[bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Monitorización
- From: Feina Centdos <feina102@xxxxxxxxx>
- To: bofhers@xxxxxxxxxxxxx
- Date: Mon, 11 Mar 2013 17:11:33 +0100
Hola, un "de acuerdo" más a la descripción que se ha hecho de ossim. Si te
decides por esta plataforma piensa que vas a tener que montar un nagios ya
que forma parte de las herramientas que componen el producto.
La idea de ossim (es un SIEM con una versión opensource y otra empresarial)
es juntar varias herramientas del mundo opensource para cubrir los
diferentes aspectos en la iso27001, entre otras muchas cosas.
Con nagios cubren la parte de monitorización, con ocsinventory la parte de
inventario, con openvas el analisis de riesgos, con snort, ntop y demás el
anaĺisis del tráfico que pasa por la red y las posibles anomalías (ah! y un
logserver centralizado).
A partir de todo este maremagum de información (devices, risks, etc,etc) y
diferentes plugins (que recopilan la información de logs y la normalizan de
manera que pueda ser procesada de una manera uniforme dentro del sistema),
construyen un sistema de directivas que permiten establecer correlaciones
del tipo:
"Si hay 5 intentos de login por ssh al host XXXX (ataque de fuerza bruta
que aparece en el syslog centralizado), riesgo N y un tiempo después hay un
login exitoso de esa misma ip por ssh en ese host ALARMA)
"Si tengo un equipo con una versión determinada de software/sistema
operativo (obtenido del ocsinventory) y openvas identifica una
vulnerabilidad para esa version ALARMA)."
"Si el equipo com mac address xx:... esta identificado como máquina windows
y de repente se 'convierte' en un linux..."
Ahora has de escoger si decides implementar un sistema de monitorización
(cualquiera de los que te han comentado es perfectamente válido) o si te
decides por probar e implementar ossim (piensa que con este último vas a
tener que configurar nagios,ocsinventory,syslog o equivalente, snort, ntop,
openvas,....)
Saludos!
El 11 de marzo de 2013 16:40, vfmBOFH <vfmbofh@xxxxxxxxx> escribió:
> Estoy de acuerdo con Jorge. OSSIM es más una plataforma de
> monitoreo/IDS/Whatever que monitoreo puro y duro.
>
> Si sólo (SOLO) es monitorizar, con algo basado en
> nagios+cacti/munin+rsyslog va que chuta.
>
>
> El 11 de marzo de 2013 16:37, Jorge SoydelBierzo <
> berciano@xxxxxxxxxxxxxxxx> escribió:
>
> OSSIM va más allá de la simple monitorización.
>>
>> Incluye nmap, openvas, ossec, nagios, ocs, snort y unas cuantas
>> herramientas más.
>>
>> Te permite mantener tu inventario de hardware, monitorizar con nagios,
>> gestionar incidentes, controlar y tomar contramedidas con ossec y snort,
>> además puedes usar su syslog para, por ejemplo, enviarle la info que genera
>> el firewall o la vpn, además de que soporta equipos bigip, fortogate,
>> sonicwall y un largo etc.
>>
>> De toda esa info puedes generar informes, establecer políticas nuevas y
>> si le haces llegar todo el tráfico de la red de la oficina, por ejemplo,
>> inspecciona el tráfico y te alerta de intentos de conexión a botnets, p2p,
>> máquinas actualizando software, usando gtalk, o cualquier otra cosa que le
>> indiques que analice.
>>
>>
>>
>> El 11 de marzo de 2013 16:26, M. Alex Hermosilla
>> <sasha.hs@xxxxxxxxx>escribió:
>>
>>> Hola gente,
>>>
>>>
>>> Tengo que hacer un trabajo en la universidad en el que consiste crear un
>>> sistema de monitorización de servidores, maquinas clientes y routers. Nos
>>> proponen que usemos OSSIM, pero no me termina de convencer. Se que el OSSIM
>>> necesita trabajar con heramientas por debajo como puede ser el nagios. Para
>>> esto tengo las siguientes alternativas:
>>>
>>> - Centreon: http://www.centreon.com/
>>> - Nagios: http://www.nagios.org/
>>> - Pandora FMS: http://pandorafms.com
>>> - Icinga: https://www.icinga.org/
>>>
>>>
>>> Pero alternativas para el OSSIM, la verdad es que despues de buscar, no
>>> he encontrado nada.
>>>
>>> A ver si me podeis aconsejar en ambos tipos de monitores.
>>>
>>>
>>>
>>> Saludos y AZIAS DE ANTEBLASO
>>>
>>> --
>>> M. Alex Hermosilla
>>>
>>
>>
>
Other related posts:
