AlienVault Open Source SIEM (OSSIM) es un sistema de seguridad integral en código abierto que cubre desde la detección hasta la generación de métricas e informes a un nivel ejecutivo. AlienVault se ofrece como un producto de seguridad que le permitirá integrar en una única consola todos los dispositivos y herramientas de seguridad que disponga en su red, así como la instalación de otras herramientas de código abierto y de reconocido prestigio como Snort, Openvas, Ntop y OSSEC.
AlienVault es un producto que integra más de 30 herramientas Open Source. Tanto el sistema operativo como muchas de las herramientas integradas, han sido modificadas para mejorar su funcionamiento dentro del sistema. Es por ello que la instalación de AlienVault a partir del código fuente requiere de unos amplísimos conocimientos y de la compilación de más de 40 herramientas.
Funcionamiento Básico
Trataremos de mostrar, de forma simplificada, que procesos tienen lugar dentro de AlienVault:
- 1. Las aplicaciones generan eventos de seguridad
- 2. Los eventos son recogidos y normalizados
- 3. Los eventos son enviados a un servidor central
- 4. Valoración del riesgo de cada evento
- 5. Correlación de eventos
- 6. Almacenamiento de los eventos
- 7. Acceso a los eventos almacenados
- 8. Acceso a la configuración
- 9. Acceso a métricas e informes
- 10. Acceso a información en tiempo real del estado de nuestra red
Los eventos de seguridad son generados por las diferentes aplicaciones y/o dispositivos que dispongamos en nuestra red. Estos eventos son recogidos y normalizados por el Sensor de AlienVault, que se encarga además de enviarlos a un servidor central. En un despliegue de AlienVault podremos disponer de tantos Sensores como necesitemos. Como ejemplo, se puede situar un sensor dentro de la DMZ, un sensor en cada ciudad o dedicar un sensor para monitorizar cada una de las redes de la corporación.
El Sensor de AlienVault incluye una serie de herramientas (Snort, Ntop, Tcptrack, Arpwatch…) que permiten analizar todo el tráfico de red en busca de problemas de seguridad y anomalías. Para poder sacar provecho de esta funcionalidad de AlienVault es imprescindible que el Sensor de AlienVault sea capaz de ver todo el tráfico de la red, bien sea utilizando un concentrador, o configurando un port mirroring o port Span en la electrónica de red.
Todos los sensores de AlienVault envían sus eventos a un único servidor de AlienVault, que se encarga de efectuar una valoración del riesgo para cada evento, y en el que también tendrá lugar el proceso de correlación. Una vez estos dos procesos han tenido lugar, los eventos son almacenados en la base de datos de AlienVault.
Para tener acceso a toda esta información, así como a la configuración del sistema y a una serie de métricas e informes haremos uso de la Consola Web de AlienVault. Desde esta consola Web también tendremos acceso a información en tiempo real a una serie de aplicaciones que nos facilitarán el análisis del estado global de nuestra red.
Los detectores siguientes están activados por defecto:
- - Snort (IDS a nivel de Red)
- - Ntop (Monitor de red y uso)
- - Openvas (Gestión de Vulnerabilidad)
- - P0f (Sistema Operativo de Detección Pasiva)
- - Pads (Sistema Pasivo de Detección de Activos)
- - Arpwatch (Anomalías de cambios de mac)
- - OSSEC (IDS a nivel de Host)
- - Osiris (Monitor de integridad)
- - Nagios (Monitor de disponibilidad)
- - OCS (Inventario)
Link relacionado:
No hay comentarios:
Publicar un comentario