jueves, 7 de agosto de 2008

Tutorial de Ossim (V): Informes

Informes > índice del Informe de Equipos

La pestaña de Informes muestra la página de Informe De Equipos por defecto, tal y como se muestra en la Figura15 – Informes > Índice del Informe de Equipos.

Figura15 – Informes > Índice del Informe de Equipos.

Hay cinco tipos diferentes de informes disponibles desde el Índice de Informes, incluyendo el Informe de Equipos. Son:
  • Informe de Equipos
  • Reporte de Alarmas
  • Informe de Seguridad
  • Reporte PDF
  • OCS Inventory

Se puede acceder fácilmente a estos informes pulsando con el ratón en la pestaña localizada justo bajo el botón de Informes, tal y como se muestra en la imagen anterior.

Informes > Informe de Equipos

La página Informe de Equipos muestra los hosts definidos, por sistema operativo, tal y como se muestra en la Figura 15.

La página de Informe de Equipos muestra una tabla mostrando el nombre del equipo, dirección IP, Actividad y su correspondiente sistema operativo.

Para trabajar con el nombre del equipo en esta página, simplemente pulse el enlace al equipo para la dirección IP correspondiente o el sistema operativo deseado.

La parte más importante del Informe de Equipo aparece una vez hemos pulsado el nombre del equipo deseado (ver la Figura 16 - Informes > Informe de Equipo). Una vez que aparece el informe, hay dos paneles importantes: el panel izquierdo muestra características del informe de equipo, tales como inventario, métricas, alarmas, alertas, uso, y anomalías. El panel de la derecha muestra la información relacionada con el enlace pulsado en el lado izquierdo. Por defecto, es el de información del Inventario.



Figura 16 – Informes > Informe de Equipos

El panel de Informe de Equipos (panel izquierdo) proporciona capacidades adicionales para trabajar con sus informes.

El enlace Inventario muestra varios trozos de información relativos al equipo en tres secciones diferentes. La sección Información del equipo muestra el nombre del equipo, dirección IP, sistema operativo y la dirección MAC de la máquina. La segunda sección provee información sobre la pertenencia del equipo, especialmente la red y el sensor del equipo. La tercera sección contiene información puerto/servicio relacionada con el equipo. Esto incluye nombre del servicio, versión y fecha. Puede elegir si quiere ver los datos obtenidos con las herramientas pasivas (p0f, pads..), o los obtenidos con las herramientas activas (nmap).

El enlace Métricas muestra una representación gráfica que indica los estados de rendimiento de seguridad para varios períodos: último día, última semana, último mes y último año. Estos datos en forma de gráficas, muestran el número de ataques y brechas de seguridad (compromiso) para ese nombre de host. Esta página también muestra los niveles actuales para ese equipo.

El siguiente enlace es para tres tipos diferentes de alarmas: Origen o Destino, Origen y Destino.

La alarma Origen o Destino muestra alarmas cuyo origen o destino sea la misma que la IP del equipo seleccionado. La página muestra una lista de alarmas correspondiente en la parte inferior de la página. Incluye información como el nombre de la alarma, riesgo, sensor, estado, etc. Por defecto la lista está vacía, sin embargo puede localizar rápidamente este tipo de alarmas usando la opción Filtro en la parte superior de la página.

Usando el Filtro, puede configurar un rango de fechas para los incidentes de alarma, así como establecer la dirección IP de origen y destino deseada, y seleccionar el número de alarmas que se mostrarán en cada página.

Origen muestra solo alarmas de origen. Esta página funciona exactamente igual que Origen y Destino, sin embargo, en el Filtro, solo se lista la dirección IP de Origen.

Destino muestra sólo las alarmas de destino. Esta página funciona exactamente igual que Origen y Destino, sin embargo, en el Filtro, solo se lista la dirección IP de Destino.

El siguiente conjunto de enlaces es para varias alertas o eventos: Principal, Eventos con origen único, Eventos a un Único Destino.

La página Principal es una página de introducción a la sección de Eventos. Trabaja codo con codo con BASE (Análisis Básico y Motor de Seguridad). En la zona superior de la página hay un enlace a la página principal ( que le llevará a la página principal de BASE y no recargará la página Principal), así como opciones de Búsqueda (Search) y alertas grabadas (cached).

Desde la página principal, puede realizar búsquedas de cualquier alerta para su nombre de equipo (dirección IP) por tipo: Origen , Destino, o Origen/Destino. Puede también realizar un whois de su equipo usando una de las siguientes opciones: ARIN, RIPE, APNIC, or LACNIC.
También puede ver el número de sensors para su equipo o acceder al Alert Group Maintenance (mantenimiento del grupo de alerta) usando el enlace correspondiente.

La página Eventos con Origen Único provee información sobre los eventos de origen. El lado izquierdo de la página muestra la última información buscada, así como el criterio empleado para hacer la consulta. Puede borrar el criterio pulsando en el enlace Clear (Borrar) en esta misma ventana.
En el lado derecho de la página encontramos Summary Statistics (Resumen de Estadísticas) para los sensores , alertas (eventos), enlaces IP, y puertos (destino y origen).

Por favor recuerde que cada alerta en BASE es llamada evento en OSSIM. Por tanto, cuando decimos alerta es lo mismo que eventos.

Las alertas correspondientes aparecen en la tabla que aparece en la mitad del final de la pantalla. Esta tabla contiene información tal como firmas de la alerta, clasificación, primera y última ocurrencia, etc. Cada alerta se puede seleccionar y las acciones realizarse usando la tabla localizada bajo esta tabla de alertas. Usando los menús desplegables, puede seleccionar un número de acciones, tales como archivar o borrar alertas, enviar e-mails informando de una alerta para una o mas alertas.

La página Eventos a un Único Destino tiene la misma funcionalidad que la página previamente mencionada Eventos con Origen Único, exceptuando que en esta página trataremos exclusivamente con los eventos de destino, no con los de origen.

La página de utilización muestra información sobre comó se está usando el equipo gracias a ntop.
La página de anomalías proporciona información detallada de cualquier incidente que haya ocurrido y esté relacionado con el equipo seleccionado.

El apartado Vulnerabilities (vulnerabilidades) nos proporciona información ofrecida por nessus relativa respectivamente a vulnerabilidades, problemas de seguridad e incidencias ocurridas y referentes a ese equipo.

Informes > Reporte de Alarmas

La página Reporte de Alarmas muestra una representación gráfica de los equipos como se puede ver en la Figura 17 - > Reporte de Alarmas.



Figura 17 - > Reporte de Alarmas

Tal y como se muestra en la figura superior As shown in the above figure, los gráficos se muestran indicando datos relacionados con equipos que son importantes. El primer gráfico muestra los equipos que han recibido más atques. Aparece una representación numérica junto al mismo mostrando una table con el nombre del equipo y el número de ataques que han ocurrido. Cada ataque corresponde a una alarma específica.

Esta página contiene los siguientes gráficos:
  • Los 10 Equipos más atacados
  • Los 10 Equipos más Atacantes
  • Los 10 puertos más Usados.
  • Diez principales Alarmas
  • Diez principales Alarmas por riesgo
Con la excepción del gráfico final, Diez principales alarmas por Riesgo, puede encontrar más información sobre el equipo, alarma, o puerto pulsando en el enlace correspondiente.

Informes > Informe de Seguridad

La página de Informes de Seguridad muestra una representación gráfica de los equipos tal y como se puede ver en la Figura 18 - Informes > Informe de Seguridad.



Figura 18 – Informes > Informe de Seguridad

Como puede ver en la figura anterior, la página página de Informes de Seguridad es muy similar en contenido a la de Informes de Alarma en que proporciona una representación gráfica de la información relacionada con la seguridad.

La página Informes de Seguridad proporciona un número de gráficos:
  • Top 10 Equipos Atacados
  • Top 10 Equipos Atacantes
  • Top 10 puertos Usados
  • Top 10 Eventos
  • Top 10 Eventos por Riesgo

Como en la página de Informes de Alarmas, la página de Informes de Seguridad también proporciona una representación de los datos de cada tabla, incluyendo nombre de equipo/alarma, etc. También prove información relative a la cantidad de veces que ha sucedido.

Con la excepción de la tabla final, Top 10 Eventos por Riesgo, puede encontrar mas información sobre el nombre del equipo, alarma, o Puerto pulsando en su enlace correspondiente.

Informes> Reporte PDF (informe PDF)


La página Reporte PDF le permite seleccionar que informe o informes desea generar en format PDF, tal y cómo puede ver en la Figura19-Informes > Reporte PDF.


Figura 19 - Informes >Reporte PDF

Como puede ver en la imagen anterior, la página de informes PDF le permite seleccionar cuatro informes mediante una lista desplegable al comienzo del formulario. Un número de subopciones se podrán seleccionar usando cuadros de selección (check boxes) bajo la lista desplegable. Cada tipo de informe tiene sus propias opciones. Puede elegir cuáles incluir, del mismo modo que puede filtrar los distintos atributos. Se genera un fichero con el informe en formato PDF cuando se pulsa el botón Generar. OSSIM puede grabar sus informes en este formato sin necesidad de emplear ningún programa de terceros o plug-ins.

Los informes disponibles que se puede generar son:
  • Seguridad
  • Metricas
  • Alarmas
  • Incidentes

Una vez ha seleccionado el informe y las subopciones a generar, en los Informes de Seguridad o de Alarma, puede designar cuántos equipos mostrar por tabla. Por defecto, OSSIM propone 15.

Para generar el informe, simplemente pulse Generar. OSSIM genera su informe en un fichero simple PDF y muestra el informe. Para mas información sobre cómo usar Adobe Acrobat para manejar su informe y realizar tareas tales como salvarlo o enviarlo, por favor, consulte la información de Adobe disponible en www.adobe.com.

Reports > OCS Inventory

Actualmente esta opción le redirige a un recolector de inventario preconfigurado OCS instalado en el servidor ossim. Para mas información, por favor, visite www.ocsinventory-ng.org/. La sección Herramientas → Descargas provee los agentes requeridos parar un uso correcto.



Página anterior -------------------- Índice del Manual -----------------------Página Siguiente

____________________________________________________________________
  • Escrito por: Jason A. Minto
  • Revisado por: Alberto Roman, Dominique Karg
  • Contribuciones: Juan Blanco
  • "Traducción al castellano": Juan Nieto González http://tecnoloxiaxa.blogspot.com

Please add your name to the list above if you make significant improvements to this document

Página del proyecto: www.ossim.net

2 comentarios:

Anónimo dijo...

gracias por el aporte,
seguiste con la traducción? de ser así no la encuentro y está genial

tecnoadmin dijo...

pues no, me quedé aquí,... siempre tengo pensado retomarla pero nunca encuentro el momento, además me temo que la versión actual difiera ya,....