[bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Monitorización

• From: "M. Alex Hermosilla" <sasha.hs@xxxxxxxxx>
• To: bofhers@xxxxxxxxxxxxx
• Date: Mon, 11 Mar 2013 17:37:21 +0100

Ya veo, el problema es que la versión community solo se presenta en una iso
que lleva de base una debian (pero no puedo instalar en la máquina fisica
ninguna sistema)

Al final me toca decantarme por esta opción, sin embargo voy a ver si puedo
extraer los repositorios porque tenerlo en una maquina fisica y no virtual.
Ya os diré si la iso ya lleva integrado un nagios o me toca instalar uno.

Gracias por las opciones!

2013/3/11 Feina Centdos <feina102@xxxxxxxxx>

> Hola, un "de acuerdo" más a la descripción que se ha hecho de ossim. Si te
> decides por esta plataforma piensa que vas a tener que montar un nagios ya
> que forma parte de las herramientas que componen el producto.
>
> La idea de ossim (es un SIEM con una versión opensource y otra
> empresarial) es juntar varias herramientas del mundo opensource para cubrir
> los diferentes aspectos en la iso27001, entre otras muchas cosas.
>
> Con nagios cubren la parte de monitorización, con ocsinventory la parte de
> inventario, con openvas el analisis de riesgos, con snort, ntop y demás el
> anaĺisis del tráfico que pasa por la red y las posibles anomalías (ah! y un
> logserver centralizado).
>
> A partir de todo este maremagum de información (devices, risks, etc,etc) y
> diferentes plugins (que recopilan la información de logs y la normalizan de
> manera que pueda ser procesada de una manera uniforme dentro del sistema),
> construyen un sistema de directivas que permiten establecer correlaciones
> del tipo:
>
> "Si hay 5 intentos de login por ssh al host XXXX (ataque de fuerza bruta
> que aparece en el syslog centralizado), riesgo N y un tiempo después hay un
> login exitoso de esa misma ip por ssh en ese host ALARMA)
>
> "Si tengo un equipo con una versión determinada de software/sistema
> operativo (obtenido del ocsinventory) y openvas identifica una
> vulnerabilidad para esa version ALARMA)."
>
> "Si el equipo com mac address xx:... esta identificado como máquina
> windows y de repente se 'convierte' en un linux..."
>
>
> Ahora has de escoger si decides implementar un sistema de monitorización
> (cualquiera de los que te han comentado es perfectamente válido) o si te
> decides por probar e implementar ossim (piensa que con este último vas a
> tener que configurar nagios,ocsinventory,syslog o equivalente, snort, ntop,
> openvas,....)
>
>
>
> Saludos!
>
>
>
>
>
> El 11 de marzo de 2013 16:40, vfmBOFH <vfmbofh@xxxxxxxxx> escribió:
>
> Estoy de acuerdo con Jorge. OSSIM es más una plataforma de
>> monitoreo/IDS/Whatever que monitoreo puro y duro.
>>
>> Si sólo (SOLO) es monitorizar, con algo basado en
>> nagios+cacti/munin+rsyslog va que chuta.
>>
>>
>> El 11 de marzo de 2013 16:37, Jorge SoydelBierzo <
>> berciano@xxxxxxxxxxxxxxxx> escribió:
>>
>> OSSIM va más allá de la simple monitorización.
>>>
>>> Incluye nmap, openvas, ossec, nagios, ocs, snort y unas cuantas
>>> herramientas más.
>>>
>>> Te permite mantener tu inventario de hardware, monitorizar con nagios,
>>> gestionar incidentes, controlar y tomar contramedidas con ossec y snort,
>>> además puedes usar su syslog para, por ejemplo, enviarle la info que genera
>>> el firewall o la vpn, además de que soporta equipos bigip, fortogate,
>>> sonicwall y un largo etc.
>>>
>>> De toda esa info puedes generar informes, establecer políticas nuevas y
>>> si le haces llegar todo el tráfico de la red de la oficina, por ejemplo,
>>> inspecciona el tráfico y te alerta de intentos de conexión a botnets, p2p,
>>> máquinas actualizando software, usando gtalk, o cualquier otra cosa que le
>>> indiques que analice.
>>>
>>>
>>>
>>> El 11 de marzo de 2013 16:26, M. Alex Hermosilla 
>>> <sasha.hs@xxxxxxxxx>escribió:
>>>
>>>> Hola gente,
>>>>
>>>>
>>>> Tengo que hacer un trabajo en la universidad en el que consiste crear
>>>> un sistema de monitorización de servidores, maquinas clientes y routers.
>>>> Nos proponen que usemos OSSIM, pero no me termina de convencer. Se que el
>>>> OSSIM necesita trabajar con heramientas por debajo como puede ser el
>>>> nagios. Para esto tengo las siguientes alternativas:
>>>>
>>>>    - Centreon: http://www.centreon.com/
>>>>    - Nagios:  http://www.nagios.org/
>>>>    - Pandora FMS: http://pandorafms.com
>>>>    - Icinga:  https://www.icinga.org/
>>>>
>>>>
>>>> Pero alternativas para el OSSIM, la verdad es que despues de buscar, no
>>>> he encontrado nada.
>>>>
>>>> A ver si me podeis aconsejar en ambos tipos de monitores.
>>>>
>>>>
>>>>
>>>> Saludos y AZIAS DE ANTEBLASO
>>>>
>>>> --
>>>> M. Alex Hermosilla
>>>>
>>>
>>>
>>
>


-- 
M. Alex Hermosilla

• Follow-Ups:
  • [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Monitorización
    • From: Marcos Lorenzo de Santiago

• References:
  • [bofhers] Monitorización
    • From: M. Alex Hermosilla
  • [bofhers] Re: [bofhers] Monitorización
    • From: Jorge SoydelBierzo
  • [bofhers] Re: [bofhers] Re: [bofhers] Monitorización
    • From: vfmBOFH
  • [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Monitorización
    • From: Feina Centdos

Other related posts:

• » [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Monitorización - M. Alex Hermosilla

1. Home
2. bofhers
3. Archive
4. 03-2013

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---