Hace unos días les estuve hablando de la importancia de contar con un SIEM en nuestra infraestructura. En el mismo Post les hable que una buena solución SIEM Open Source era OSSIM, y de el les voy hablar.
OSSIM ( Open Source Security Information Management ) es un SIEM Open Source que integra una gran cantidad de herramientas para asistirnos en la detección de Intrusos, Visibilidad en la red, Seguridad informática, entre otros. OSSIM ejecuta estas funciones usando componentes de seguridad muy conocidos integrados con Debian y con una interfaz gráfica web. Todas estos componentes pueden ser manejados desde la interfaz gráfica ademas de permitirnos visualizar las informaciones recolectadas.
Hablando un poco de los Componentes.
Servidor
Es el componente central y ejecuta las funciones claves de un SIEM
- Correlación de eventos
- Evaluación y Priorización de Riesgos
- Administración e Identificación de Inventario
- Programación y Alarmas
- Administración de Políticas
- Motor de Reputación
Framework
El framework administra los componentes de OSSIM y los interconecta
- Provee la Interfaz web
- Maneja la configuración de los componentes y las comunicaciones
Base de Datos
Se encarga de almacenar los datos de inventario, configuración y eventos SIEM
- Almacenamiento de Eventos
- Almacenamiento de Equipos
- Almacenamiento de Data contínua
- Configuraciones de OSSIM
Sensores y agentes
Se encargan de la Recolección de Información. Los agentes recolectan logs y eventos de equipos externos y de los componentes de monitore de OSSIM, usando Plugins para cada tipo de información que colecta.
- Colección de Logs
- Monitoreo de Tráfico
- Monitoreo de Tráfico de Red
- Detección de Intrusos
- Detección de assets
- Detección de Intrusos en Host
- Detección de Intrusos Wireless
Dentro de cada uno de los componentes de OSSIM, se encuentra una selección de herramientas de Seguridad Open Source. Algunos forman parte del núcleo del Framework y otros residen en los sensores distribuidos por toda la red para proveer visibilidad. Estas Herramientas son:
- Nagios
- Ntop
- OCSInventory
- NFSen
- Snort
- Suricata
- Nfcap/Fprobe
- P0f
- Arpwatch
- Nmap
- Openvas
- Pads
- Ntop
- OSSEC
- Kismet
Con todas estas herramientas podemos obtener informacion de la red, los servidores y de todos los equipos de una organización. Podemos además monitorear toda la red, gracias a Snort y Suricata podemos captar todo el tráfico en la red y compararlos con una base de datos de firmas para detectar comportamiento malicioso. Otra funcionalidad es la recolección de Logs, podemos enviarle a OSSIM logs de otros equipos en la red y gracias a los plugins, los puede entender y crear eventos dependiendo de los resultados.
Usando toda esta información y eventos, usando un sistema de puntuaciones, OSSIM tiene la capacidad de generar alarmas usando sus directivas, y mediante estas directivas relaciona los eventos para detectar un patrón malicioso, además de que nos permite crear nuestra propias directivas, dándonos todavía mas control sobre como manejamos los eventos.
Para hablar un poco del monitor de reputación, OSSIM nos permite contar con Open Threat Exchange, que es un servicio mantenido por alienvault, donde contamos con una base de conocimientos de Ip’s maliciosas. Se integra con OSSIM para alertarnos cuando estamos siendo atacados por direcciones conocidas como maliciosas además de que podemos colaborar de manera anónima con informaciones de este tipo. Esta base de conocimientos es alimentada por informaciones proporcionadas por dispositivos como firewalls, proxies, IDS, IPS, entre otros, que son automáticamente, limpiadas, agregadas, validadas y publicadas. Los veremos con más detalle más adelante.
Ahora que conocemos un Poco como esta formado OSSIM, en un próximo Post vamos a ir viendo como podemos hacer la implementación de esta solución. Planificación, los pasos previos que debemos seguir, etc.
Fuente: jsitech
