Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

Marco Teórico SIM/SIEM: Security Information and Event

Anuncio 
Marco Teórico
SIM/SIEM: Security Information and Event Management. Un Administrador de eventos de seguridad (SEM) (siglas SIEM y SIM) es una
herramienta informática utilizada en la empresa de redes de datos para centralizar el almacenamiento y la interpretación de los registros, o
eventos, generados por otro software que funciona en la red.
HIDS: Host-based intrusion detection system, HIDS, Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un
riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas protectoras.
Las funciones de este tipo de software son muy similares a las de los IDS. Configuraciones típicas permiten varios HIDS repartidos por la
red que envian sus resultados a un servidor centralizado que los analizará en busca de los riegos y alertas antes mencionados.
Este fue el primer tipo de software de detección de intrusos que se diseñó, siendo el objetivo original el [[Mainframe], donde la interacción
exterior era infrecuente.
TABLA COMPARATIVA
IDS
OSSEC
CARACTERISTICAS
PLATAFORMAS
TIPO DE
LICENCIA
OSSEC es una plataforma completa para
monitorear y controlar sus sistemas. Se mezcla a
todos los aspectos de la HIDS (basado en host de
detección de intrusos), control y registro de SIM /
SIEM juntos en una solución de código simple,
potente y abierta.
Linux,
Solaris,
AIX,
HP-UX,
BSD,
Windows,
Mac y VMware
ESX.
GNUv2
PAGINA OFICIAL
http://www.ossec.net
Alertas en tiempo real y configurable
OSSEC permite a los clientes configurar incidentes
que desean ser alertados sobre lo que les permite
centrarse en elevar la prioridad de los incidentes
críticos sobre el ruido normal en cualquier sistema.
Integración con smtp, sms y syslog permite a los
clientes estar en la cima de alertas mediante el
envío de estos en el correo electrónico y los
dispositivos portátiles, tales como teléfonos
celulares y buscapersonas. Opciones de respuesta
activa para bloquear un ataque inmediato está
también disponible.
OSSIM
Open Source Security Information Management LINUX DEBIAN
por sus siglas (OSSIM) es una colección de
herramientas bajo la licencia GPL, diseñadas para
ayudar a los administradores de red en la seguridad
de las computadoras, detección de intrusos y
prevención.
El objetivo del proyecto ofrecer una herramienta
GNU y
tambien
tiene su
version
paga
http://communities.alienvault.com/
que ayude a la administracion de eventos de
seguridad mediante un motor de correlacion y una
colección detallada de herramientas open source las
cuales sirven al administrador para tener una vista
de todos los aspectos relativos a la seguridad en su
infraestructura.
OSSIM a su vez provee una fuerte motor de
correlación, con detallados niveles, bajos, medianos
y altos de interfaces de visualización, como
también reportes y herramientas de manejo de
incidentes.
La habilidad de actuar como un sistema de
prevención de intrusos basado en información
correlativa de cualquier fuente, resulta en una útil
herramienta de seguridad. Toda esta información
puede ser filtrada por red o sensor con el objetivo
de proveer únicamente la información requerida por
un usuario específico, permitiendo una buena
granularidad en un ambiente de seguridad multi
usuario.
Ossim está compuesto por los siguientes
elementos de software:
• Arpwatch, utilizado para detección de anomalías
en direcciones MAC.
• P0f, utilizado para la identificación pasiva de OS.
• Pads, utilizado para detectar anomalías en
servicios.
• Openvas, utilizado para la evaluación y
correlación cruzada (Sistema de detección de
intrusos vs Escaner de Vulnerablidad)
• Snort, utilizado como sistema de detección de
intrusos (IDS) como también para la correlación
cruzada con Nessus.
• Spade, es un motor de detección de anomalías en
paquetes. Utilizado para obtener conocimiento de
ataques sin firma.
• Tcptrack, utilizado para conocer la información de
las sesiones, lo cual puede conceder información
útil relativa a los ataques.
• Ntop, el mismo construye una impresionante base
de datos con la información de la red, para la
detección de anomalías en el comportamiento.
• Nagios, utilizado para monitorear la
disponibilidad de los hosts y servicios.
• nfSen, visor de flujos de red para la detección de
anomalías de red
• Osiris, es un sistema de detección de intrusos
basado en host (HIDS).
• Snare, colecciona los logs de sistemas Windows.
• OSSEC, es un sistema de detección de intrusos
basado en hosts
• OSSIM también incluye herramientas
desarrolladas específicamente para él, siendo el mas
importante un motor de correlación con soporte de
directivas lógicas e integridad de logs con plugins.
Sguil
Sguil (pronunciado sgweel) es construido por
los analistas de seguridad de red para los
Linux, * BSD,
Solaris, MacOS y
GNU
http://sguil.sourceforge.net/
analistas de seguridad de red. Componente
principal sguil es una interfaz gráfica de usuario
intuitiva que proporciona acceso a los eventos en
tiempo real, datos de sesión, y captura primas de
paquetes. Sguil facilita la práctica de la Red de
Monitoreo y análisis de seguridad orientada a
eventos. El cliente sguil está escrito en tcl / tk y se
puede ejecutar en cualquier sistema operativo que
soporte tcl / tk
Un sistema sguil se compone de un servidor
sguil único y un número arbitrario de sensores
de red sguil. Los sensores de realizar todas las
tareas de supervisión de seguridad y alimentar la
información al servidor sobre una base regular. El
servidor coordina esta información, la almacena en
una base de datos y se comunica con los clientes
sguil se ejecuta en máquinas de escritorio
administradores.
También puede emitir peticiones de información
específica de los sensores. Cada sensor controla un
enlace de red simple (aunque puede tener múltiples
sensores en una sola máquina física). Ellos recogen
diferentes tipos de información:
Win32).
Snort monitorea el enlace de eventos de
seguridad, y los registra en un archivo en el
disco local.
Barnyard toma eventos del archivo de registro
snort y los envía al agente de sensor, que los
inserta en la base de datos que se ejecutan en
el servidor sguil en tiempo casi real una instancia
independiente de snort registra el contenido
completo de todos los paquetes de red en el disco
local (esto suele requerir una gran partición de
datos por separado) SANCP registros de sesiones
TCP / IP y las envía a la base de datos en el
servidor sguil El agente sguil también escucha los
comandos del servidor sguil. Estos comandos son
por lo general las solicitudes de paquetes de datos
previamente registrados por Snort.
Honeyd
Honeyd es un pequeño demonio que crea hosts
virtuales en una red. Los anfitriones pueden
configurar para ejecutar servicios arbitrarios, y su
personalidad se puede adaptar para que parezcan
estar en ejecución en determinados sistemas
operativos. Honeyd
permite a un único host para reclamar varias
BSD, GNU /
Linux y Solaris.
GNU
direcciones - He probado hasta 65536 – en una
LAN para la simulación de la red. Honeyd
mejora de la seguridad cibernética, proporcionando
mecanismos para la detección
de amenazas y la evaluación. También disuade a los
adversarios ocultando los sistemas reales en el
medio de sistemas virtuales.
Snort
Snort es de código abierto de diseñado para la
Windows, Unix
prevención de intrusiones y sistema de detección
(Linux)
(IDS / IPS) en una red desarrollado por Sourcefire .
La combinación de los beneficios de la firma, el
protocolo y la inspección de anomalías bases
basado en Snort es la más utilizada IDS / IPS
tecnología en todo el mundo. Con millones de
descargas y cerca de 400.000 usuarios registrados,
Snort se ha convertido en el estándar de facto para
IPS.
Mientras Snort en sí es libre y de código abierto, la
compañía matriz SourceFire ofrece a sus VRT
certificados reglas de $ 499 por año por cada sensor
y una línea de productos complementarios de
software y aparatos con más características de nivel
empresarial. Sourcefire ofrece una prueba gratuita
de 30 días de alimentación retardada.
GNU
http://snort.org/
Para la practica implemente la herramienta OSSIM, su instalacion y configuración se encuentra anexa en los siguientes links
https://alienvault.bloomfire.com/posts/520510-setting-up-an-ossim-virtual-machine-pt1/public
https://alienvault.bloomfire.com/posts/522530-setting-up-an-ossim-virtual-machine-pt2/public
https://alienvault.bloomfire.com/posts/522639-setting-up-an-ossim-virtual-machine-pt3/public
en la pagina oficial se pueden consultar varios tutoriales para la correcta configuración de este completo IDS
Documentos relacionados
Práctica 7: Sistemas de detección de intrusiones File
Práctica 7: Sistemas de detección de intrusiones File
+info - Baicom
+info - Baicom
OSSIM en Fedora Core 4
OSSIM en Fedora Core 4
Detector de intrusiones ligero para redes.
Detector de intrusiones ligero para redes.
10:26 14 feb 2011
10:26 14 feb 2011
TesisCompleta-394-2011.pdf
TesisCompleta-394-2011.pdf
TesisCompleta - 307 -2011.pdf
TesisCompleta - 307 -2011.pdf
Sistemas detección de intrusos
Sistemas detección de intrusos
Presentación de PowerPoint
Presentación de PowerPoint
10:31 14 feb 2011
10:31 14 feb 2011
Estudio de una plataforma de detección de intrusos Open Source
Estudio de una plataforma de detección de intrusos Open Source
10:31 14 feb 2011
10:31 14 feb 2011
Descargar
Anuncio
Anuncio