manuales ejemplos alienvault usm ossim

Manuales, tutoriales, guas y ejemplos de configuracin de AlienVault OSSIM, el mejor SIEM del mercado, enespaol. Con openredes aprende a usar las mejores herramientas open source de redes.

HACE 1 AOEn esta entrada iremos haciendo un resumen de las rutas, los directorios y la localizacin de los ficheros deconfiguracin relevantes o a tener en cuenta en OSSIM y en AlienVault USM.

Directorios:Perfil sensor

Ruta a ficheros de plugins /etc/ossim/agent/plugins//usr/share/ossim/scripts/Directorio de configuraciones curtom para rsyslog /etc/rsyslog.d/ (cada vez que arranca rsyslog se leen todoslos .conf de este directorio)Directorio de almacenamiento de bases de datos de eventos almacenados en cache por el agente /var/ossim/agent_events/ contiene ficheros .db en los que se almacena la cache de eventos en caso de que el sensor nopueda conectar con el server al que se los ha de enviar.

Perfil server(versin AlienVault USM) Ruta a almacen de logs /var/ossim/logs/Ruta server OSSEC /var/ossec/Ruta base de datos /var/lib/mysql/Ruta a directivas de correlacin de usuario /etc/ossim/server/context-hash/ (desde la versin 4.2 en adelante)Ruta a almacen de report custom /usr/share/ossim/www/tmp//usr/share/ossim/scripts/Ruta a todos los ficheros sql de cada uno de los plugins que contienen los plugin_sids /usr/share/doc/ossim-mysql/contrib/plugins/Ruta a los

Buscar

Con la tecnologa de Traductor

182Me gustaMe gusta CompartirCompartir

Alojado en

Publicidad

AlienVault USM OSSIM

Manuales y ejemplos AlienVault USM OSSIM | openredes - Networkin... http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...

1 de 7 14/12/2015 23:14

HACE 1 AOPara proceder con la actualizacin de la plataforma AlienVault USM OSSIM se sugiere seguir los siguientes pasos:

Entender bien lo que hay que hacer antes de proceder. Sigue leyendo.Hacer un backup de cada equipo de la plataforma AlienVault USM OSSIM.Proteger los plugins personalizados o que hayamos modificado. Desde versin 4.4 de AlienVault USM OSSIM laactualizacin ya no mata los plugins personalizados almacenados como .local en el directorio /etc/ossim/agent/plugins/, as que lo mejor, si an no lo haces, es copiar los plugins que tienes en uso con el mismo nombre yaadiendo .local (quedando por ejemplo apache.cfg.local). A partir de ahora lo mejor es editar estos .local para hacermodificaciones y dejar intactos los originales ya que en cada actualizacin se sobrescribirn.Proteger los plugin sids personalizados. La versin 4.4 aun sigue aniquilando los sids personalizados, estos sealmacenan en la base de datos y son machacados en cada actualizacin. Para evitarlo lo mejor es acostumbrarse acrear nuevos plugin sids desde un fichero sql (los originales estn en el directorio /usr/share/doc/ossim-mysql/contrib/plugins/ comprimidos o almacenados como .sql) y

HACE 2 AOSvisitasUn aporte muy interesante de Ferran para OSSIM y AlienVault USM es su versin corregida

de regexp.py.Para los que no lo sepan regexp.py es un script de OSSIM y AlienVault USM que se ubica en /usr/share/ossim/scripts/regexp.py y trata de ser una til herramienta para ayudar a los tcnicos en la ardua tarea de creacin de plugins paraOSSIM, mas bien trata de ser til para la parte de testing de nuevos plugins. regexp.py es un script que lee un fichero delogs y lo evala contra una expresin regular concreta o un fichero de plugin que contenga varias expresiones regularescon las que han de matchear los eventos que se encuentran en el fichero de logs y nos dice el resultado, de forma quesabremos si nuestras expresiones regulares son correctas o no. Y digo que regexp.py trata de ser una til herramientabsicamente porque no funciona bien y sus errores (los mismos desde el origen de los tiempos) lo hacen inservible,estos son los errores que nosotros hemos detectado en el script regexp.py:

No respeta el orden de las expresiones regulares contenidas dentro del fichero de plugin que usemos.El modificador y (show non matching lines) no funciona.No funciona el uso de los

HACE 4 AOSAlienVault USM OSSIM, Monitorizacin, OSSEC 3.745 visitasEn esta entrada un pequeo tutorial para dar de alta los clientes en el servidor de OSSEC,

tanto estando instalado en OSSIM o en un servidor aislado.Dar de alta el nuevo cliente en el servidor

actualizar vyatta administracinVyatta AlienVault AlienVault USMOSSIM autenticacion openvpn certificadosvpn vyattaconfiguracionfirewall vyattaconfiguracion openvpn vyattaconfiguracion vyatta configurar vyattaejemplos vyatta firewallopen sourcefirewall virtualfirewall vyatta frontend vyattainstalacion plugin OSSIM login local usuarioopenvpn manuales vyatta mendocinomonitorizacion redes monitorizacinopenvpn vyatta plugin vyattaOSSIM Radiohead repositorios Debian Vyattarepositorios vyatta router open source SSHthe king of limbs thinclient linux tips linuxtips vyatta vc6.2 virtualizacion redes virtualrouter VPN vyatta vyatta vyatta CLI

Nube


2 de 7 14/12/2015 23:14

Extraer la key para el nuevo agente

HACE 4 AOSAlienVault USM OSSIM, Vyatta 2.761 visitas English version

Gua paso a paso para actualizar la versin del plugin de Vyatta que estemos usando en elagente de OSSIM. Si no tienes registrado el plugin de Vyatta en el agente de OSSIM para poder ponerlo enfuncionamiento primero deberas pasarte por la gua de instalacin del plugin de Vyatta en el agente de OSSIM.Para actualizar la versin del plugin:

Descargamos el fichero vyatta.cfg de la ltima versin del plugin de Vyatta y lo introducimos en el agente de OSSIMen la ruta /etc/ossim/agent/plugin/

El plugin lo podemos descargar desde su pgina y guardarlo despus en la ruta /etc/ossim/agent/plugin/ delagente de OSSIM.O directamente desde OSSIM con los siguientes comandos:

Nota: Cambiar vx.xx por la ltima versin

1.

Descargamos el fichero vyatta.sql de la ltima versin del plugin de Vyatta y lo introducimos en el agente de OSSIMen la ruta /usr/share/doc/ossim-mysql/contrib/plugins/

El plugin lo podemos descargar desde su pgina y guardarlo despus en la ruta /etc/ossim/agent/plugin/ delagente de

2.

HACE 4 AOSAlienVault USM OSSIM, Vyatta 5.854 visitas Versin en espaol

In order to understand and normalize information sent by certain device OSSIM agent needsa plugin focused to this device. A plugin consists basically on regular expressions and a list

that make possible to identify unambiguously each produced event. Once normalized information is obtained using theplugin it is passed to other agent functions which send the information to OSSIM server as events form. OSSIM considerstwo kinds of plugins, detectors and monitors plugins. Vyatta plugin needs to be a detector plugin. Before face up to acreation of a detector plugin is very important to have the working flow clear:

The device generates an event.Syslog module of the device sends the event to OSSIM agent.On OSSIM agent rsyslog gets the event on 514 UDP port (default).According to rules configured on rsyslog (/etc/rsyslog.conf and /etc/rsyslog.d/) it will send the event to thecorresponding logs file.Plugin will read events collected on corresponding log file (specified with locate variable on .cfg plugin file).Each event from the log file will be normalized according to plugin rules.Each normalized event will be sent to OSSIM server with its corresponding

vyatta core vyatta core 6.2 vyatta espaolvyatta firewallvyatta plugin OSSIMvyatta router vybuddyWP Cumulus Flash tag cloud by RoyTanck requires Flash Player 9 orbetter.

nslookup obtener IP de undominio, servidores de nombresDNS, DNS inverso y servidores demail de dominios - 83.380 visitasLos 25 mejores comandos/trucosSSH - 64.880 visitasError user is not in the sudoersfile. This incident will be reported.Habilitar permiso de ejecucin desudo - 38.381 visitasEvitar ERROR 1130 (HY000): Hostx.x.x.x is not allowed to connectto this MySQL server configuraracceso remoto al servidor MySQL- 29.287 visitasConfigurar un cliente OpenVPN enWindows con OpenVPN GUI paraconectar a una VPN RA en Vyatta- 26.341 visitasBrico: Conectar mando del parkingo garaje a las luces largas orfagas con temporizador - 23.177visitasInstalar GNS3 0.8.2, Dynamips0.2.8-RC3 y Qemu 0.11 en Ubuntu11.10 Oneiric Ocelot - 19.484visitasFormato de la cabecera desegmentos TCP - 18.039 visitasVyatta en espaol - 17.872 visitasConfiguracin de ejemplo enVyatta - 17.434 visitas

ndice de entradas relativas alSistema Operativo de red VyattaVyatta hispanondice de entradas relativas alSIEM open source OSSIMndice de la seccin de apuntes deredesPlugin para la integracin deVyatta en OSSIM by openredesGua de instalacin del plugin deVyatta en OSSIMTopologa de ejemplo como basea la seccin de tutoriales deconfiguracin de VyattaTutorial, manual de configuracindel mdulo de firewall en Vyattavbash, la interfaz de lnea decomandos (CLI) de Vyatta

Lo mas visto

Destacados


3 de 7 14/12/2015 23:14


Steps below will guide you to upgrade your Vyatta plugin version for OSSIM agent. If youhavent registered a Vyatta plugin on OSSIM agent yet then you need to have a look to the

installation guide first.To upgrade the Vyatta plugin version:

Download vyatta.cfg file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the fileon OSSIM agent at /etc/ossim/agent/plugin/ path.

You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.Or you can do it directly with these commands:

Note: Change vx.xx with the latest version.

1.

Download vyatta.sql file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the fileon OSSIM agent at /usr/share/doc/ossim-mysql/contrib/plugins/ path.

You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.Or you can do it directly with these commands:

2.


Para que el agente de OSSIM pueda interpretar y estandarizar la informacin que undeterminado dispositivo le enva es necesario que disponga de un Plugin enfocado en ese

dispositivo. Un plugin bsicamente consiste en una serie de expresiones regulares y una lista que permite identificar deforma inequvoca el tipo de evento producido. Una vez se obtiene la informacin estandarizada se pasa a otras funcionesdel agente para ser enviada al server de OSSIM en forma de eventos. OSSIM considera dos tipos de plugins, detectores ymonitores. Los detectores leen los logs que se almacenan de un determinado dispositivo y los estandarizan para que elagente pueda enviarlos al servidor de OSSIM. Los monitores reciben indicaciones del servidor de OSSIM y analizan deforma activa los dispositivos. Segn lo anterior, el plugin de Vyatta ser de tipo detector. Antes de enfrentar la creacinde un plugin detector hay que tener claro el flujo de funcionamiento:

El dispositivo genera un evento.Mediante syslog lo enva al agente de OSSIM.Rsyslog recibe el evento por el puerto 514 UDP (por defecto).Segn las reglas con las que est configurado rsyslog enviar el evento a un


Una vez actualizado o dado de alta el nuevo plugin de Vyatta en el agente de OSSIMpodemos hacer las siguientes pruebas y ver que estamos recibiendo en el servidor de OSSIM

todos los eventos reflejados en el nuevo plugin de forma correcta. Con estos pasos podemos provocar en nuestrosistema Vyatta que un archivo con logs de ejemplo sea logueado y enviado al agente de OSSIM el cual deber analizarlosy normalizarlos.

Cuidado con las actualizacionesde Vyatta desde la versin VC6.2!!Msica selecta

M O S T R A R M S

Comentarios recientes

Entradas recientes

MaximilianoHola, quiero saber laforma de copiar unarchivo grande desdeuna maquina remota, aun equipo local. Elproblema es que dondeyo accedo a []HACE 2 MESESYohanquedo corrida lainformacin Origen:192.168.0.0/24 Destino:200.60.0.0/24,200.50.0.0/24 []HACE 2 MESESYohanEstimados, Muy til estainformacin. Estoyintentando implementaruna poltica que haga losiguiente: Necesitolimitar el ancho de []HACE 2 MESESjuapewHola Chicos queriahaceros una pregunta, hebuscado por todo lado lasolucion a mi problemapero nada , estoyintentando entrar por ssh[]HACE 3 MESESiluminatiNo est mal, pero paraun puerta... pero y sitienes 2 puertas o dosgarajes? Yo he montadoarrafagas y va de coa.SaludosHACE 9 MESES

Resumen de rutas yficheros de configuracinen OSSIM y AlienVaultUSM (0)En esta entrada iremoshaciendo un resumen delas rutas, los directorios


4 de 7 14/12/2015 23:14

En OSSIM abrimos la ventana de tiempo real desde Analysis - SIEM - Real Time:1. En la mquina Vyatta descargamos de openredes los archivos de ejemplo de logs, hasta ahora los logs de ejemplodisponibles son:sample_firewall (2,8 KiB, 1.859 hits)sample_ospf (1,2 KiB, 675 hits)sample_ovpn (3,6 KiB, 624 hits)sample_pamunix (970 bytes, 727 hits)sample_pmacctd (85 bytes, 512 hits)sample_vyatta (127 bytes, 583 hits)sample_wlb (171 bytes, 525 hits)sample_zebra (661 bytes, 566 hits)

Por ejemplo:

2.

Lanzamos el fichero a syslog con el comando logger:3.

A la vez que ejecutamos el comando4.

M O S T R A R M S

Blogroll

y la localizacin de los ficheros deconfiguracin relevantes o a []HACE 1 AO

[otrs] Backend deautenticacin de agentespor LDAP (0)La configuracin deOTRS para que use unservidor LDAP comobackend deautenticacin deagentes, por ejemploOpenLDAP, ActiveDirectory, []HACE 1 AOActualizacin de laplataforma AlienVaultUSM OSSIM (0)Para proceder con laactualizacin de laplataforma AlienVaultUSM - OSSIM se sugiereseguir los siguientespasos: Entender bien loque []HACE 1 AO[otrs] Scheduler is notrunning (Debian) (0)Si instalas OTRS enDebian usando estemanual de instalacinde OTRS en Linux, elpaso final es el de aadirel script del programadorde []HACE 1 AOBrico: Conectar mandodel parking contemporizador en luceslargas de una HusqvarnaNuda 900 (1)Una de lasmodificaciones masnecesarias a nivelprctico para una motoes, en mi opinin, la deconectar el mando delparking a las luz de []HACE 1 AO

Be virtual, my friendBlog de Vctor M. FernndezCCIE en espaol


5 de 7 14/12/2015 23:14

openredes, networking open source - Vyatta, OSSIM, Nagios, ntop...

1 2 Siguiente


When the vyatta plugin is upgraded or registered on the OSSIM agent we can check itsoperation and see that OSSIM server is receiving all events reflected on plugin correctly.

Following steps below we can cause a sample log file to be logged on our vyatta system and then sent to OSSIM agentwich has to analyze and normalize them.

On OSSIM go to Analysis - SIEM - Real Time to see events arriving to OSSIM server in real time:1. On your Vyatta box download form openredes sample log files. Up to date existing sample log files are:sample_firewall (2,8 KiB, 1.859 hits)sample_ospf (1,2 KiB, 675 hits)sample_ovpn (3,6 KiB, 624 hits)sample_pamunix (970 bytes, 727 hits)sample_pmacctd (85 bytes, 512 hits)sample_vyatta (127 bytes, 583 hits)sample_wlb (171 bytes, 525 hits)sample_zebra (661 bytes, 566 hits)

For example:

2.

Trigger sample log file to syslog with logger command:3.

Try to see real time window on OSSIM at the same time that we execute command above and you could seesimulated logs arriving to

4. Enlaces de interes

Comandante LinuxDarax BlogEl blog de Elio Bastias

El Rincn ExquisitoEnseantes del Arenal. AcademiaRipolls de SevillaEntorno Digital Inteligentelapipaplena.netNicklabsPipo E2H - Soluciones TICavanzadas.Programacin @DroopeVirtulinuxvyatta4people.org[BACK DOOR]

AlienVault Open Threat Exchange!Documentacin HTML VyattaGrupo Vyatta hispano en LinkedinOSSIM, the Open Source SIEMPgina en la comunidad Vyattasobre openredesUnofficial Vyatta WikiVyatta community


6 de 7 14/12/2015 23:14

Hay otros mundos pero estn dentro de este - openredes, openmindTe interesa Vyatta? nete a nuestro grupo Vyatta hispano en Linkedin!!

Copyright 2015 openredes - Networking Open Source | Publicaciones bajoLicencia Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported .

Funciona gracias a Wordpress Tema Mystique de digitalnature | Feeds RSS | HTML 5


7 de 7 14/12/2015 23:14

manuales ejemplos alienvault usm ossim

Documents