[bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Monitorización
- From: Marcos Lorenzo de Santiago <aznar.muerete@xxxxxxxxx>
- To: bofhers@xxxxxxxxxxxxx
- Date: Mon, 11 Mar 2013 17:52:29 +0100
Yo en el trabajo uso Centreon, que es una capa por encima de Nagios. Es muy
completo, puede que demasiado, pero lo hacen franceses y a veces me ha
tocado leer documentación en franchute para según que configuraciones...
Navíos+cacti elegiría yo.
El 11/03/2013 17:38, "M. Alex Hermosilla" <sasha.hs@xxxxxxxxx> escribió:
> Ya veo, el problema es que la versión community solo se presenta en una
> iso que lleva de base una debian (pero no puedo instalar en la máquina
> fisica ninguna sistema)
>
> Al final me toca decantarme por esta opción, sin embargo voy a ver si
> puedo extraer los repositorios porque tenerlo en una maquina fisica y no
> virtual.
> Ya os diré si la iso ya lleva integrado un nagios o me toca instalar uno.
>
> Gracias por las opciones!
>
> 2013/3/11 Feina Centdos <feina102@xxxxxxxxx>
>
>> Hola, un "de acuerdo" más a la descripción que se ha hecho de ossim. Si
>> te decides por esta plataforma piensa que vas a tener que montar un nagios
>> ya que forma parte de las herramientas que componen el producto.
>>
>> La idea de ossim (es un SIEM con una versión opensource y otra
>> empresarial) es juntar varias herramientas del mundo opensource para cubrir
>> los diferentes aspectos en la iso27001, entre otras muchas cosas.
>>
>> Con nagios cubren la parte de monitorización, con ocsinventory la parte
>> de inventario, con openvas el analisis de riesgos, con snort, ntop y demás
>> el anaĺisis del tráfico que pasa por la red y las posibles anomalías (ah! y
>> un logserver centralizado).
>>
>> A partir de todo este maremagum de información (devices, risks, etc,etc)
>> y diferentes plugins (que recopilan la información de logs y la normalizan
>> de manera que pueda ser procesada de una manera uniforme dentro del
>> sistema), construyen un sistema de directivas que permiten establecer
>> correlaciones del tipo:
>>
>> "Si hay 5 intentos de login por ssh al host XXXX (ataque de fuerza bruta
>> que aparece en el syslog centralizado), riesgo N y un tiempo después hay un
>> login exitoso de esa misma ip por ssh en ese host ALARMA)
>>
>> "Si tengo un equipo con una versión determinada de software/sistema
>> operativo (obtenido del ocsinventory) y openvas identifica una
>> vulnerabilidad para esa version ALARMA)."
>>
>> "Si el equipo com mac address xx:... esta identificado como máquina
>> windows y de repente se 'convierte' en un linux..."
>>
>>
>> Ahora has de escoger si decides implementar un sistema de monitorización
>> (cualquiera de los que te han comentado es perfectamente válido) o si te
>> decides por probar e implementar ossim (piensa que con este último vas a
>> tener que configurar nagios,ocsinventory,syslog o equivalente, snort, ntop,
>> openvas,....)
>>
>>
>>
>> Saludos!
>>
>>
>>
>>
>>
>> El 11 de marzo de 2013 16:40, vfmBOFH <vfmbofh@xxxxxxxxx> escribió:
>>
>> Estoy de acuerdo con Jorge. OSSIM es más una plataforma de
>>> monitoreo/IDS/Whatever que monitoreo puro y duro.
>>>
>>> Si sólo (SOLO) es monitorizar, con algo basado en
>>> nagios+cacti/munin+rsyslog va que chuta.
>>>
>>>
>>> El 11 de marzo de 2013 16:37, Jorge SoydelBierzo <
>>> berciano@xxxxxxxxxxxxxxxx> escribió:
>>>
>>> OSSIM va más allá de la simple monitorización.
>>>>
>>>> Incluye nmap, openvas, ossec, nagios, ocs, snort y unas cuantas
>>>> herramientas más.
>>>>
>>>> Te permite mantener tu inventario de hardware, monitorizar con nagios,
>>>> gestionar incidentes, controlar y tomar contramedidas con ossec y snort,
>>>> además puedes usar su syslog para, por ejemplo, enviarle la info que genera
>>>> el firewall o la vpn, además de que soporta equipos bigip, fortogate,
>>>> sonicwall y un largo etc.
>>>>
>>>> De toda esa info puedes generar informes, establecer políticas nuevas y
>>>> si le haces llegar todo el tráfico de la red de la oficina, por ejemplo,
>>>> inspecciona el tráfico y te alerta de intentos de conexión a botnets, p2p,
>>>> máquinas actualizando software, usando gtalk, o cualquier otra cosa que le
>>>> indiques que analice.
>>>>
>>>>
>>>>
>>>> El 11 de marzo de 2013 16:26, M. Alex Hermosilla
>>>> <sasha.hs@xxxxxxxxx>escribió:
>>>>
>>>>> Hola gente,
>>>>>
>>>>>
>>>>> Tengo que hacer un trabajo en la universidad en el que consiste crear
>>>>> un sistema de monitorización de servidores, maquinas clientes y routers.
>>>>> Nos proponen que usemos OSSIM, pero no me termina de convencer. Se que el
>>>>> OSSIM necesita trabajar con heramientas por debajo como puede ser el
>>>>> nagios. Para esto tengo las siguientes alternativas:
>>>>>
>>>>> - Centreon: http://www.centreon.com/
>>>>> - Nagios: http://www.nagios.org/
>>>>> - Pandora FMS: http://pandorafms.com
>>>>> - Icinga: https://www.icinga.org/
>>>>>
>>>>>
>>>>> Pero alternativas para el OSSIM, la verdad es que despues de buscar,
>>>>> no he encontrado nada.
>>>>>
>>>>> A ver si me podeis aconsejar en ambos tipos de monitores.
>>>>>
>>>>>
>>>>>
>>>>> Saludos y AZIAS DE ANTEBLASO
>>>>>
>>>>> --
>>>>> M. Alex Hermosilla
>>>>>
>>>>
>>>>
>>>
>>
>
>
> --
> M. Alex Hermosilla
Other related posts:
- » [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Re: [bofhers] Monitorización - Marcos Lorenzo de Santiago
