y grupos)


Detalles de la poltica de permitir la configuracin de monitores activos de OSSIM. Los activos incluyen Servidores, Redes, Red y Grupos. Si bien estos no son similares, tambin tiene diferentes parmetros (por ejemplo, frente a la red de aceptacion PI PI), todos comparten en comn una serie de opciones (ver 27 - Poltica de Detalle).

Figura 27

Las opciones comunes incluyen activos, C Umbral, Umbral A, RRD Perfil, Sensores, y Opciones de exploracin. Activo, Umbral C y Umbral A todos los valores utilizados para calcular el valor CALMA riesgo de aceptacion y de algunos eventos especficos. Todas las otras opciones son exclusivas de los activos y se explica en su seccin correspondiente. Los activos se utilizan para calcular el riesgo. El Riesgo es el producto de los Activos, la prioridad, y dividido por ten25 Fiabilidad. El ativo es un nmero entre cero y cinco. Asignar un valor en relacin con el valor intrnseco de los activos, siendo 5 el valor ms alto. La asignacin de un alto valor de los activos de todo el equipo no es un uso eficaz del valor de los activos. C es el lmite mximo de compromiso del valor aceptado; Si el anfitrin superar gracias a algunos eventos, que se publicar en el Panel de control Pagina Mtrica. Las alertas tienen valores de compromiso y este valor indicar qu valores afectan a este host. El umbral A es el valor mximo ataque aceptado; Si el anfitrin superar gracias a algunos eventos, que se publicar en el Panel de control Mtrica. Las alertas tienen valores de ataque y este valor indica lo que afecta en particular, a los valores de aceptacion. El perfil RRD se utiliza para determinar lo que las alertas se generan sobre la base de estadsticas ntop y la capacidad de prediccin. Los perfiles RRD se definen en OSSIM> Configuracin> Config RRD> Modificar / Nueva RRD Config.

Poltica> Sensores
Los sensores estn conectados y se configura a travs de la Poltica> Sensores de interfaz. OSSIM utiliza sensores para recopilar datos. La informacin en esta tabla puede cambiar cuando la pgina web se actualize. Hay dos cuadros en esta interfaz (ver Figura 28 - Poltica> Sensores).

Figura 28

El primer cuadro es una simple visin del conjunto de sensores. Los sensores son sensores activos hablando con el servidor OSSIM en el momento en que el sensor de la pgina fue cargada. El total de Sensores es el nmero de sensores configurados dentro de la base de datos de OSSIM. Este total incluye los sensores que se comunican con el servidor, los sensores que no comunican con el servidor, y los malos sensores. El nmero total de sensores incluidos en el nmero de lneas en el segundo cuadro. La segunda tabla se enumeran todos los sensores y su configuracin. Esta informacin procede de la base de datos de OSSIM. Hay cinco columnas en esta tabla. IP es la direccin IP de un sensor con un agente de OSSIM. Este campo debe ser una direccin IP vlida accesibles desde el servidor OSSIM (aunque es el agente que inicia la conexin por lo general). El sensor utiliza esta direccin para conectarse al servidor OSSIM. Hostname es el nombre del host. El nombre de la mquina no tiene que ser el nombre del host segn lo reportado por el sensor. Esto no tiene nada que ver con el nombre DNS, es el nombre que se dar a ese anfitrin en OSSIM. Prioridad determina cmo acoge los vnculos de lossensores dentro de los informes de aceptacion. Una puede tener mltiples sensores y la ms alta prioridad es el primer sensor vinculados a la aceptacin.La prioridad puede ser un valor en el rango de cero a diez. Puerto de destino es el puerto de red que el agente utiliza para comunicarse con el servidor OSSIM. Esto puede ser cambiado para facilitar el acceso a travs de un firewall, el reenvo de puertos o alguna tcnica de ofuscacin. Cambiar el nmero de puerto no est recomendado para usuarios principiantes de OSSIM. Cambio que exige un cambio de configuracin en el agente de OSSIM, potencialmente, el host donde est instalado el agente, y otros componentes de la red. Identificar si activa o no un sensor se activa o no. Los sensores activos son los sensores que tienen una comunicacin conel servidor OSSIM. El verde indica un sensor activo. Un rojo indica que un sensor no est comunicando con el servidor OSSIM. Descripcin es un texto utilizado para describir el sensor. Se trata de un mbito de especial utilidad para redes complejas, o cuando los sensores no tienen nombres descriptivos. La descripcin debe ser utilizada para aclarar lo que el sensor es en realidad. Accin contiene hipervnculos con tres opciones para cada sensor: Modificar, Eliminar, & Interfaces. Modificar se usa para cambiar la configuracin del sensor. Modificar el uso para reparar o actualizar sensores malos descripciones como la red que vigila los cambios. Borrar elimina los sensores de la Base de Datos de OSSIM. Eliminar sensores no utilizados y que ya no tienen datos. Interfaces le llevar a la interfaz de pantalla para definir las interfaces que Ntop ver (si los hubiera). Advertencia: Si elimina la informacin del sensor sensores desvincula los datos almacenados en la base de datos. Esto significa que usted no puede ser capaz de averiguar de dnde vinieron los datos antiguos en su base de datos. Eliminacin de un sensor que elimina la informacin.

Poltica> Servidores
La pgina de los servidores muestra la lista de servidores chicos disponibles para su mquina. Esto incluye el nmero de chicos activos y el total de servidores. A la izquierda, usted ver "El servidor master..." Este es el principal servidor - la instalada de este servidor - le informa si est activo o no. Tenga en cuenta que si usted tiene slo un servidor (un nivel de arquitectura), no ver ninguo de los servidores que aparecen en la tabla - slo ver el "El servidor maestro". Esta pgina tambin incluye otra inform acin pertinente, como se muestra en la Figura 29.

Figura 29

Al igual que las dems pestaas de las Poltica, puede modificar, eliminar o aadir un servidor a su sistema. Para insertar un nuevo servidor, haga clic en Insertar nuevo servidor, que se encuentra en la parte inferior de la pgina. Una vez que el servidor de la pgina Insertar nuevo, puede establecer las siguientes opciones: Hostname IP Puerto Correlacionar los eventos Correlacionar eventos cruzados Store eventos Calificar los acontecimientos Reenviar alarma Reenviar eventos Descripcin Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de dilogo que confirma que su operacin fue un xito, haga clic en Atrs para volver a la pgina Servidores. Para modificar un servidor existente, haga clic en Modificar en la columna Accin para el servidor. La nica diferencia entre la adicin y modificacin de un servidor es que no se puede modificar el nombre de host al hacer modificaciones. Si has cometido un error en el establecimiento del nombre de host, es mejor eliminar el servidor y crear una nueva. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de dilogo que confirma que su operacin fue un xito, haga clic en Atrs para volver a la pgina Servidores.

Poltica> Puertos
La pgina de los Puertos da la lista de puertos disponibles y grupos de puerto, como se muestra en la Figura 30.

Figura 30

Al igual que los dems pestaas de la Polticas, puede modificar, eliminar o aadir un puerto o grupo de puerto a su sistema. To haga clic en Insertar nuevo Puerto Grupo, que se encuentra en la parte inferior de la pgina. Una vez que el grupo Insertar en la pantalla un nuevo, aadir un nombre, elija un puerto o los puertos, as como aadir una descripcin. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de dilogo que confirma que su operacin fue un xito, haga clic en Atrs para volver a la pgina Puertos. Para aadir un nuevo puerto, haga clic en Insertar nuevo puerto de la parte inferior de la pgina Puertos. Aadir un nmero de puerto, seleccione un protocolo, escriba un nombre de servicio, y agregar una descripcin. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de dilogo que confirma que su operacin fue un xito, haga clic en Atrs para volver a la pgina Puertos. El nuevo puerto aparecer en la lista de puertos disponibles cuando se aade un nuevo puerto grupo. Aunque no se puede modificar un nmero de puerto que ha creado, usted puede hacer modificaciones a su puerto de grupo. Para ello, haga clic en Modificar de la columna Accin. La nica diferencia entre la modificacin y la creacin de un puerto del grupo es que no se puede modificar el nombre del puerto del grupo. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de dilogo que confirma que su operacin fue un xito, haga clic en Atrs para volver a la pgina Puertos

Poltica> Acciones
La pagina Acciones muestra la lista de acciones programadas para su mquina. Por defecto, esta pgina est vaca, como se muestra en la Figura 31 - Poltica> Acciones. a continuacin, se especifica la accin. Y aqu se puede definir las medidas que deban tomarse.

Figura 31

Al igual que los dems pestaas de la Poltica, puede modificar, eliminar o aadir una accin a su sistema. Para insertar una nueva accin, haga clic en Agregar nueva accin, que se encuentra en la parte inferior de la pgina. Una vez en la pantalla de la nueva accin Aadir, debe introducir en primer lugar una descripcin en el cuadro de texto. El tipo de campo le permite decidir si una solicitud puede llamar o enviar un e-mail a alguien, cuando proceda. Si selecciona "enviar un mensaje de correo electrnico", deber introducir el remitente la direccin de correo electrnico, el destinatario de la direccin de correo electrnico, y el objeto del correo electrnico. Un cuadro de texto est disponible para usted para entrar en el cuerpo de su correo electrnico. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de dilogo que confirma que su operacin fue un xito, haga clic en Atrs para volver a la pgina Acciones. Si selecciona "ejecutar un programa externo", debe agregar la lnea de comandos para la aplicacin. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de dilogo que confirma que su operacin fue un xito, haga clic en Atrs para volver a la pgina Acciones. La palabra clave es la sustitucin de una caracterstica disponible aqu (ver Sustitucin de palabras clave). Por favor, tenga cuidado; En la ejecucin de programas externos puede ser un riesgo para la seguridad y debe hacerse con mucho cuidado. Para modificar una accin, haga clic en Modificar en la columna Acciones para la accin deseada. Please Tenga en cuenta que cuando se modifica un recurso, no puede cambiar el tipo de accin (si has seleccionado para enviar un e-mail, usted no puede cambiar de opinin y pedir una solicitud en lugar). Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de dilogo que confirma que su operacin fue un xito, haga clic en Atrs para volver a la pgina Acciones. Sustitucin de palabras clave La Sustitucin de palabras clave son las variables que interpretan con sus correspondientes valores. Esta caracterstica est disponible en las acciones. Puedes echar un vistazo a las palabras clave de la poltica> Acciones. Las palabras clave se pueden utilizar con los scripts o e-mails externo personalizado cuando llega una alarma. OSSIM sustituye las palabras clave con los valores apropiados. Todos los valores de la palabra clave se refieren a los campos de la alarma. Nota: esta es para los incidentes, no acciones.

Policy > Plugin Groups Poltica> Plugin Grupos


La pagina de el plug-in de Grupos muestra el nombre de los diversos grupos de plugins, as como informacin relevante acerca de cada uno, como se muestra en la Figura 32 - Polticas> Grupos Plugin.

Figura 32

Al igual que los dems pestaas de las Poltica, se puede modificar, eliminar o aadir un complemento a su sistema de grupo. Para insertar un nuevo plugin de grupo, haga clic en Insertar nuevo grupo, que se encuentra por encima de la mesa. Una vez que la pagina del plug-in de Grupos aparece, debe agregar un nombre y una descripcin para el grupo mediante los cuadros de texto. A continuacin, seleccione una o ms plug-ins utilizando las casillas de verificacin junto a la lista de los plugins. Una vez que seleccione un plugin, usted debe agregar su DIM utilizando el cuadro de texto que aparece junto al nombre del plugin. Haga clic en Aceptar cuando haya terminado, usted automticamente volvera a la pgina de grupos de plug-in cuando el nuevo plug-in aparecer en la parte inferior de la lista. Para modificar un plugin de grupo, haga clic en Editar de la columna Acciones del plugin grupo deseado. Todo menos el nmero de ID de grupo (que se asigna automticamente a su grupo, cuando lo cre) pueden ser modificados. Una vez que est satisfecho con sus cambios, haga clic en Aceptar. Automticamente volver a la pgina de grupos de Plugin. Los plug-in son necesarios para la poltica, por ejemplo, Si desea utilizar slo un plugin, tendrs que crear un grupo con slo un plugin dentro de l. Con este enfoque, es mucho ms fcil crear polticas complejas.

MONITORES

Monitores> Sesin (ntop) Son vistos a travs de sesiones de Monitores> Sesin. Sesiones de TCP y UDP sesiones de comunicaciones entre las mquinas de una red de seguimiento. Son persistentes las comunicaciones entre dos hosts (si se trata de una sesin TCP). Los monitores de perodo de sesiones de OSSIM, cuando correlacionan los datos de la red. Nntop recopila y presenta informacin de este perodo de sesiones. Hay un sensor de seleccin y una tabla con la red de sesiones en esta interfaz (ver Figura 33 - Monitores> Sesin).

Figura 33

El sensor de seleccin permite al usuario elegir en qu perodo de sesiones del sensor para ver el cuadro. El selector es la combinacin de la caja debajo del men OSSIM y sobre el protocolo TCP / UDP. El selector de listas de los sensores y redes. Las Redes se definen en Poltica> Redes. Active sesiones TCP / UDP en la tabla se enumeran todos los perodos de sesiones para el sensor. Hay diez columnas en este cuadro: Cliente es el nombre de host o direccin IP de la aceptacin para hablar con un servidor. Un host es cualquier equipo, router, impresora, u otro dispositivo conectado a una red. Hay cuatro campos en esta columna. El primer campo es el nombre del host. ntop mostrar un nombre si puede resolver el nombre DNS o NetBIOS a travs de, de la mejor direccin IP que se muestre. El segundo campo es opcional y entre parntesis y se indica cmo se resolvi el nombre de host. El tercer campo es, El icono de Bandera indican que con un riesgo particular de aceptacion, donde el verde es bajo, el amarillo es medio, y rojo es de alto riesgo. Finalmente, el ltimo campo es el nmero de puerto en el trfico de la red de aceptacin donde es originario ntop utiliza el archivo / etc / services en el servidor ntop para resolver con los nmeros de servicio de nombres. Servidor es el nombre de host o direccin IP para aceptar las conexiones de los clientes. Un servidor normalmente acepta conexiones de varios clientes, ya que ofrece servicios a los clientes. Hay cuatro campos de esta columna. Estos campos son los mismos mbitos que el cliente se ha descrito anteriormente (vase el Cliente). Los datos enviados es la cantidad de datos enviados desde el cliente en la conexin actual. Esto se da en bytes, kilobytes (KB), Megabytes (MB), etc Rcvd datos (datos recibidos) es la cantidad de datos recibidos desde el servidor de la conexin actual. Esto se da en bytes, kilobytes (KB), Megabytes (MB), etc Dado que se activa a la hora y la fecha cuando se inici este respecto. Esta vez es el momento en el servidor ntop. ltimo visto es el momento en que el seguimiento de la ltima conexin de la red. Este es el momento en el servidor ntop. Duracin es la duracin de la sesin de seguimiento. Esto es en el formato hh: mm: ss. La latencia es la grabacin de latencia entre el cliente y el servidor.

Monitores> Red (ntop) Las redes son vistas a travs de ntop. Es una red de cdigo abierto "de arriba". Principio es un comando de * nix que se enumeran los "de arriba" los procesos activos en el host (esto es similar a el administrador de tareas en las ventanas. Supervisa y recoge informacin sobre los protocolos y las mquinas de la red. OSSIM utiliza un envoltorio alrededor de una barra lateral izquierda ntop para presentarlo de una manera compatible con el uso y la metodologa de OSSIM Figura 34 - Monitores> Red).

Figura 34

En la barra lateral izquierda de OSSIM tiene una serie de opciones para ver los datos. Estas opciones son accesibles para todos los sensores y sus interfaces (como se define en virtud de la Poltica Sensores ficha). El sensor de seleccin permite al usuario elegir qu sensor para ver los datos. El selector es la combinacin de la caja en la parte superior de la barra lateral izquierda. El selector de listas de los anfitriones con los agentes de OSSIM instalados. La interfaz del selector permite al usuario elegir qu interfaz de datos para ver ntop. El selector es la combinacin de la caja del sensor debajo de la seleccin. Esta seleccin muestra todos los interfaces configurados para su uso en el sensor seleccionado anteriormente. Nota: La interfaz de seleccin slo funcionar si ntop se inicia con la opcin "-M" opcin. ntop utiliza esta opcin para permitir la separacin del trfico por la interfaz. Sin esta opcin, todo el trfico aparecer bajo el sensor. Mundial es el mundial de la informacin para el sensor seleccionado. Esto proporciona una visin general de la ejecuticion de las mediciones del ntop. Esta pgina contiene un gran nmero de grficos apto para su inclusin en los informes de gestin sobre el estado actual de la red. Particularmente digno de mencin, es un enlace a los datos histricos de trfico incluidos en el Informe, aqu podrs ver la informacin histrica almacenada en formato RRD. Listas de los protocolos de aceptacin del trfico clasificado por los protocolos de red. Las categoras incluyen las redes y protocolos de la capa de transporte de las cinco capas de TCP / IP modelo (por ejemplo, ICMP, IGMP, TCP, UDP, etc.) Muestra informes con el nmero de bytes enviado a travs de cada protocolo. Servicios> Por aceptacion: El Total de aceptacion del trfico, total de listas clasificadas por la solicitud de red solicitud. Esta es una tabla con una fila para cada uno de aceptacin y de los valores de los datos con el nmero de bytes enviados por cada host. Las categoras son protocolos de la capa de aplicacin de las cinco capas de TCP / IP modelo (por ejemplo, HTTP, DNS, NETBIOS, etc.) Servicios> Por aceptacion: es la suma total de bytes enviados y recibidos por el anfitrin. Servicios> Por aceptacion: enviado listas de la misma informacin, pero slo envi datos. Servicios> Por host: recv listas de la misma informacin, pero en los datos recibidos. Servicios> Servicio de estadsticas muestra informacin general acerca de los protocolos y servicios en la red. Esta es una combinacin de cuadros y grficos. Servicios> Al cliente-servidor la listas de servicios visto en la red y los servidores que utilizan los servicios. Esta es una tabla con filas para cada servicio. Rendimiento> Por host: Total de las listas totales promedios, picos, y las actuales tasas de trfico de la red. Esta es una tabla con filas para cada uno de aceptacion y de los valores de los datos con la tasa para cada host en bytes por segundo (bps). El total es la suma de los bytes enviados y recibidos por el anfitrin. Rendimiento> Por host: Enviados listas de la misma informacin, pero slo envi datos. Rendimiento> Por host: recv listas de la misma informacin, pero slo los datos recibidos. Matrix> Data Matrix es un cuadro de subred IP de trfico.

Matrix> Tiempo Matrix es una tabla con cdigos de color para la lista de los porcentajes de trfico de cada host en la red por tiempo. Gateways, VLANs> Pasarelas de las listas de la actividad de la subred local routers. Muestra los routers que se utilicen de manera activa por cualquier host. Gateways, VLAN> VLAN listas locales de la actividad de las redes de rea local virtuales (VLAN). Los usuarios del sistema operativo y las listas de los sistemas operativos y la ID de usuario se encuentran en la red. Los datos dentro de aqu no tiene una relacin directa con el Informe de aceptacion informacin Dominios lista las estadsticas de todos los dominios de la red. Monitores> Disponibilidad (Nagios) La Disponibilidad muestra la situacin de los ejrcitos y la presentacin de informes relacionados en Nagios. Nagios informes sobre un host y servicios dentro de su red. OSSIM utiliza una envoltura con una barra lateral izquierda en torno a Nagios para presentarlo de una manera compatible con OSSIM del uso y la metodologa (ver Figura 35 - Monitores> Disponibilidad).

Figura 35

Es necesario configurar Nagios para utilizarlo. En resumen, los ejrcitos deben ser configurados y se aade a / etc / archivos de configuracin de Nagios. Esto implica la creacin de plantillas y los objetos de una variedad de invitados y configuraciones (por ejemplo, Unix, Windows, servidor, cliente, etc.) En la barra lateral izquierda OSSIM tiene una serie de opciones para ver los datos. Estas opciones son accesibles para todos los sensores. Los datos se dividen entre supervisin y presentacin de informes. El sensor de seleccin permite al usuario elegir qu sensor para ver los datos. El selector es la combinacin de la caja en la parte superior de la barra lateral izquierda. El selector de listas de huspedes con el agente de OSSIM instalado. Vigilancia Detalle de servicios se enumeran los detalles de seguimiento de los servicios de red. Esto incluye servicios como http y ftp. Detalle de aceptacin se enumeran los detalles de seguimiento de los ejrcitos. Esto proporciona detalles de las distintas estadsticas recogidas por los agentes de Nagios. Condicin general, Estado de cuadrcula, Mapa del Estado, Servicio de Problemas, problemas de servicio, los problemas de acogida, Proceso de Informacin, Informacin de la ejecucin y proporcionar todos los puntos de vista diferentes en informacin completa para el sensor. Estas caractersticas permiten a los usuarios ver los problemas con sus activos de red en un solo lugar. Comentarios permite a los administradores compartir informacin acerca de los distintos activos. Programacin de la cola es donde Nagios diversos puestos de trabajo estn programadas, Nagios ejecuta procesos en diversas ocasiones y que aqu es donde se configura. Esto incluye cuando los servicios se controlan entre otras cosas. Presentacin de informes Tendencias de informes con grficos de los diversos activos del Estado durante un perodo de tiempo. Disponibilidad de informes sobre la disposicin de bienes durante un perodo de tiempo. Evento Histograma una grfica con los informes de la disponibilidad de un activo a lo largo del tiempo. Resumen del evento ha genrico acerca de los informes de aceptacion y de servicio de datos de alerta. Esto incluye los totales de alerta, alerta de los productores principales, y una serie de otros parmetros. Notificaciones muestra los mensajes que se han enviado a varios contactos en Nagios' base de datos. Estos mensajes se utilizan para transmitir informacin sobre un bien determinado a determinadas personas. Informacin de desempeo es una coleccin de grficos que ilustran mrtg diversos datos estadsticos para el seguimiento de activos.

Monitores> Sensores Sensores de estado se muestra a travs de Monitores> Sensores de interfaz. Aqu vers los sensores conectados a OSSIM, como OSSIM utiliza sensores para recopilar datos. La informacin en esta pgina web puede cambiar cuando la pgina web se cargue. Hay un cuadro de este estado de la interfaz de listado de plugins en el sensor (ver Figura 36 - Monitores> Sensores).

Figura 36

Hay cinco columnas a la tabla de estado del sensor. Plugin es el nombre del plugin instalado y configurado en el sensor. Un plugin es el mecanismo mediante el cual recibe los datos OSSIM. El plugin se encarga de analizar los datos en el sensor y la normalizacin en un formato que entiende OSSIM. Indica si el plugin o no est operand. ARRIBA verde indica que el complemento se est ejecutando y el envo de informacin a OSSIM. ABAJO rojo indica que el plugin no est en ejecucin. Un desconocido negro indica que el sensor no puede determinar el estado (esto no es necesario una mala cosa). Accin (a la derecha de 'Estado') es un hipervnculo que puede ser usado para cambiar el estado del plugin. Intento para iniciar el correspondiente plugin. Detener hipervnculos intento para detener la extensin correspondiente. Estos comandos se ejecutan slo en el sensor correspondiente. Activado indica si el plugin o no est activo y presenta informes. El plugin se puede desactivar en el archivo de configuracin del agente. El sensor incorporado en el monitor de vigilancia no discapacitados plugins. Adems, puede ser desactivado en una de las siguientes medidas columna. Accin (a la derecha de 'Activado') es un hipervnculo que puede ser usado para cambiar el estado del plugin. Desactivar desactiva un plugin y se detiene automticamente a partir de cuando el sensor se reinicia. Permitir que se convierta en un complemento y lo inicia cuando un seor se reinicia.

EVENTOS

Eventos> Sim Eventos Aqui podemos Observar la firma(Signature) del sensor que esta trabajando asi como el ip destino como el origen del ip ,las prioridad que se le asigna asi tambien como el riesgo. Ver figura 37.

figura 37

Eventos> Eventos en tiempo real El Visor de sucesos en tiempo real representa los eventos a medida que van llegando en el servidor. Puede ser utilizado para propsitos de depuracin, as como-siempre en pantalla el indicador para los eventos. ver figura 38 Aqui puede filtrar un sensor por medio de un simple click al lado derecho puede escojer: pads arpwatch pOF sshd snort rrd_treschold pam_unix sudo directive_alert nagios rrd_anomaly nagios

figura 38

Eventos> Visor de sucesos La pgina muestra informacin de eventos para cinco tipos distintos de eventos del sistema: snort, astucia, OS eventos, servicio de eventos, eventos y MAC. Uso del panel del filtro, puede visualizar los eventos de su eleccin, como se muestra en la Figura 39 - Panel de control> Eventos.

Figura 39

Panel de control> Eventos Snort eventos estn relacionados con snort, la red de deteccin de intrusos y el sistema de prevencin. Si algunos de sensores de su sistema se est ejecutando snort, cualquier ataque o intrusin en relacin con snort se registran como tales. Snare eventos estn relacionados con el registro y la auditora del sistema de recogida del mismo nombre Sistema de Anlisis de la intrusin de Medio Ambiente y presentacin de informes. Este eventos se extraen de las ventanas eventos. OS Events are any type of event that attempts to modify shows a modification in the operating system on someyour machine in the network. Eventos OS son cualquier tipo de evento que muestra los intentos de modificar una modificacin en el sistema operativo en su mquina en la red. Servicio de eventos son cualquier tipo de evento que muestra las modificaciones a los intentos de modificar cualquiera de los servicios de su mquina de algunos en la red. MAC Los eventos son cualquier tipo de evento que muestra los intentos de modificar el MAC modificaciones en cualquier mquina en la red. direccin en su mquina. La pgina de eventos le ofrece una serie de tareas para trabajar con los eventos del sistema.Adems de encontrar informacin detallada sobre los eventos del sistema especfico, tambin puede configurar las pestaas del evento y el uso en OSSIM Forense (cid-bse). En la parte superior de la pgina de eventos, hay una seccin con enlaces a los cinco eventos del sistema, como se mencion anteriormente en esta pgina. Por supuesto, puede crear nuevos tipos de eventos diferentes, como se ver ms adelante.Al hacer clic en el enlace, los resultados son reducido a ese tipo de evento. Por ejemplo, haciendo clic en Snort, la lista de resultados que aparece en la parte inferior se reducir notablemente, ya que slo se muestran los eventos de Snort. Si lo prefiere, puede utilizar el panel del filtro en el centro de la pgina de Eventos para buscar un evento o eventos usando criterios especficos. Usando el panel de filtros, puede presentar: Los host le permite establecer un determinado nombre de host para el evento. Fecha de la caja de texto le permite establecer un rango de fechas para el evento (s). Al hacer clic en el icono de calendario a la derecha del cuadro de texto, puede seleccionar la fecha de inicio y finalizacin mediante el calendario emergente.Al establecer una fecha, tenga en cuenta que la fecha debe seguir el ao-mes-el formato de fecha. Mostrar el cuadro de seleccin por radio le permite aplicar un tipo a sus resultados de bsqueda. You can choose to display events by date, type, source IP, or destination IP. Puede elegir visualizar los eventos por fecha, tipo, fuente de la propiedad intelectual, propiedad intelectual o de destino.

Una

vez

que

haya

definido

los

criterios

de

bsqueda,

haga

clic

en

Continuar.

Como se puede ver en la Figura 40, los eventos se incluyen en una sola fecha, que aparece como un men plegable. Si abre el men, los acontecimientos aparecen uno por uno en virtud de la fecha.

Figura 40 Para cada caso, la pgina muestra los eventos por tipo de evento, la fecha en que ocurrieron, as como el origen y el destino de las direcciones IP. Puede encontrar informacin adicional sobre el evento, como el plugin, plugin DIM, y cualquier usuario de datos, ampliando el men que se compone el nombre del evento en virtud de la columna Tipo.

Configurar pestaas Evento La pestaa configurar evento es una de las dos opciones adicionales en la parte superior derecha de la pgina de Eventos, junto con el forense Ir a la pgina. Esta pantalla presenta una tabla con los cinco tipos de eventos: Snort, SNARE, OS Eventos, Servicio de Eventos, Eventos y MAC. Cada tipo de evento ofrece una casilla de verificacin (para seleccionar varios tipos de eventos), as como una breve descripcin del evento. Cada tipo de evento en el citado cuadro tambin presenta la configuracin de su propio enlace, si hace clic en Configuracin, aparece un nuevo grupo para ese evento por debajo de la mesa, como se muestra en la Figura 41 - Eventos Portada.

Figura 41

El nuevo panel contiene cuatro fichas que le permiten fijar los parmetros para una columna de un evento: Fecha, Plugin, Origen y Destino. Para alternar entre las pestaas, simplemente haz clic en la pestaa nombre.Puede eliminar una pestaa, o columna, haciendo clic en su correspondiente enlace Suprimir. Puede aadir una pestaa adicional, haga clic en el enlace "Aadir columna. Cada columna tiene un ajuste de tres: Columna etiqueta permite definir el nombre de la columna, una vez establecido, aparece como una pestaa en la parte superior del panel. Columna de contenido le permiten definir el contenido de la ficha, as como una etiqueta. La configuracin de las columnas le permiten configurar la apariencia columna funciones, como la alineacin, el ancho y si utilizar o no el ajuste de lnea.

INCIDENTES

Incidentes
Los incidentes pgina muestra la lista de los incidentes registrados por el equipo. Aqu encontrars los incidentes guardan automticamente o manualmente generado . Se divide en tres secciones distintas, tal y como se muestra en la Figura 42 - Incidentes> Incidentes: un filtro, detalles incidente, e insertar incidente.

Figura 42

El simple filtro devuelve el pedido incidentes en funcin de sus criterios. Una vez que hayas encontrado el incidente, ya sea mediante la simple filtro o la lista por defecto (todos) que aparece al abrir la pgina de los incidentes, se puede obtener o aadir ms informacin acerca de un incidente por: Al hacer clic en el ttulo incidente. Al hacer clic en el nmero de ticket. Una vez que cualquiera de las entradas de la columna se hace clic, la pgina de informacin de las incidente parece. Cuenta con informacin detallada, como el incidente nombre, clase, tipo, fecha de creacin, direccin IP, etc Si la persona que registra el incidente billete(ticket) incluye notas o cualquier informacin importante relativa al incidente, al parecer aqu Hay dos caractersticas importantes en esta pgina: El botn Editar de incidentes El botn Nuevo Ticket

A) Si hace clic en Editar, puede actualizar manualmente parte de la informacin que aparece en la pgina de detalles. The modifiable fields include: Los campos modificables incluyen: Ttulo Prioridad Tipo IP Puerto Nessus ID Risk Riesgo Descripcin Una vez que se modifique alguno de los valores existentes, es necesario validar estos cambios haciendo clic en Aceptar.Los nuevos cambios se hicieron sobre la marcha y aparecen en la pgina de los incidentes de ese incidente. B) Tambin puede crear una nueva entrada usando el mencionado botn Nuevo billete. Tenga cuidado, este no registra un nuevo incidente o ttulo, sino que le permite agregar una nueva entrada para abrir un billete o de incidente.Una vez que haga clic en Nuevo billete, se le redirigir a la nueva seccin de la Venta de entradas Incidentes pgina de detalles (alternativamente, usted puede desplazarse hacia la parte inferior de la ventana y crear manualmente un nuevo billete.) Hay seis campos distintos que se pueden configurar mediante el nuevo billete ventana: El campo Estado le permite determinar el estado actual de los nuevos billetes, por lo general si se ha resuelto o no. Por defecto, est configurado en Abrir. El campo Prioridad le permite establecer la importancia de los nuevos billetes.. Por defecto, se configura a 3 -> Baja.Puede establecer la prioridad del nuevo billete de 1 (bajo) a 10 (Alto). Alternativamente, puede configurar la segunda lista desplegable para Baja, Media o Alta. Si establece la lista desplegable con los nmeros, la segunda lista desplegable automticamente cambia a Bajo, Medio, Alto o en funcin del nmero de prioridad seleccionadas. Por el contrario, si selecciona Bajo, Medio, Alto o de la lista desplegable, la ex lista desplegable automticamente para el nmero ms bajo para el estado. Por ejemplo, en la lista desplegable de Alta define el nmero a 8; ajuste en la lista desplegable a 2 juegos a la baja. El campo de transferencia que permite transferir el nuevo billete a otro usuario, si procede. El Anexo sobre el terreno le permite aadir un archivo a la nueva entrada. Esto es bueno para aadir informacin adicional a la entrada.

Descripcin El campo es un cuadro de texto que le permite aadir todas las observaciones adicionales o informacin importante a su nuevo billete. El campo de accin le permite agregar cualquier accin a realizar para el nuevo billete. El usuario final (un cliente, otros departamentos de la empresa, o simplemente las personas a cargo) tiene que saber cul es la accin necesaria para ese problema. Una vez completado el nuevo billete, se puede validar haciendo clic en el botn Aadir entrada en la parte inferior de la pgina del nuevo billete. Los usuarios tambin pueden suscribirse a las entradas por correo electrnico.Una direccin vlida de correo electrnico es necesario para que esto funcione.Los suscriptores son notificados de los cambios en el billete, siempre que se produzcan.

Incidentes> Tipos La seccin dispone de tres incidentes diferentes pestaas, incluidos los tipos de seccin, como se muestra en la Figura 43 - Incidencias> Tipos. Incidentes en la pgina, puede trabajar con recordar un incidente en particular y el aviso de que haba un "tipo" que se le aplican.Tipos de Uso de la pgina, puede ver o modificar la lista de tipos disponibles para sus incidentes. Estas modificaciones incluyen la edicin, aadir o borrar.

Figura 43

Usted puede editar un incidente de tipo, haga clic en el vnculo Modificar en la columna Acciones del incidente ID. Sin embargo, estn limitados en lo que se puede actualizar realmente. De hecho, si hace clic en Modificar, aparece una pantalla que le permite aadir o modificar una descripcin en un cuadro de texto.Una vez que haya realizado los cambios necesarios en el incidente de tipo, haga clic en Aceptar.Si usted hace un cambio y decide que le gustara mantener el texto inicialmente almacenados aqu, haga clic en Restablecer. Este botn acta como el botn Deshacer, sin embargo, una vez que usted guarde su nuevo texto, no puede volver a un texto anterior descripcin. Un cuadro de dilogo que aparece a continuacin, confirma el xito de los cambios, haga clic en Atrs. Si esta caracterstica no se adapte a sus necesidades, siempre puede agregar un nuevo tipo de incidente. En la parte inferior de la tabla de tipos de incidentes, haga clic en Agregar nuevo tipo. La pantalla que aparece es similar en funcin a la pantalla Modificar mencionados en el prrafo anterior, la principal diferencia es que tiene un cuadro de texto que le permite introducir un incidente ID.Una vez que ha aadido un nombre de usuario (y descripcin), haga clic en Aceptar. Aparece un cuadro de dilogo que confirma el xito de los cambios, haga clic en Atras.

Incidentes> Etiquetas

Figura 44 La seccin dispone de tres incidentes diferentes pestaas, incluyendo la seccin de etiquetas, como se muestra en la Figura 44 - Incidencias> Etiquetas.Incidentes en la pgina, puede usted recordar que trabajan con un incidente en particular y el aviso de que haba un "extra" que se le aplican. El "extra" es similar a un estado por el incidente. Se puede utilizar por ejemplo para clasificar los incidentes. Uso de la pgina Tipos de etiquetas, puede ver o modificar la lista de los extras disponibles para sus incidentes. Estas modificaciones incluyen la edicin, aadir o borrar.

Usted puede editar un incidente de tipo etiqueta haciendo clic en el vnculo Modificar en la columna Acciones para la etiqueta de identificacin. A diferencia de la pgina Tipos de etiquetas, puede modificar la descripcin, as como el nombre de ID de la etiqueta. Una vez que haya realizado los cambios necesarios, haga clic en Aceptar.Siempre se puede descartar los cambios haciendo clic en Cancelar.Independientemente de que usted haga clic en el botn, automticamente volver a la pgina de etiquetas. Si esta caracterstica no se adapte a sus necesidades, siempre se puede aadir una nueva etiqueta incidente.En la parte inferior de la tabla de incidente etiquetas, haga clic en Agregar nueva etiqueta.La pantalla que aparece es similar en funcin a la pantalla Modificar mencionados en el prrafo anterior, la principal diferencia es que los cuadros de texto estn vacos.Una vez que ha aadido un nombre de usuario (y descripcin), haga clic en Aceptar.Siempre se puede descartar los cambios haciendo clic en Cancelar.Independientemente de que usted haga clic en el botn, automticamente volver a la pgina de etiquetas.

Incidentes> Informe La seccin cuenta con cuatro incidentes diferentes pestaas, incluido el Informe de la seccin, como se muestra en la Figura 45 - Incidencias> Informe. En el Informe de la pgina, puede ver una serie de informes creados previamente que proporcionan informacin sobre los incidentes.

Figura 45

Hay cinco informes por separado en el Informe de la pgina, sin embargo, es importante sealar que no se puede modificar o manipular los informes de ninguna manera. Hay informes son los siguientes: Incidentes por estado Incidentes por tipo Incidentes por el usuario a cargo Cerrado los incidentes por mes Tiempo de resolucin de incidentes Cada grfico proporciona representacin numrica de los datos, por ejemplo, los incidentes por tipo de informe se enumeran los tipos de incidentes que se produjeron, as como el nmero de incidentes por tipo.Posteriormente, una representacin grfica se muestra sobre la base de estos datos.

INFORMES

Informes> Informe de ndice de host El informe muestra la ficha de acogida Informe pgina por defecto, como se muestra en la Figura 46 Informes> Informe de ndice de host.

Figura 46 Existen cuatro diferentes tipos de informes disponibles en el Informe de ndice, incluido el Informe de acogida.Estos son: Informe de acogida(host) Informe de alarma Informe de seguridad Informe en PDF Estos informes se pueden acceder haciendo clic en la pestaa Informes situada debajo del botn, como se muestra en la figura de arriba

. Informes> Informe de acogida (host) El Informe del host muestra los distintos hosts definidos por el sistema operativo. La pgina del informe del host muestra una tabla con el nombre de host, direccin IP, de activos, y el correspondiente sistema operativo. Para trabajar con un nombre en esta pgina, haga clic en el enlace del nombre de host correspondiente direccin IP o el sistema operativo. La parte ms importante del host Informe aparece una vez que haga clic en el nombre de host deseado (vase la Figura 47 - Informes> Informe de host). Una vez que el informe parece, hay dos paneles: el panel de la izquierda presenta informe de host, tales como inventario, mtricas, alarmas, alertas, uso, y las anomalas.El panel derecho muestra la informacin relevante para el vnculo hacer clic en el panel izquierdo.Por defecto, es el inventario de la informacin.

Figura 47 El informe del panel de host (el panel de la izquierda) proporciona una amplia capacidad para trabajar con sus informes. El Inventario de enlace aparece varias piezas de informacin relativa al host en tres secciones distintas. Informacin de la anfitriona de la seccin se muestra el nombre de host, direccin IP, sistema operativo, y la mquina de la direccin MAC. La segunda seccin ofrece informacin sobre el host que pertenece, y en particular la red de sensores para el anfitrin. La tercera seccin contiene los puertos y servicios de informacin relacionados con el host. Esto incluye el nombre del servicio, la versin y fecha Usted puede elegir si desea ver los datos obtenidos con herramientas de pasivo (p0f, pastillas ..), o los datos obtenidos con las herramientas activas (nmap).

El enlace aparece Mtrica representaciones grficas que indican las estadsticas de rendimiento de seguridad para varios perodos: ltimo da, la semana pasada, el mes pasado, y el ao pasado. Estas cartas, medir el desempeo, muestran el nmero de ataques y violaciones de la seguridad (de compromiso) para el nombre de host.Esta pgina tambin muestra los niveles actuales para el nombre de host. El siguiente enlace es para tres diferentes tipos de alarmas: Fuente o Destino, Origen y Destino. La Fuente de alarma o de destino de origen o de destino muestra las alarmas con el mismo perodo de investigacin que informe del host. La pgina ofrece una lista de las alarmas correspondientes en la parte inferior de la pgina.Incluye informacin como el nombre de la alarma, el riesgo, sensor, estado, etc De forma predeterminada, esta lista est en blanco, sin embargo, puede localizar rpidamente este tipo de alarmas utilizando la funcin de filtro en la parte superior de la pgina. Utilizando el filtro, puede establecer un rango de fechas de los incidentes de alarma, as como establecer el origen y el destino de las direcciones IP, y seleccionar el nmero de alarmas para mostrar por pgina. Una vez que haya establecido sus criterios, haga clic en Ir y que aparecen en la lista mencionada en la parte inferior de la pgina. La Fuente muestra nica fuente alarmas.Esta pgina funciona exactamente igual que la Fuente o la pgina de destino, sin embargo, en el filtro, slo la direccin IP de origen en la lista. El destino de destino muestra slo las alarmas. Esta pgina funciona exactamente igual que la Fuente , La pgina de destino, sin embargo, en el filtro, slo la direccin IP de destino en la lista. La prxima serie de enlaces a diversas alertas, o eventos: Eventos Src, Dst Eventos. La pgina principal es una pgina de introduccin a la seccin de Eventos. Esta pgina trabaja mano a mano con BASE (Bsica y Anlisis de Seguridad del motor).La parte superior de la pgina tiene un enlace a la pgina de inicio (que le llevar a la pgina de BASE y no una actualizacin de la pgina principal), as como una funcin de bsqueda y alertas en cach. Desde la pgina principal, puede consultar las alertas de su nombre de host (direccin IP), por tipo: la fuente, el destino, o de origen / destino. Tambin puede realizar un WHOIS sobre el nombre de su mquina utilizando una de varias autoridades: ARIN, RIPE, APNIC o LACNIC. Tambin puede ver el nmero de sensores para el nombre de su mquina o el acceso Alerta Grupo Mantenimiento usando el enlace correspondiente. La pagina de Eventos brinda informacin sobre la fuente de los acontecimientos.El lado izquierdo de la pgina muestra la ltima informacin de las consultas, as como los criterios utilizados para hacer la consulta.Puede borrar los criterios, haga clic en el enlace abierto en esta ventana. El lado derecho de la pgina de Resumen de Estadsticas de los sensores, las alertas (eventos), los vnculos de propiedad intelectual, y los puertos (destino y origen). Por favor, recuerde que dentro de cada alerta BASE es un evento en OSSIM. As que cuando decimos que las descripciones que de la misma a ms eventos.

Informes> Informe de alarma La pgina muestra los informes de alarma representacin grfica de los host, como se muestra en la Figura 48 - Informes> Informe de alarma.

Figura

48

Como se muestra en la figura de arriba, se muestran grficos que indican importantes datos relacionados con el host. El primer grfico muestra los host que han recibido la mayora de los ataques. Una representacin numrica aparece junto a la grfica que muestra una tabla con el nombre de host y el nmero de sucesos ataque Cada ataque se corresponde con una determinada alarma. Esta pgina contiene los siguientes cuadros:

Top 10 Atacan los Ejrcitos Top 10 atacante Ejrcitos Top 10 Usado Puertos Top 10 Alarms Las 10 alarmas Top 10 Alarms by Risk Las 10 alarmas por riesgo Con la excepcin de la ltima tabla, Las 10 alarmas por riesgo, se puede encontrar ms informacin sobre el nombre del host, alarma, puerto o haciendo clic en su enlace correspondiente.

Informes> Informe de Seguridad Los Informes de Seguridad de la pgina muestra la representacin grfica de los ejrcitos, como se muestra en la Figura 49 Informes> Informe de Seguridad.

Figura 49 Como se muestra en la figura de arriba, la pgina Informes de Seguridad es muy similar en contenido a los informes de alarma en el sentido de que ofrece la representacin grfica de informacin relacionada con la seguridad. Informes de Seguridad de la pgina ofrece una serie de grficos:

Top 10 host mas Atacados Top 10 host atacantes Top 10 puertos mas usados Top 10 Eventos Top 10 Eventos de Riesgo Al igual que la pgina Informes de alarma, el Informe tambin ofrece una pgina de representacin de datos de cada grfico, incluyendo el nombre de host / alarma, etc Tambin se proporciona informacin relativa a las cantidades de sucesos. Con la excepcin de la ltima carta, Top 10 Eventos por riesgo, se puede encontrar ms informacin sobre el nombre del host, alarma, puerto o haciendo clic en su enlace correspondiente.

Informes> Informe PDF La pagina del Informes PDF le permite seleccionar qu informe o para generar informes en formato PDF, como se muestra en la Figura 50 - Informes> Informe PDF.

Figura 50

Como se muestra en la figura de arriba, la pgina de informes en PDF permite seleccionar cuatro informes a travs de la caja desplegable en la parte superior del formulario. Un nmero de sub-opciones se pueden seleccionar mediante el uso de las casillas de verificacin debajo de la lista desplegable. Cada tipo de informe tiene sus propias opciones.Usted puede elegir cul de ellos incluir, como se puede filtrar por diferentes atributos. Un archivo PDF se Generar cuando el botn se presiona. OSSIM puede guardar su informacin en este formato sin necesidad de ningn software de terceros o plug-ins. La generacin de informes disponibles son: Seguridad Mtrica Alarmas Incidentes

Una vez que seleccione el informe y las sub-opciones para generar, en los informes de seguridad o de alarma, puede designar el nmero de host para mostrar la tabla.Por defecto, OSSIM se propone sacar 15. Para generar el informe, simplemente haga clic en Generar. OSSIM genera en su informe a un nico archivo PDF y muestra el informe. Informes> Inventario de OSC Luego en Inventario ingresamos en el menu principal de OCS>Seguridad>Informacion de Red

A continuacin ingresamos en uid y escogemos mostrar o ecogemos el cero por default

Una vez seleccionado uid en 0 nos trasladamos a OCS>Seguridad>Informacion de Red>Inventoried(inventario), Clickamos en el numero que esta debajo de la opcion inventario

Clickamos en add column para agregar mas caracteristicas de los equipos para el inventario de salida del reporte

Clic en Computadora Para ver todas las caracteristicas agregadas anteriormente como: Dominio,ip address,memoria,Nombre del sistema operativo so etc. Para Visualizar las Caracteristicas del inventariado de Ocs>Inventory

Para imprimir las Caracteristicas del inventariado de Ocs>Inventory, hacer click en el icono sealado

Finalmente lo podemos exportar con la extension de archivo pdf o postscrypt ejemplo ver anexo del manual con el nombre output.pdf