presentación de powerpoint - inicio | unam-cert · siem – security information and event...
TRANSCRIPT
![Page 1: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/1.jpg)
SIEM Implementación de un
correlacionador de eventos
Juan Carlos Flores Ibarra
Edgar Israel Rubí Chávez
![Page 2: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/2.jpg)
Antecendentes SIEM
• SIM – Security Information Management
• Sistema de Gestión de activos
• Incorpora sistemas de seguridad de la información
• Reportes deben ser mapeados a un sistema envolvente
![Page 3: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/3.jpg)
Antecendentes SIEM
• SEC - Security Event Correlation
• Analiza eventos y bitácoras
• Busca patrones de comportamiento inusual
• Alerta al responsable
![Page 4: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/4.jpg)
SIEM – Security Information and Event Management
• Convierte términos generalizados a información administrable
• Implementar controles de seguridad e infraestructura
• Combinación de los sistemas SEC y SIM
![Page 5: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/5.jpg)
Objetivo • Implementar un correlacionador de eventos
que centralice las bitácoras de los servicios brindados por la Subdirección de Seguridad de la Información en un solo servidor para identificar comportamientos no deseados.
![Page 6: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/6.jpg)
Monitoreo de servicios
IDS
Detección de ataques
Análisis de vulnerabi-
lidades
Conjunto de reglas
![Page 7: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/7.jpg)
SIEM – Open Source
• Cyberoam iView
• AlienVault Ossim
• Bitsum
• Logalyze
![Page 8: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/8.jpg)
Comparativo SIEM
![Page 9: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/9.jpg)
ALIEN VAULT OSSIM
![Page 10: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/10.jpg)
Instalación
• USM (Unified Security Management):
• Es la instalación completa para los servicios de
administración.
• Sensor:
• Es la instalación de un sensor que reporta a un USM
instalado en otro equipo.
![Page 11: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/11.jpg)
Configuración AlienVault
![Page 12: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/12.jpg)
Configuración sensor
![Page 13: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/13.jpg)
Recursos
• Arpwatch
• Cisco-router
• DHCP
• Fortigate
• Nagios
• Pam-unix
• SSH
• Sudo
• Syslog
• Rsyslog
• Snort
• PHP
• Switch-Cisco
• Nmap-monitor
![Page 14: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/14.jpg)
Resumen
![Page 15: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/15.jpg)
Análisis
• Eventos de seguridad.
• Alarmas.
• Tickets.
![Page 16: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/16.jpg)
Eventos de seguridad • Eventos capturados por Alien Vault:
• Sensor que lo detectó.
• Nombre.
• Fecha.
• IP origen.
• IP destino.
![Page 17: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/17.jpg)
Alarmas • Número máximo de ocurrencias de un mismo
tipo de evento.
• Fecha.
• Estado de la alarma.
• Método usado.
• Nivel de riesgo.
• IP origen y destino.
![Page 18: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/18.jpg)
Tickets • Asignar a usuario el seguimiento de evento.
![Page 19: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/19.jpg)
Activos
![Page 20: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/20.jpg)
Nagios
![Page 21: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/21.jpg)
Análisis de vulnerabilidades
![Page 22: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/22.jpg)
Escaneo vulnerabilidades
![Page 23: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/23.jpg)
Reporte de vulnerabilidades
![Page 24: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/24.jpg)
Directivas
![Page 25: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/25.jpg)
Directivas modificadas
![Page 26: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/26.jpg)
Reglas
![Page 27: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/27.jpg)
Alertas por correo
![Page 28: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/28.jpg)
Administración AlienVault
![Page 29: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/29.jpg)
Beneficios
• Aprendizaje de la red
• Centralizar bitácoras
• Detección de posibles ataques.
• Es compatible con la mayoría de los dispositivos actuales
• Actualización constante del sistema
• Presenta informes ejecutivos y técnicos
• Fácil Administración
![Page 30: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/30.jpg)
Puntos débiles
• Limita al usuario root
• Conocer ampliamente el entorno de red
• No permite administrar la base de datos
• No resuelve los problemas de seguridad
![Page 31: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/31.jpg)
Oportunidades de mejora
• Comprar licencia AlienVault
• Sensores en diversas dependencias de la UNAM
![Page 32: Presentación de PowerPoint - Inicio | UNAM-CERT · SIEM – Security Information and Event Management •Convierte términos generalizados a ... •AlienVault Ossim •Bitsum •Logalyze](https://reader031.vdocumento.com/reader031/viewer/2022020114/5af5aeda7f8b9a8d1c8decf9/html5/thumbnails/32.jpg)