jueves, 12 de junio de 2008

Ossim: Dashboard (Panel de instrumentos)

Dashboard > Panel Ejecutivo

El Panel Ejecutivo de OSSIM es, de hecho el punto de inicio de la aplicación OSSIM. Una vez que hemos entrado en OSSIM, aparece el Panel Ejecutivo como se indica en la figura 2– Dashboard > Panel Ejecutivo.


Figura 2 – Dashboard > Panel Ejecutivo

La pantalla general de “Bienvenida”, el panel ejecutivo permite realizar una serie de cosas:

  • Acceso a la ayuda online
  • Realizar una de las ocho tareas más habituales del sistema
  • Encontrar información adicional en la página web ossim.net web site.
  • Pulsar el hiperlink “Edit” para personalizar el Panel Ejecutivo de OSSIM. El Panel Ejecutivo puede tener multiples sub-paneles. Los paneles se pueden configuar para mostrar información de los módulos a través de OSSIM (ver Figura 3 – Panel de Configuración).


Figura 3 – Panel de configuración

Dashboard > Aggregated Risk

El panel Aggregated Risk muestra métricas, o paneles que muestran gráficamente los niveles de ataques y compromises del sistema como se muestra en la figura 4– Dashboard > Aggregated Risk.

Figura 4 – Dashboard > Aggregated Risk

Ataque y Compromiso son dos indicadores que OSSIM monitoriza independientemente debido a la potencial severidad de su naturaleza. Ambas son el resultado del riesgo representado por los eventos afectados por la monitorización de estas características. En la . En la página de Métricas un Ataque representa el riesgo potecial de la máquina debido a ataques dirigidos hacia nuestro equipo. En otras palabras, representa la posibilidad de un ataque, pero no indica que el ataque haya tenido éxito. La sección Compromiso indica que se ha cometido un ataque con éxito contra nuestro equipo.


La página Aggregated Risk está dividida en cuatro secciones distintas:

  • El panel superior nos permite seleccionar la duración de nuestras medidas: las últimas 24 horas, la última semana, mes o el año pasado.
  • El panel central nos muestra una representación gráfica, o dashboards, que muestran las metricas globales admin, un medidor de riesgo y un nivle de servicio.
  • En la esquina inferior idquierda el panel provee información del Compromiso.
  • En la esquina inferior derecha provee información de los Ataques.

Podemos pulsar en el gráfico “Global Admin Métricas” y aparecerá en una nueva ventana para facilitar su visualización. Este gráfico muestra cualquier ataque o instancias de compromiso a la hora y fecha en la que ocurrieron.

El gráfico Medidor de riesgo, que también puede ser pulsado para una visualización más sencilla, muestra los ataques y compromises en una red global y a nivel de host. Este display es un monitor en tiempo real C & A.

El gráfico de Nivel de servicio muestra el actual nivel de servicio en nuestro equipo. La información del gráfico se obtiene del mismo lugar que el Medidor de riesgo para permitirnos ver el histórico de las medidas del C & A. Podemos pulsar el porcentaje mostrado y ver el “Level admin Metricas”. Este gráfico nos permite seleccionar la duración del tiempo a mostrar en el gráfico (pasado día, semana, mes o año), así como seleccionar si mostrar o no los ataques y compromisos.


Las secciones Compromiso y Ataque del final del panel muestran información similar para los dos eventos. Cada evento está dividio en dos tipos: grupos externos globales y de redes.


La sección global contiene cuatro trozos de información: Valoración global, Fecha maxima y los niveles máximos y actuales.


La valoración global tiene dos iconos: un símbolo de un gráfico y otro de inserción de información. Pulsando en el símbolo del gráfico, nos aparecerá la ventana de Global admin Métricas (exactamente como en el primero del panel superior). El icono de inserción de información nos permite configurar las características para la inserción de de incidentes de métrica que especifica la medidas en un nuevo incidente. Podemos modificar la información sugerida con otra (si es necesario). Por ejemplo, podemos aplicar un título a un incidente, establecer la prioridad, el tipo, el objetivo, el tipo de medida (métrica) y su valor, así como establecer las fechas y horas de inicio y finalización de los eventos citados.

La sección grupos externos de Red muestra información similar par alas redes sin grupo definido bajo las Politicas de Grupo de Red (ver grupos de Red). Cada red externa también contiene iconos gráficos y de información como los detallados en el párrafo anterior.

Al final de la página de Métricas se muestra una leyenda en la que se ilustra el porcentaje umbral y su correspondiente riesgo usando un código de colores.

Dashboard > Alarmas

El panel de alarmas muestra aquellos eventos, estando correlacionados o no, que exceden de un cierto riesgo, 1.0 por defecto. Muestra información acerca de cualquier intrusion o intent de intrusion en nuestra red, como se muestra en la Figura 5–Panel de Control > Alarmas

Recuerda: riesgo = activo * prioridad * relevancia / 25 (activo 0-5, 0-5 prioridad, relevancia 0-10) asset * priority * reliability / 25 (Asset 0-5, Priority 0-5, Reliability 0-10)

Explicación: El resultado estará entre 0 y 250, por tanto si queremos un riesgo entre 0 y 10 debemos divider por 25



Figura 5 – Panel de Control > Alarmas

Cada una de las alarmas puede consistir en uno o más eventos individuales.

Hay cuatro tipos principales de alarmas:

  • Alarmas simples que consisten en un evento simple cuyo valor de riesgo ha excedido el umbral de riesgo, ya sea porque uno de los activos involucrados fue lo suficientemente alto, la importancia del evento fue lo suficientemente alto (es decir, la prioridad se fijó a un valor alto) o que la relevancia de ese evento es muy alto.
  • Directivas de correlación lógica dónde uno o más eventos (a menudo miles de eventos) están correlacionados resultando en varias alarmas que permanecerán agregadas bajo una simple.
  • Eventos correlacionados cruzados, que son “traducidos” en alarmas por el hecho de que se ha detectado un identificador de evento con un host al que previamente se le había identificado una vulnerabilidad.
  • Alarmas generadas por eventos correlacionados con un inventario de información cuya fiabilidad se ha alcanzado porque hemos identificado un evento que ha llegado contra una posible vulnerabilidad de alguna versión de sistema operativo o Servicio.

A continuación tenemos un ejemplo de captura de pantalla de una alarma de correlación lógica multinivel:

La página de Alarmas está dividida en dos paneles distintos; el panel superior es un panel de búsqueda que permite establecer criterios de alarma o intrusión específicos. Los resultados devueltos se muestran en el panel de final de la página de Alarma.


El panel de Búsqueda nos da distintas opciones para localizar alarmas e intrusiones:

  • El checkbox Filtro, si está seleccionado oculta cualquier alarma devuelta cuyo estado esté puesto a Cerrado –Closed-.
  • La caja de texto Date nos permite especificar un rango de fechas para las alarmas deseadas.Pulsando el icono del calendario situado a la derecha de la caja de texto se puede seleccionar el comienzo y fin de la fecha usando el calendario pop-up. Cuando especifiquemos una fecha, debemos recordar que la fecha debe seguir el formato año-mes-día.
  • La caja de texto IP Address nos permite seleccionar rangos de ips de origen y de destino para la alarma.
  • La caja de texto Num. de alarmas por página permite establecer el número máximo de alarmas que se van a mostrar en cada página.

Una vez que has establecido el criterio de búsqueda, pulsa Ir y los resultados irán apareciendo al final del panel de la página. Estas alarmas devueltas se ordenan, primero por fecha; se puede optar por borrar todas las alarmas para una fecha determinada pulsando en Borrar junto a la fecha del bloque de alarmas. Alternativamente, podemos borrar una alarma de modo individual pulsando el link mencionado que también está situado junto a la entrada alarma en los resultados de la búsqueda. La tercera manera de borrar todas las alarmas en nuestros resultados buscados es pulsando Borrar Todas las Alarmas al final del panel de búsqueda de resultados.


En el panel del final de la página de Alarmas hay un número de secciones que nos dan información de ayuda cuando trabajamos con alarmas o intrusiones:
  • La columna Alarmas muestra el nombre de la alarma, la intrusión, o el evento ocurrido. Puede ser un nombre específico, o simplemente una descripción del evento; por ejemplo una “possible intrusión contra vmossim”.
  • La columna Riesgo muestra un número que indica la amenaza potencial para nuestra máquina o red. Por ejemplo, un riesgo de 2 muestra un riesgo mínimo para nuestro sistema. Por otro lado, un riesgo de 6 no solo plantea peligros significativos para nuestra máquina, sino que también tiene una etiqueta color-código indicando un alto riesgo.
  • La columna Sensor indica la dirección IP del dispositivo que detectó la alarma. El Sensor OSSIM a dónde los eventos que generaron la alarma han llegado.
  • La columna Desde indica la fecha en la que OSSIM grabó la primera intrusión o ataque particular. Contiene la fecha complete seguida de la hora.
  • La columna Última indica la fecha en la que OSSIM grabó la última detección de un evento particular relacionado con un ataque o intrusión. Contiene la fecha completa seguida de la hora.
  • La columna Origen muestra la dirección IP y número de Puerto de dónde apareció el primer evento de ataque o intrusion, asícomo un icono con el Sistema Operativo de origen (si se conoce).
  • La columna de Destino muestra la IP de origen y el número de Puerto dónde apareció el primer evento de ataque o intrusión.
  • La columna Estado, muestra si la alarma está puesta como Abierta o Cerrada. Podemos cambiar el estado de una alarma de Abierta a Cerrada, simplemente pulsando en el enlace Abierta. El enlace, a continuación aparecerá como cerrado.
  • La columna Acción permite realizar dos acciones distintas desde esta columna: la primera es poder borrar una alarma como se mencionó antes pulsando en Borrar. Para cada alarma que tengamosThe Action column lets you perform two distinct actions from this column: first, you can delete an alarm as mentioned earlier by clicking Delete. Para cada alarma tendremos información resumida de ejemplo como los eventos involucrados en esa alarma, sensores involucrados, origen destino , etc. Es importante señalar que para cada alarma hay un vínculo simpolizado por el icono "i" que puede utilizar para abrir un nuevo incidente con esa alarma . Alguna de la información se generará automáticamente en el momento de la creación:Página anterior ----------------- Índice del Manual ----------------------Página Siguiente
____________________________________________________________________
  • Escrito por: Jason A. Minto
  • Revisado por: Alberto Roman, Dominique Karg
  • Contribuciones: Juan Blanco

Please add your name to the list above if you make significant improvements to this document

No hay comentarios: