lunes, 23 de junio de 2008

Tutorial de Ossim (IV) : Eventos

Eventos > Forensics
Ir a Forensics es una de las cinco opciones en la esquina superior izquierda de la página de Eventos.

Si todavía usa Acid/Base, debe ir al enlace Forensics, en lugar del visor de eventos. Pulsando el enlace va directamente al Análisis Básico y a la página del motor de Seguridad (BASE)

Eventos > Vulnerabidades
La parte de Vulnerabidades de OSSIM muestra información sobre las debilidades potenciales de nuestro sistema, tal y como se muestra en la Figura 8– Eventos > Vulnerabidades.


Figura 8– Eventos > Vulnerabidades

La parte superior de la página de Vulnerabidades muestra enlaces a un número de varios análisis del sistema. Los 10 últimos análisis se muestran en una tabla justo debajo de estos enlaces. Cada análisis de dicha tabla puede mostrar resultados, borrarse de la tabla o archivarse para el futuro.

La página de vulnerabidades también muestra una representación gráfica de los análisis de Redes (Nets) y Hosts para direcciones IP específicas.

La lista de vulnerabidades se obtiene gracias al análisis Nessus.

Events > Vulnerabilidades > Último análisis

El enlace al último análisis nos muestra gráficamente los resultados del análisis más reciente realizado en su sistema, tal y como se muestra en la Figura 9 – Página del último análisis.


Figura 9 – Página del último análisis

En la figura, OSSIM empleó el análisis de seguridad Nessus para chequear el sistema. El informe se divide en dos partes distintas: Sumario Gráfico y Resultados por Host. Ambas secciones son precedidas por un sumario del análisis, que muestra el número de agujeros de seguridad, alertas de seguridad y las notas de seguridad.

La primera parte, el Sumario Gráfico, muestra dos gráficos: el primero es el de los servicios más peligrosos en la red/ gráfico número de agujeros; el segundo es el de los servicios más presentes en la red/ número de ocurrencias

La segunda parte, Resultados por Host, muestra la dirección IP atacante que ha causado un agujero de seguridad, así como el número de agujeros de seguridad para esa dirección.

Puede pulsar en la dirección IP en la sección Resultados por Host para obtener información adicional sobre la brecha de seguridad. Si pulsa en la dirección IP, se muestra un gráfico que ilustra el reparto del nivel de los problemas de seguridad para esa dirección IP.

La página de dirección IP también muestra una lista de los puertos abiertos, así como la información relativa a cualquier vulnerabilidad o información general de cualquiera de los puertos abiertos (incluyendo un ID de Nessus que muestra un enlace que propociona información adicional)

Eventos > Vulnerabilidades > Informes

La página de Informes de la sección de Vulnerabilidades le permite crear un nuevo informe de Nessus o trabajar con uno ya existente, tal y como se muestra en la Figura 3.


Figura 10 – Vulnerabilidades – Página de Informes

La página de informes personalizados de Nessus le proporciona cuatro opciones diferentes para trabajar con los informes personalizados generados:
  • Ver un informe
  • Borrar un informe
  • Guardar un informe
  • Generar un nuevo informe
Los informes existentes aparecen en una tabla localizada en el centro de la página de Informes. El título del informe, así como la fecha y hora a la que fueron creados, aparecen junto a varios informes.

El primer enlace, Mostrar, le permite ver el informe. Pulsando el informe, el informe seleccionado aparece en un cuadro de texto bajo el mencionado cuadro.

El segundo enlace, Borrar, le permite eliminar el informe de la tabla.

El tercer enlace, Guardar, le permite almacenar el informe para su posterior uso. Aparece un mensaje indicando de que el guardado se realizó con éxito. Una vez completo, pulse Volver para volver a la página de Informes.

Adicionalmente, puede crear y generar informes personalizados usando el enlace Generar nuevo informe localizado bajo la tabla que muestra los informes existentes.

Usando las barras de desplazamiento que aparecen en la página de Informes, puede crear su nuevo informe y generarlo. En primer lugar dele un nombre al informe introduciendo el título en la caja de texto de título. El siguiente paso es seleccionar un host o hosts que aparecen debajo, usando las cajas de selección. Puede seleccionar tantos host como desee para su informe, pero recuerdo que sólo los host que han sido escaneados aparecen en la lista. El paso final es pulsar Buscar. Una vez ha pulsado Buscar, se aparecerá un mensaje indicando que el informe se ha generado correctamente y que debería volver a cargar la página. Se puede hacer simplemente pulsando el mencionado mensaje, que aparece como un enlace. La página de Informes aparece una vez recargada con el nuevo informe en el cuadro. Como se mencionó previamente en esta sección, puede ver, borrar o almacenar el informe a continuación.

Eventos > Vulnerabilidades > Actualizar análisis

La pestaña de Actualizar análisis de la página de Vulnerabilidades le permite analizar su máquina en busca de vulnerabilidades tal y como se muestra en la página de Actualizar análisis en la Figura 11 – Vulnerabilidades – Página Actualizar análisis.

Figura 11 – Vulnerabilidades – Página Actualizar análisis

Puede seleccionar sensores para el análisis actualizado de dos maneras; o bien empleando la lista que aparece usando con puntos en la zona superior de la página. En la Figura 4, se le llama “Test”. Puede manualmente seleccionar también un sensor usando la caja de selección o bien el enlace Seleccionar/Deseleccionar Todos al final de la página.

Una vez ha seleccionado su sensor como se mencionó más arriba, pulse Enviar. Aparecerá un mensaje indicando que el análisis está en progreso y que llevará algún tiempo. Una vez pulse Volver, se le lleva de nuevo a la página Mostrar análisis Agregados de Vulnerabidades dónde su análisis se lista como uno de los últimos realizados.

Eventos > Vulnerabilidades > Mostrar análisis Agregados

La página Mostrar Análisis Agregados provee información sobre los análisis ejecutados previamente como se muestra en la Figura12 Vulnerabilidades – análisis Agregados.


Figura12 Vulnerabilidades – Análisis Agregados

La Página Mostrar Análisis Agregados es también la página por defecto que aparece cuando pulsamos en enlace Vulnerabidades al comienzo de la página. Esta página le permite acceder a todas las características disponibles en la sección de Vulnerabidades a través de enlaces -tales como último análisis, informes, actualizar análisis, etc.

La tabla que aparece bajo este enlace muestra los últimos 10 análisis (si no ha realizado 10 análisis, tal y como sucede en la Figura 5, se mostrarán todos). Cada análisis se nombra con la fecha y hora; puede usar el enlace correspondiente para mostrar, borrar, o archivar el análisis. Es similar a los enlaces que aparecen en la página de Informes.

Los análisis en esta página están codificados por colores de tal modo que pueda saber cuan reciente es la información; por ejemplo, los análisis con más de 15 días de antigüedad aparecen en amarillo, mientras que aquellos de más de 30 se muestran en rojo. Los más recientes (menos de 15 días) se muestran en azul.

Al final de la página, hay una representación de los 20 primeros hosts. Usando un gráfico de tipo línea, los host más usados aparecen por nombre (dirección IP) y su cantidad. Pulsando en la dirección IP, puede obtener información detallada de esa IP, como se muestra en la página Último análisis.

Eventos > Vulnerabilidades > Análisis Programados

La página de Análisis Programados le permite programar análisis para su equipo, algo parecido a cómo programar un escáner antivirus, tal y como se muestra en la Figura 13 – Vulnerabidades – Análisis Programados.


Figura 13 – Vulnerabidades – Análisis Programados

La página muestra cualquier análisis programado en la tabla situada en el centro de la página. La sección superior ofrece información relativa a cómo ajustar los umbrales para los incidentes; en otras palabras, puede configurar cuan tolerante es su sistema frente a potenciales vulnerabidades con lo que sólo auditará problemas serios de administración y no los triviales que podrían ser simplemente falsos positivos . El umbral actual también se muestra en esta sección; por ejemplo, es 0 en la Figura 13.

Para añadir un análisis programado, pulse Agregrar otra programación, que se encuentra al final de la página. Como en la página de Actualizar Análisis, puede seleccionar o bien manualmente el sensor, pulsando el check box o el enlace Seleccionar/Deseleccionar Todo, o bien puede usar el sensor que aparece como en una línea tipo viñeta. Una vez seleccionado su sensor, puede establecer las preferencias para la programación usando la columna derecha de la tabla que aparecerá.

La columna izquierda le proporciona instrucciones para la programación de su análisis. Por ejemplo, la casilla minuto acepta valores comprendidos entre 0 y 59; la celda de la hora entre 0 y 23 y así sucesivamente. Puede añadir un mes o un año si lo desea, también puede emplear el carcter comodín (*), que significa que sucederá todos los meses de todos los años. Una vez finalizado, pulse Enviar. Aparecerá un mensaje indicando que su programación se ha añadido correctamente. Puede pulsar Volver para volver a la página de Programar Análisis, dónde los nuevos análisis programados aparecerán en la tabla.

Si necesita cambiar algo, puede usar los enlaces que aparecen en la tabla para borrar los análisis programdos o para forzar el análisis ahora en lugar de a la hora o fecha programada.

Eventos > Vulnerabilidades > Volver

El enlace Volver, simplemente le lleva de uevo a la página Mostrar Análisis Agregados. No tiene otro propósito.

Eventos > Anomalias

La pestaña de anomalías muestra cuatro tipos de anomalías:

  1. Anomalías de comportamiento RRD, ambas por host y a nivel global
  2. Cambios de Sistema Operativo
  3. Cambios de Dirección Mac
  4. Cambios de versión de Servicio
Desde esta pestaña puede tener conocimiento de esos cambios, ignorarlos y generar incidentes relacionados con los mismos.

Eventos > RT Events (Real Time Events – Eventos en tiempo real)

RT Eventes va mostrando los eventos a medida que van llegando al servidor. Se puede usar con propósitos de depuración así como para tener un indicador siempre-en-pantalla de los eventos entrantes.

Eventos > Event Viewer (Visor de Eventos)

La página de eventos muestra cinco tipos distintos de Eventos: Todos, Cortafuegos, Anomalías, Eventos Windows y Eventos Unix. Empleando el panel Filtro, puede mostrar los eventos de su elección, tal y como se muestra en la Figura 6 – Eventos > Event Viewer

Figure 6 – Control Panel > Events

Los Eventos de Sistemas operativos son cualquier tipo de evento que intente modificar vistas en el sistema operativo en alguna máquina de su red.

La página de Eventos le proporciona algunas opciones para trabajar con los eventos del sistema. Además de buscar información detallada relacionada con algunos eventos específicos del sistema, puede configurar las pestañas de Eventos en OSSIM y realizar análisis Forense (Acid/BASE).

Al comienzo de la página de Eventos, hay una sección con enlaces a los cinco diferentes tipos de eventos tal y como se mencionó previamente. Por supuesto puede crear nuevos tipos de eventos diferentes, tal y como vermos más adelante. Pulsando en el enlace los resultados aparecerán listados para ese tipo de evento.Por ejemplo, si pulsamos en Windows Events, la lista de los resultados que aparecerán al final se reducirán significativamente, ya que sólo se mostrarán los Eventos de Windows.

De modo alternativo, puede usar el panel Filtro en el medio de la página de Eventos para buscar un evento o grupo de eventos usando un criterio específico. Usando el panel filtro, puede enviar:
Host le permite especifiar el nombre de equipo para el evento deseado.

La caja de texto Fecha le permite especificar un rango de fechas para el/los eventos deseados. Pulsando el icono del calendario a la derecha de la caja de texto, puede seleccionar la fecha de comienzo y fin usando el calendario pop-up que aparecerá. Cuando configure una fecha, recuerde que su fecha debe seguir el formato año-mes-día.

El botón de selección Display by le permite aplicar un criterio de ordenación a los resultados de su búsqueda. Puede escoger mostrar los eventos por fecha, tipo, IP de origen, o IP de destino.

Una vez ha definido su criterio de búsqueda pulse Ir.

Por defecto, los reslutados devueltos se muestran por fecha. Como puede ver en la Figura 5, los eventos se listan bajo una fecha, que aparece como un menú desplegable. Si abre el menú, los eventos aparecen de uno en uno bajo la fecha.

Para cada evento, la página de Eventos muestra el tipo de evento, la fecha en la que ocurrió, así como las direcciones IP de origen y destino. Puede econtrar información adicional para cada evento, tales como el plugin, plugin SID, y cualquier dato de usuario expandiendo el menú que comprende el nombre del evento bajo la columna Tipo.

Configurar la Pestaña de Eventos.

La pestaña Configurar Eventos es una de las dos opciones adicionales en la esquina superior derecha de la página de Eventos, junto con la de Análisis Forense.

Esta pantalla se muestra un cuadro sinóptico con los cinco tipos de Eventos: Firewalls (cortafuegos), Anomalies (anomalias), Windows Events, Unix Events, Availability (Disponibilidad).Cada tipo de evento se relaciona con un checkbox (para seleccioinar múltiples tipos de eventos), así como una breve descripción de ese evento.

Cada tipo de evento en el cuadro antes mencionado también lleva aparejado su propio enlace; si pulsa Configuraciones, aparece un nuevo panel para ese tipo particular de evento, tal y como se muestra en la Figura 7 – Página de Eventos – Event Viewer – Página de Configuración de Eventos.


Figura 7 – Página de Eventos – Event Viewer – Página de Configuración de Eventos

El nuevo panel contiene cuatro pestañas que le permiten configurar parámetros para una columna concreta de un evento en particular: Generator,Event, Host y OS/MAC/Service. Para cambiar entre las pestañas, simplemente pulse el nombre de la pestaña. Puede eliminar una pestaña, o columna, pulsando su enlace correspondiente Borrar. Puede añadir una pestaña adicional pulsando en el enlace Añadir Columna.

Cada columna tiene tres configuraciones:
  • Columna label (Etiqueta) le permite configurar el nombre de la columna; una vez hecho, aparecerá una pestaña en la zona superior del cuadro.
  • Columna contents (Contenidos), le permite configurar el tipo de contenido de la pestaña, así como una etiqueta.
  • Columna settings (Configuraciones), le permite configurar las características de apariencia de la columna, tales como alineación, ancho y si va a usar o no ajuste de línea.


Página anterior -------------------- Índice del Manual -----------------------Página Siguiente

____________________________________________________________________
  • Escrito por: Jason A. Minto
  • Revisado por: Alberto Roman, Dominique Karg
  • Contribuciones: Juan Blanco
  • Traducción: Juan Nieto González http://tecnoloxiaxa.blogspot.com

Please add your name to the list above if you make significant improvements to this document

  • Página del proyecto: www.ossim.net

No hay comentarios: