Alienvault OSSIM v4.7.1

Concepto, instalación, confguración y herramientas de Alienvault OSSIM v4.8

Por: Jorge Osorio y Roger Orozco.

Por: Jorge Osorio y Roger Orozco.

Índice Alienvault Introducción 1 Concepto Objetivo División Abstracta  Aplicación Cliente Requerimientos de instalación Hardware Red Instalación Instalación paso a paso Instalación de sensor  Configración de pro!" Configración de rango de redes Configración de base de datos Configración de %onitores netflow  Activación de plgins plgins Instalación " configración de 'agios en sensores Cuadros de mando Infor%ación general Real (i%e Cop" )ecrit" (a!ono%" *stado despliege Cadro de %ando  Avisos " errores +apa de riesgos Infor%ación general O(, -atos de reptación Análisis  Alar%as *ventos )I*+ )I*+ (ie%po real real (ic0ets Entorno  Activos -escbri%iento de activos rpos " redes lnerabilidades erfiles 'etflow Captra de trfico -isponibilidad +onitoriando Infor%es -etección

2 2 3 3 4 4 5 11 14 1# 1$ 1& 21 22 24 25 25 2# 2# 2$ 2$ 2. 2. 2& 3/ 3/ 31 31 32 32 33 33 34 34 35 35

Informes Infor%ación general Configuración  Ad%inistración 6sarios rincipal Copia de segridad -espliege Co%ponentes  Alienvalt Center  )ensores )ervidores rogra%ador  6bicaciones Info7 )obre a%enaas ol8ticas  Acciones ertos -irectivas C%pli%iento de nor%ativa Correlación Crada Origen de datos (a!ono%8a 9ase de conoci%iento Configuraciones +i perfil )esiones actales  Actividad de sarios Soporte  A"da -escargas Actualización a 4!" Res%en de %ejora%iento de actaliación lnerabilidades reseltas con la actaliación

3#

3$ 3$ 3.

3. 3& 3& 4/ 4/ 41 41 42 42 43 44 45 45 4# 4$ 4. 4& 5/ 51 52 53 54

Introducción

O))I+ ofrece todas las caracter8sticas :e n siste%a profesional necesita de na oferta )I*+; recopilación de eventos; de nor%aliación " de correlación7 *stablecido " pesto en %arctil sin los controles bsicos de segridad necesaria para la visibilidad de la segridad7

O))I+ aborda esta realidad; proporcionando las capacidades esenciales de la segridad integradas en na platafor%a nificada7 -e pie sobre los
 Alienvalt provee desarrollo contino para O))I+ por:e todos deben tener acceso a las tecnolog8as de segridad %s sofisticados; lo :e incl"e a los investigadores :e necesitan na platafor%a para la e!peri%entación; " los
1

Concepto  Alienvalt O))I+ es na blico objetivo son los ad%inistradores de red7 *ntre ss caracter8sticas %s i%portantes encontra%os= •

RespestaE)olción a conflictos detectados7

•

-etección de a%enaas conocidas7

•

-etección de actividad anó%ala7

•

 Aditor8a de red7

•

 Anlisis de red log

•

 Anlisis de la segridad orientado por los riesgos7

•

•

Reportes ejectivos7  Ar:itectra escalable " de alto dese%peFo7

#b$etivo ) objetivo es ofrecer n %arco para centraliar; organiar " %ejorar las capacidades de detección " visibilidad en la %onitoriación de eventos de segridad de la organiación7  Ade%s de obtener las %ejores
Correlación7

•

aloración de riesgos7

@a correlación proporciona la visibilidad de todos los eventos de los siste%as en n pnto " con n %is%o for%ato " a trav?s de esta sitación privilegiada relacionar " procesar la infor%ación per%itiendo a%entar la capacidad de detección; prioriar los eventos seg>n el conte!to en :e se prodcen; " %onitoriar el estado de la segridad de la red7 @a valoración e riesgos es for%a de decidir en cada caso la necesidad de ejectar na acción a trav?s de la valoración de la a%enaa :e representa n evento frente a n activo; teniendo en centa la fiabilidad " probabilidad de ocrrencia de este evento7

2

División Abstracta -esde na perspectiva abstracta; pode%os dividir a O))I+ en dos secciones7 A continación se presenta la descripción de a%bas partes7

Software Servidor. *s na distribción del siste%a operativo @in! :e necesita estar conectado a la red :e se va a %onitorear7 Ade%s necesita na I fija para poder acceder a s infor%ación7 Co%o parte de la distribción estndar de O))I+; se instala na serie de progra%as para configrar; %onitorear " responder ante ata:es sobre la red7 A continación se %enciona las
•

•

 Arpwatc<7 *s na
•

'esss7 Herra%ienta para detección de debilidades7

•

)nort7 )iste%a de detección de intrsos7

•

)pade7 reprocesador para el snort; :e per%ite enviar alertas cando n pa:ete con contenido anó%alo llega a la red7 6tilia t?cnicas de detección estad8sticas %ediante el aprendiaje a la red7

•

(cptrac07 Al%acena " per%ite analiar infor%ación de sesiones7

•

'top7 Hace referencia a la fnción top de los siste%as7

•

'agios7 Herra%ienta para el %onitoreo de disponibilidad de servicios7

•

Osiris7 Herra%ienta necesaria para %onitorear intrsos dentro de la %is%a co%ptadora; no dentro de la red7

 Aplicación de Cliente. *s n siste%a basado en web :e per%ite conectarse al servidor O))I+ para acceder a la infor%ación en tie%po real de la red7 -esde la interfa ta%bi?n se peden
3

Requerimientos de instalación

%ard&are

)e reco%ienda :e si se centa con n procesador de #4 bits; se instale la versión de #4 bits; pes en esta versión dar n %ejor rendi%iento de los recrsos " por lo general en las distribciones de #4 bits no ocasionan proble%as7 *l re:eri%iento de cleos; %e%oria RA+ de 1# 9; -isco dro de por lo %enos 25/ 97

Red

ara poder llevar a cabo n ben despliege de Alienvalt es i%portante conocer bien la electrónica de red de la :e dispone%os para poder configrar n port %irroring en los dispositivos de red :e lo soporten7 Ha" :e tener n especial cidado a la
•

•

(rfico dplicado= )e da en el caso en :e esto" viendo el %is%o trfico en dos port %irroring configrados en diferentes dispositivos de la %is%a red7

(rfico :e no se pede analiar= *n ocasiones pede no tener sentido configrar  n port %irroring en n pnto de la red en el :e todo el trfico es canaliado tiliando na ' o de%s protocolos :e env8an los datos cifrados7

 Ade%s del port %irroring; es necesario preparar con anterioridad las diferentes direcciones I :e va%os asignar a los co%ponentes de Alienvalt; teniendo en centa :e %c
Co%o eje%plo; si decidi%os
4

Instalación

O))I+ es prodcto :e integra %s de 3/
ara si%plificar el co%plejo proceso de co%pilación; instalación " configración de estas
Instalación paso por paso

17 *n el pri%er paso; na ve :e se introdce el for%ato 7iso de O))I+ en el siste%a este e%pear con la instalación " pregntando :? versión del O))I+ se :iere instalar; da dos opciones= Install Alienvalt 6)+ 473 o install Alienvalt )ensor 4737 *n este caso se le da enter a la pri%era opción co%o se %estra en la sigiente figra7

5

27 6na ve seleccionado la pri%era opción de instalación; se %estran las opciones del lengaje en el cal se va a configrar el O))I+7

37 A continación pide :e se seleccione la bicación para poder fijar na ona
6

47 A continación se pide la configración del teclado :e seg>n corresponda7

7

57 6na ve seleccionado la configración del teclado "
#7 6na ve cargados los co%ponentes de instalación; el progra%a pide la configración de la red; en este caso la dirección I del ordenador7 )e procede a insertar la dirección "
$7 *l sigiente paso es configrar la %scara de red "
8

.7 A continación; se configra la dirección de pasarela de la red; es decir el enca%inador; " se da clic en continar7

&7 *n la sigiente pantalla se pide la configración del s>per sario " la contraseFa de acceso7 )e Introdce el no%bre de s>per sario " la contraseFa " se da clic en continar7

9

1/7 6na ve configrado el s>per sario " la contraseFa de este; se procede a la partición del disco dro7 @o :e sige es esperar :e siga el proceso7

117 6na ve particionado el disco; contin>a la instalación del siste%a base7 )i%ple%ente se deja :e contin>e el proceso7

127 Cando se ter%ine de instalar el siste%a base; e%piea a cargar la ter%inación de la instalación " solo :eda esperar el proceso7

137 6na ve :e
147 a cargado todos los arc
10

157 a introdcido el sario " la contraseFa; aparece na pantalla verde el cal contiene na serie de opciones para configrar el siste%a7

Instalación del sensor de Alienvault.

@a instalación del sensor de Alienvalt es parte de los sensores de O))I+D es parecida a la instalación co%>n :e se
11

@os de%s pntos de la instalación son si%ilares al del servidor; se configra el idio%a; la bicación; la configración del teclado; la dirección I :e perteneca a la %is%a red en la :e se encentra el servidorD; la %scara de la red; el enca%inador; sario; contraseFa " la ona
@a configración de la red del sensor es n pnto clave para el servidor Alienvalt; "a :e la dirección :e se le asigne al sensor ser dada de alta en el servidor para :e ?ste peda e%pear a recibir datos del sensor7

*ste paso es el %s i%portante de la instalación por:e a:8 le se va a apntar
12

6na ve ter%inada la instalación del sensor es necesario ingresar el sario " contraseFa en la pantalla de bienvenida del sensor desp?s se desplegara el %en>; con esto el sensor se atentificar al servidor de %anera ato%tica " pode%os co%probarlo en el Gra%ewor07

ara verificar :e el sensor "a se identificó en el Gra%ewor0; se abre la ventana de Despliegue , Componentes , Sensores7 Sensores 7  Al abrir la pestaFa de sensores aparecer aparecer n %ensaje diciendo :e n sensor est reportndose; %ostrando la dirección I del sensor " las opciones :e se peden to%ar  "a sea insertar o descartar7

13

Cando se agrege el sensor solo es necesario recargar la pgina " verificar :e los ca%bios "a se aplicaron correcta%ente7

14

Configuración del proxy.

@a configración del pro!" es necesaria en algnos casos; por si el lgar en donde se instaló el sensor centa con n pro!" en espec8fico para la salida n pa:ete adicional adicional :e sea de tilidad7

@a configración se pede realiar desde el %en> grfico o de %anera te!tal en el %odo consola; la configración del pro!" es de %anera individal tanto para el servidor co%o en los sensores esta configración se de opciones7

-entro del %en> S-stem %en>  S-stem Settings se selecciona la opción .et&or/ Configuration Configuration

15

-esp?s es necesario entrar a  0ro1- Configuration " dentro de la opción se selecciona %odo manual " se configra el pro!"7

6na ve :e se le asignó el %odo %anal se le pondrn los datos :e pida co%o= *nter  pro!" ser na%e; enter pro!" password; pro!" port; pro!" -')7

Cando se concl"a con la actaliación de los datos es necesario regresar a la ventana principal " darle a Appl- c2anges para gardar los ca%bios " actaliarlos7

Otra for%a de ca%biar el pro!" es en %odo consola entrando del %en> grfico
16

Configuración de los rangos de redes que va a monitorear el sensor. @os rangos del %onitoreo es esencial para tener na bena ad%inistración de los activos del lgar de donde se instalar el servidor " los sensores del Alienvalt7 ara la configración en %odo grfico entra%os al %en> de Alienvalt " se selecciona la opción configure Sensor 7

6na ve dentro de del %en> de configración se selecciona la opción monitored net&or/s " dentro de esta configración pedir :e se asignen los rangos los cales sern %onitoriados; los rangos :e se asignen son independientes nos de otros " deben de ir correspondiente al lgar donde se instalar el servidor o los sensores para tener n so %s có%odo " controlado7

17

@a configración del rango de %onitoreo pede ser ta%bi?n en %odo consola si es %e %a"or co%odidad; para la configración del rango es necesario entrar a el %odo consola seleccionando la opción  $ailbrea/ t2is appliance; na ve dentro edita%os el arcnica%ente se separa por na co%a7

Configuración de la base de datos. @a configración de la base de datos es necesaria para tener bien estrctrado el  Alienvalt; con esto se tendr los datos al%acenados en na sola base de datos para facilitar la generación de reportes o consltas :e se deseen
ara lograr :e todos los sensores " el servidor sen na %is%a base de datos es necesario redireccionar la I de la base de datos de cada no de los sensores nico :e tiene de %anera predeter%inada instalado la base de datos7

*l direcciona%iento de la I de los sensores se ca%biar en la rta de etcossimossim6setupconf bscando la linea de 7database8 na ve bicada se observaran tres pntos en los cales se %encionan ip6db; pass; user 7 @a dirección ip6db %estra na dirección local; en el pass no est establecida ningna contraseFa " el user  es root; estos datos vienen de %anera predeter%inada al instalar el sensor7

18

Co%o se re:iere direccionar la base de datos de los sensores
ara el direcciona%iento no tenga ning>n proble%a
-esp?s es necesario gardar " salir; " para ter%inar se reconfigrar el siste%a para aplicar los ca%bios con ossim5reconfig *sto es necesario para cada no de los sensores7

19

Configuración de monitores de netflow. Cando se da alta n nevo sensor Alienvalt Alienvault5setup  " escoger la opción Kailbrea0 t
6na ve adentro ejectare%os el co%ando ossim5db lo cal dar el acceso a la base de datos de nestro Alienvalt " con esto poder ver cl es el identificador id :e ser necesario para darle de alta al sensor en el 'etflow7

ara ver el 66I- del sensor se ejecta la instrcción de  9u avcenter   " segida%ente el co%ando select uuid3 2ostname3 admin6ip from current6local L este co%ando %ostrar na tabla con todos los sensores :e est?n dados de alta en el Alienvalt %ostrando el identificador id;
)e copiar el identificador id :e corresponde al nevo sensor !!!!!!!!N!!!!N!!!!N !!!!N!!!!!!!!!!!!D; na ve obtenido este dato regresare%os al %odo consola del  Alienvalt para agregar el id del sensor7 *ditando la configración del netflow en  etcnfsennfsenconf 7

20

)e bscar la l8nea  sorces; a:8 se observar :e "a se centa con n sensor dado de alta :e corresponde a Alienvalt el cal tiene asignado s propio id; port; col; t"pe7

(a%bi?n se encontrar los %is%os par%etros pero en este caso no centa con id pero los otros par%etros son asignados de %anera defalt cando detecta :e se
*s necesario gardar los ca%bios " desp?s salir a la consola principal7  A
21

 Activación de los plugins de Alienvault  @os plgins de Alienvalt son esenciales para tener n ben control de los pntos :e se desee vigilar o tener n %ejor control de este; los plgins son independientes entre sensores " servidores esto :iere decir :e se pede activar plgins independientes en n sensor " otros diferentes en otro sensor o servido; " as8 poder cbrir de %ejor %anera los pntos d?biles del lgar donde se instale el Alienvalt7 ara la activación de los plgins es necesario entrar al %en> de Alienvalt; na ve adentro se debe seleccionar la opción Configre )ensor7

6na ve dentro del sensor Alienvalt se seleccionar la opción )elect -ata )orces7

a estando dentro del %en> -ata )orces se desplegar n %en> con todos los plgins :e tiene instalado el Alienvalt; para seleccionarlo es necesario ponerse sobre el plgin deseado " presionar espacio del teclado; cando concl"a con la selección de plgins se selecciona Aceptar7

 Al seleccionar aceptar es necesario regresar al %en> principal " seleccionar Appli 22

c2anges7

Instalación y configuración de Nagios en los sensores. *l 'agios pede ser instalado en cada no de los sensores "a :e ningno centa con este servicio; 'agios per%ite llevar n co%pleto control de la disponibilidad de los servicios; procesos " recrsos de n e:ipo; :e selen ser >tiles si se desea obtener  infor%ación de este tipo7 ara la instalación de 'agios en los sensores es necesario estar en %odo consola " escribir aptitude Install nagios' " la instalación co%enar7

ara la configrar el 'agios de %anera correcta
la


pingNservers I' c
s%tpNservers )+( c
dnsNservers -') c
23

6na ve ingresado estas l8neas es necesario gardar " salir para desp?s restablecer los valores del 'agios con la instrcción  etcinitdnagios' restart7

 A
24

Herramientas de la interfa web Alienvault !SSI".

Cuadros de mando#Información general.

*sta es la sección principal al abrir la interfa del Alienvalt O))I+; el cal %estra la infor%ación general sobre los eventos )I*+; las alar%as " el tipo de nivel de riesgo en la red; todo esto en for%a de grficas7 -entro de esta opción se pede seleccionar el tipo de vista :e se desea; se da la opción de visión e!ective; tic0ets; secrit"; ta!ono%"; networ0; vlnerabilities " real ti%e7

Cabe %encionar :e en este apartado ta%bi?n se tiene la opción de ordenar a gsto la visión de las grficas7 *n este apartado; son solo con fines infor%ativos " no se pede %odificar el contenido de algna grfica; son solo para fines infor%ativos7

25

Cuadros de mando#Información general#$eal %ime Copy.

*n esta pestaFa %estra infor%ación acerca de eventos :e sceden en la red en tie%po real; en el cal dice la fec
Cuadros de mando#Información general#Security. *n esta pestaFa %estra nas grficas infor%ativas acerca de eventos de segridad; co%o son los top 1/ de los ltiples eventos de segridad entre otros7

26

Cuadros de mando#Información general#%axonomy  *n esta pestaFa; %estra infor%ación acerca de los tipos de riesgo; virs " a%enaas :e peden e!istir en el siste%a7 +estran grficas de top 1/ de
Cuadros de mando#&stado despliegue#Cuadro de mando. *n este apartado se encentra n cadro de %ando con la localiación de los sensores; la visibilidad de los activos " la visibilidad de la red; todas estas a s ve %ostrando porcentaje de los aconteci%ientos antes %encionados7

Cuadros de mando#&stado despliegue#Avisos y errores.

27

*n esta sección se %estran los avisos " errores :e podr8a
Cuadros de mando#"apa de riesgos#Información general. *n esta sección; %estra n %apa del %ndo en el cal cada región tiene n valor  infor%ativo :e dice el tipo de riesgo :e est en cada región del planeta7 Al
Cuadros de mando#!%'#(atos de reputación.

28

*n este aparatado se %estra n %apa del %ndo el cal dice las I %aliciosas :e se encentran alrededor del planeta " los principales pa8ses con %a"or riesgo de I7 -e igal %anera se peden encontrar eventos )I*+ en diferentes partes del %apa7

 An)lisis#Alarmas. *n esta sección; se encentran en for%a de grficas las alar%as generadas por el siste%a el cal nos dice si e!iste alg>n siste%a co%pro%etido; si e!iste alg>n ata:e en la red; si e!iste alg>n descbri%iento de algna debilidad en el siste%a entre otros7 (a%bi?n %estra en tie%po real las alar%as :e se clasifican por estado; propósito " estrategia; el tipo de riesgo; el origen " el destino de la alar%a7

 An)lisis#&ventos SI&"#SI&" 

29

*n esta pestaFa se %estran los eventos )I*+ )ecrit" Infor%ation and *vent +anage%entD el cal %estran eventos en la red "a sea por >lti%o d8a; la >lti%a se%ana; el >lti%o %es o por n rango de fec
*n la parte inferior de esta %is%a pestaFa; se pede observar los tipos de eventos :e se %anifiestan en la red; las cales se describen por evento; la fec
 An)lisis#&ventos SI&"#%iempo*real.

30

*n esta sección; se encentran los eventos encontrados en el siste%a pero con la caracter8stica de ser eventos en tie%po real; los cales se %estran en na tabla con la fec
 An)lisis#%ic+ets. *n este apartado; se encentran los tic0ets generados por el siste%a los cales se encentran en na tabla con el código del tic0et; el t8tlo; la prioridad; la fec
&ntorno#Activos.

31

*n esta pestaFa se localian todos los activos escaneados por los sensores :e se encentran de las diferentes redes7 @os activos son los e:ipos :e se encentran en ciertas secciones de la red en donde se localian los sensores " se colocan en na tabla con el no%bre del e:ipo; la I del e:ipo; el alias del e:ipo; las alar%as; los eventos; las vlnerabilidades " detalles de cada e:ipo7 *stos activos se peden clasificar o encontrar por %edio de filtros; los cales se peden clasificar por activos :e tengan alar%as; activos :e tengan eventos; activos :e centen con vlnerabilidadesL o ta%bi?n se peden clasificar los activos por el %o%ento :e feron descbiertos; los cales se clasifican por activos aFadidos el >lti%o d8a; la >lti%a se%ana; el >lti%o %es o por n rango de fec
&ntorno#Activos#(escubrimiento de activos. *n esta sección se encentra la sección de descbri%iento de activos; la cal se descbren a trav?s de n escaneo donde se asigna el rango de Is :e se desea a escanear; los sensores :e se
&ntorno#,rupos y redes.

32

*sta sección se encentra divida en tres parte7 rpos; redes " grpos de redes7 *n la sección de grpos; se encentran al%acenados los grpos de n sean las necesidades del ad%inistrador de la red7

&ntorno#-ulnerabilidades. *n esta sección se %estra infor%ación general acerca del siste%a co%o por eje%plo n top 1/ de
&ntorno#erfiles.

33

*n esta sección se pede definir en varias secciones; las cales co%prenden los servicios; global; rendi%iento " %atri7 *n el apartado de servicios nos %estra na grfica con el trfico global del sensor seleccionado7 *n la i%agen :e se %estra a continación; se %estra na grfica en la cal se da a conocer el servicio de netflow en el sensor principal servidorD en el cal se %estra el trfico :e pasa a trav?s de ?l7

&ntorno#Netflow. *n la pestaFa de 'etflow; se encentran nas grficas :e enseFan el trafico (C; el trfico 6-; el IC+; entre otros protocolos de Internet :e pasan por los diferentes sensores de la red7

&ntorno#Captura de %r)fico.

34

Co%o el no%bre lo indica; en esta sección se realia la captra de trfico de la red; en la cal se selecciona el sensor a tiliar para la captra; el tie%po esti%ado de la captra; el ta%aFo de pa:etes de la captra; el origen " el destino de la captra de trfico7 Al a co%pletar estas partes; se selecciona lanar captra " nos generar n arc
&ntorno#(isponibilidad#"onitoriando *n esta pestaFa; %estra seg>n el sensor seleccionado los activos disponibles al %o%ento el cal se peden tiliar filtros co%o detalles del e:ipo; detalles de servicio; descripción de estado; %alla de estado; %apa de estado; proble%as de servicio; proble%as de e:ipo; interrpciones en la red; entre otros7

&ntorno#(isponibilidad#Informes.

35

*sta sección es si%ilar a la de disponibilidad%onitoriando; solo :e en esta sección se generan infor%es sobre tendencias; disponibilidad;
&ntorno#(etección. *n esta sección se encentra con la detección de tipo HI-) detección de intrsos en el
Informes#Información general.

36

*sta sección se genera reportes de todo tipo de acciones7 *n la parte inferior se %enciona el reporte de alar%as; detalles de activos; infor%e de disponibilidad; reporte bssiness T co%pliance I)O CI; infor%e geogrfico; infor%e de %?tricas; eventos )I*+; a%enaas " base de datos de vlnerabilidades; estado de tic0ets; infor%e de tic0ets; infor%e de actividad de sarios e infor%e de vlnerabilidadesL todos estos infor%es se peden generar "a sea por n doc%ento -G; o enviar n correo electrónico con los datos del infor%e7

Configuración#Administración#/suarios

37

*n esta sección del Alienvalt O))I+; se encentra la parte ad%inistrativa del progra%a; pes a:8 se conte%pla la ad%inistración de sarios; es decir; la creación de sarios nor%ales; sarios ad%inistrativos; %odificar sarios " ta%bi?n eli%inar sarios; an:e esta >lti%a opción solo es posible si es el ad%inistrador del siste%a7 (a%bi?n se pede ver la actividad de cada no de los sarios registrados en el siste%a7

Configuración#Administración#rincipal. *n esta sección se peden realiar copias de segridad del siste%a; %odificación de tic0ets; %?todosEopciones de login; %?tricas; interca%bio de a%enaas; %odificar el fra%ewor0 de O))I+; %odificar pol8ticas de contraseFas; las actividades de los sarios " %odificar el escner de vlnerabilidades7

Configuración#Administración#Copia de seguridad.

38

*n esta sección se peden generar o restarar algna copia de segridad en el siste%a O))I+; tiliando el gestor de copias de segridad " dar de alta en las feclti%os eventos de bac0p7

Configuración#(espliegue#Componentes#Alienvault Center  *n esta sección se encentra toda la infor%ación de los co%ponentes; tanto co%o sensores " servidores7 'os %estran los datos de estos co%o son el no%bre; la I; el estado; el so de la RA+; so del )PA; so de la C6; nevas actaliaciones7

Configuraciones#(espliege #Componentes#Sensores.

39

Co%o s no%bre lo indica; a:8 se encentran todos los sensores :e estn dados de alta en el siste%a; de igal %anera se encentran datos co%o no%bre; I; perto; prioridad; estado " descripción7

Configuraciones#(espliege #Componentes#Servidores.  Al igal :e en la sección anterior; a:8 se conte%plan los no%bres; direcciones I; pertos; estados " descripción de los servidores tiliados en el Alienvalt7

Configuración#(espliege#rogramador 

40

*n esta sección se encentra la fnción de progra%ar el '%ap; el O)C " P+I7 *n este caso se peden crear; %odificar " eli%inar los escaneos7

Configuración#(espliegue#/bicaciones. *n este aparatado se conte%plan las bicaciones en donde se encentra instalado el O))I+7 )e pede asignar el no%bre de la bicación; na descripción; la localiación; la latitd " la longitd7 -e igal %anera se peden crear; %odificar o eli%inar las bicaciones en cal:ier %o%ento :e sea necesario7

Configuración#Info. Sobre amenaas#ol0tica.

41

*n esta sección se le peden asignar las pol8ticas :e no necesite a los diferentes grpos :e se encentran dentro de los :e es el siste%a de Alienvalt7 )e peden asignar condiciones tanto al origen de na %:ina co%o a s destino al igal :e a los pertos de origen; pertos de destino " tipos de eventos7 (a%bi?n se peden asignar consecencias a acciones; eventos )I*+; logger " reenv8o de eventos7  de si%ilar for%a se peden asignar condiciones a cada pol8tica :e se desee i%ple%entar7

Configuración#Info. Sobre amenaas#Acciones. *n esta sección se encentran las acciones :e se
Configuración#Info. Sobre amenaas#uertos.

42

*n esta sección se encentran descritos los pertos; los protocolos de cada perto; el tipo de servicio :e se tilia " la descripción del perto7 )e peden tener na vista individal por perto o se peden visaliar por grpos de pertos7 -e igal %anera se peden crear nevos pertos; %odificar pertos " eli%inar pertos7

Configuración#Info. Sobre amenaas#(irectivas. *n esta sección es donde se encentran las directivas de correlación7 @as correlaciones tienen el propósito de bscar evidencias :e co%preben si n evento de segridad es cierto o si se trata de n falso positivo7 *n las directivas de correlación; se i%ple%entan las %edidas necesarias para c%plir estos par%etros7 *n esta sección se peden encontrar varios tipos de directivas preestablecidas por el siste%a; ta%bi?n se peden crear nevas directivas; se peden co%probar directivas; reiniciar servicios " bscar el no%bre de algna directiva7

Configuración#Info. Sobre amenaas#Cumplimiento de normativa.

43

*n esta sección se peden i%ple%entar las nor%ativas internacionales de segridad; co%o es la nor%a I)O 2$//1 o la CI -)) 27/7 *n esta parte se desglosan cada na de las partes de la I)O " se pede decidir :e i%ple%entar " :e no7

Configuración#Info. Sobre amenaas#Correlación cruada.

@a correlación crada per%ite prioriar o depreciar eventos a los :e sabe%os :e so%os vlnerables %ediante el crce de infor%ación proveniente de detectores " analiadores de vlnerabilidades7 @a correlación crada depende de la base de datos de vlnerabilidades espec8ficas " tablas de correlación crada para cada detector7

*n esta sección se peden ver los tipos de correlaciones :e e!isten7 )e aprecian en na tabla donde se describe el no%bre de origen de datos; el tipo de evento; el no%bre de referencia; el no%bre referencia )I-7 Al igal :e en secciones anteriores; se peden crear nevas correlaciones; %odificar correlaciones " eli%inar correlaciones7

44

Configuraciones#Info. Sobre amenaas#!rigen de datos.  A trav?s de na tabla se pede conte%plar el origen de datos en cal se describen la Iorigen de datos; el no%bre; el tipo; el tipo de prodcto " la descripción7 (a%bi?n se peden editar los datos; se peden ad%inistrar referencias de eventos " restarar plgins7

Configuración#Info. Sobre amenaas#%axonom0a.

45

*n este apartado se conte%plan todas las categor8as :e se tiene acerca de los or8genes de datos :e se encentran en la ta!ono%8a del siste%a7 -entro de cada categor8a se pede editar los or8genes de datos; ad%inistrar referencia de eventos; restarar plgins " crear nevos or8genes de datos7

Configuración#Info. Sobre amenaas#1ase de conocimiento. *n esta sección se encentra na base de datos con todos los aconteci%ientos :e
 Al
46

Configuraciones#"i perfil.

*n esta parte se encentra en la parte sperior derec
47

Configuraciones#Sesiones actuales.

*n esta sección se peden apreciar las sesiones de los sarios :e en este preciso %o%ento estn activos7 'os %estra en na tabla el no%bre del sario; s dirección I; el no%bre del e:ipo; el agente; la I- de sesión; la feclti%a actividad " las acciones de este7 )i se es n sario ad%inistrador; se peden sacar a los de%s sarios7

48

Configuraciones#Actividad de usuarios.

49

*n esta pestaFa se peden observar toda la actividad de los sarios con el siste%a7 )e %estran desde la actividad %s reciente
Soporte#Ayuda

50

*sta sección se encentra en la parte sperior derec
Soporte,Descargas

51

*n esta sección encontra%os na serie de progra%as :e nos a"daran a co%pletar acciones :e re:iera el Alienvalt7 *ncontra%os
Actualización del sistema a 4!"  A partir del lnes /& de jnio de 2/14; Alienvalt 47.7/ est disponible en general para

52

todos los clientes nevos " e!istentes7 Alienvalt ani%a o reco%ienda a los sarios aplicar pri%ero la actaliación a n siste%a de preba para co%prender " aprender la neva fncionalidad antes de actaliar los siste%as de prodcción7 Información importante de actualiación. @a neva versión del Alienvalt incl"e actaliaciones para el servidor web Apacblicos ))H para siste%as  Alienvalt conectados7 RN2. La configuración de reenvío de alarmas/ eventos se han cambiado.  Antes de la versión 47. los sarios tendr8an :e aFadir n nevo servidor para el reenv8o de alar%asEeventos agregando el servidor principal en el servidor niFo7 *n la versión 47. esto
53

•

•

•

•

•

•

•

•

•

•

•

•

'eva i%agen +ware virtal disponible para el sensor estndar con interfaces de red #,197 @os clientes :e s:eda )I*+7 *l agente de Alienvalt anico para cada bicación de arcltiples servidores de agente HI-) antes de pasar a la etapa de gestión de registros7 )e %ero de activos co%o na col%na en lgar de sbte!to gris para
;ulnerabilidades resueltas con la actualización

54

Catro vlnerabilidades feron descbiertas " :e se blica ss< :e se pede tiliar para iniciar sesión en el e:ipo7 rodctos afectados= Alienvalt v47$7/ e inferiores7 Gactores atenantes= *!ploit re:iere acceso a la red local para la instalación de  Alienvalt7 *!ploit no re:iere atenticación7 37 Código de vlnerabilidad= AN113.&7 -escripción= 6na vlnerabilidad de divlgación de infor%ación fe descbierta " divlgada de for%a privada7 *sta vlnerabilidad podr8a per%itir a n atacante acceder a infor%ación confidencial de la %e%oria %ediante el env8o de peticiones especial%ente diseFados al servidor7 rodctos afectados= Alienvalt v747$7/ e inferiores7 Gactores atenantes= *!ploit re:iere acceso a la red local para la instalación de  Alienvalt7 *!ploit no re:iere atenticación7

47 Actaliación de segridad en -ebian= AN11$3#7 -escripción= arios pa:etes de -ebian se
55