Manuales Ejemplos Alienvault Usm Ossim

Manuales Manuales y ejemplos ejemplos AlienV AlienVault ault USM OSSIM OSSIM | openrede openredess - Networkin... Networkin...

http://www http://www.openre .openredes. des.com/cat com/category egory/alienv /alienvault-us ault-usm-ossim m-ossim/manua /manuales-e les-eje... je...

AlienVault USM OSSIM

Me gusta Compartir

182

Buscar Manuales, tutoriales, guías y ejemplos de configuración de AlienVault OSSIM, el mejor SIEM del mercado, en español. Con openredes aprende a usar las mejores herramientas open source de redes. Con la tecnología de

Alojado en HACE 1 AÑO En esta entrada iremos haciendo un resumen de las rutas, rutas, los directorios y directorios y la localización de los ficheros de configuración relevantes configuración relevantes o a tener en cuenta en OSSIM y OSSIM y en AlienVault USM. USM. Directorios: Perfil sensor Ruta a ficheros de plugins – /etc/ossim/agent/plugins/ /usr/share/ossim/scripts/ /usr/share/ossim/scripts/ Directorio de configuraciones curtom para rsyslog – /etc/rsyslog.d/ (cada vez que arranca rsyslog se leen todos los .conf de este directorio) Directorio de almacenamiento de bases de datos de eventos almacenados en cache por el agente /var/ossim /agent_events/ contiene ficheros .db en los que se almacena la cache de eventos en caso de que que el sensor no pueda conectar con el server al que se los ha de enviar. Perfil server (versión AlienVault USM) Ruta a almacen de logs – /var/ossim/logs/ Ruta server OSSEC – /var/ossec/ Ruta base de datos – /var/lib/mysql/ Ruta a directivas de correlación de usuario – /etc/ossim/server/context-hash/ (desde la versión 4.2 en adelante) Ruta a almacen de report custom – /usr/share/ossim/www/tmp/ /usr/share/ossim/www/tmp/ /usr/share/ossim/scripts/ /usr/share/ossim/scripts/ Ruta a todos los ficheros sql de cada uno de los plugins q ue contienen los plugin_sids /usr/share/doc/ossimmysql/contrib/plugins/ Ruta a los

Publicidad

Traductor

Manuales y ejemplos AlienVault USM OSSIM | openredes - Networkin...

http://www.openredes.com/category/alienvault-usm-ossim/manuales-eje...

HACE 1 AÑO Para proceder con la actualización de la plataforma AlienVault USM – OSSIM se sugiere seguir los siguientes pasos: Entender bien lo que hay que hacer antes de proceder. Sigue leyendo. Hacer un backup de cada equipo de la plataforma AlienVault USM – OSSIM. Proteger los plugins personalizados o que hayamos modificado. Desde versión 4.4 de AlienVault USM – OSSIM la actualización ya no mata los plugins personalizados almacenados como .local en el directorio /etc/ossim/agent /plugins/, así que lo mejor, si aún no lo haces, es copiar los plugins que tienes en uso con el mismo nombre y añadiendo .local (quedando por ejemplo apache.cfg.local). A partir de a hora lo mejor es editar estos .local para hacer modificaciones y dejar intactos los originales ya que en cada actualización se sobrescribirán. Proteger los plugin sids personalizados. La versión 4.4 aun sigue aniquilando los sids personalizados, estos se almacenan en la base de datos y son machacados en cada actualización. Para evitarlo lo mejor es acostumbrarse a crear nuevos plugin sids d esde un fichero sql (los originales están en el directorio /usr/share/doc/ossim-mysql/contrib /plugins/ comprimidos o almacenados como .sql) y

HACE 2 AÑOS Un aporte muy interesante de Ferran para OSSIM y AlienVault USM es su versión corregida de regexp.py. Para los que no lo sepan regexp.py es un script de OSSIM y AlienVault USM que se ubica en /usr/share/ossim/scripts /regexp.py y trata de ser una útil herramienta para ayudar a los técnicos en la ardua tarea de creación de plugins para OSSIM, mas bien trata de ser út il para la parte de testing de nuevos plugins. regexp.py es un script que lee un fichero de logs y lo evalúa contra una expresión regular concreta o un fichero de plugin que contenga varias expresiones regulares con las que han de matchear los eventos que se encuentran en el fichero de log s y nos dice el resultado, de forma que sabremos si nuestras expresiones regulares son correctas o no. Y digo que “regexp.py trata de ser una útil herramienta” básicamente porque no funciona bien y sus errores (los mismos desde el origen de los tiempos…) lo hacen i nservible, estos son los errores que nosotros hemos detectado en el script regexp.py: No respeta el orden de las expresiones regulares contenidas dentro del fichero de plugin que usemos. El modificador “y” (show non matching lines) no funciona. No funciona el uso de los

Nube actualizar vyatta administración Vyatta AlienVault AlienVault USM OSSIM autenticacion openvpn certificados vpn vyatta

configuracion firewall vyatta HACE 4 AÑOS En esta entrada un pequeño tutorial para dar de alta los clientes en el servidor de OSSEC, tanto estando instalado en OSSIM o en un servidor aislado. Dar de alta el nuevo cliente en el servidor

configuracion openvpn vyatta configuracion vyatta configurar vyatta

firewall open source firewall virtual ejemplos vyatta

firewall vyatta frontend vyatta

instalacion plugin OSSIM login local usuario openvpn manuales vyatta mendocino

monitorizacion redes monitorización

openvpn vyatta plugin vyatta OSSIM Radiohead repositorios Debian Vyatta repositorios vyatta router open source SSH the king of limbs thinclient linux tips linux

tips vyatta vc6.2 virtualizacion redes virtual router VPN vyatta

vyatta vyatta CLI



Extraer la key para el nuevo agente

vyatta core vyatta core 6.2 vyatta español

vyatta firewall

vyatta plugin OSSIM vyatta router vybuddy

WP Cumulus Flash tag cloud by Roy Tanck requires Flash Player 9 or better.

Lo mas visto HACE 4 AÑOS English version Guía paso a paso pa ra actualizar la versión del plugin de Vyatta que estemos usando en el agente de OSSIM. Si no tienes registrado el plugin de Vyatta en el agente de OSSIM para poder ponerlo en funcionamiento primero deberías pasarte por la guía de instalación del plugin de Vyatta en el agente de OSSIM. Para actualizar la versión del plugin: 1. Descargamos el fichero vyatta.cfg de la última versión del plugin de Vyatta y lo introducimos en el agente de OSSIM en la ruta /etc/ossim/agent/plugin/ El plugin lo podemos descargar desde su página y guardarlo después en la ruta /etc/ossim/agent/plugin/ del agente de OSSIM. O directamente desde OSSIM con los siguientes comandos:

Nota: Cambiar vx.xx por la última versión 2. Descargamos el fichero vyatta.sql de la última versión del plugin de V yatta y lo introducimos en el agente d e OSSIM en la ruta /usr/share/doc/ossim-mysql/contrib/plugins/ El plugin lo podemos descargar desde su página y guardarlo después en la ruta /etc/ossim/agent/plugin/ del agente de

nslookup – obtener IP de un dominio, servidores de nombres DNS, DNS inverso y servidores de mail de dominios - 83.380 visitas Los 25 mejores comandos/trucos SSH - 64.880 visitas Error “user is not in the sudoers file. This incident will be reported.” Habilitar permiso de ejecución de sudo - 38.381 visitas Evitar ERROR 1130 (HY000): Host ‘x.x.x.x’ is not allowed to connect to this MySQL server – configurar acceso remoto al servidor MySQL - 29.287 visitas Configurar un cliente OpenVPN en Windows con OpenVPN GUI para conectar a una VPN RA en Vyatta - 26.341 visitas Brico: Conectar mando del parking o garaje a las luces largas o ráfagas con temporizador - 23.177 visitas Instalar GNS3 0.8.2, Dynamips 0.2.8-RC3 y Qemu 0.11 en Ubuntu 11.10 Oneiric Ocelot - 19.484 visitas Formato de la cabecera de segmentos TCP - 18.039 visitas Vyatta en español - 17.872 visitas Configuración de ejemplo en Vyatta - 17.434 visitas

HACE 4 AÑOS Versión en español In order to understand and n ormalize information sent by certain device OSSIM agent needs a plugin focused to this device. A plugin consists basically on regular expressions and a list that make possible to identify unambiguously each produced event. Once normalized in formation is obtained using the plugin it is passed to other agent functions which send the information to OSSIM server as events form. OSSIM considers two kinds of plugins, detectors and monitors plugins. Vyatta plugin needs to be a detector plugin. Before face up to a creation of a detector plugin is very important to have the working flow clear: The device generates an event. Syslog module of the device sends the event to OSS IM agent. On OSSIM agent rsyslog gets the event on 514 UDP port (default). According to rules configured on rsyslog (/etc/rsyslog.conf and /etc/rsyslog.d/) it will send the event to the corresponding logs file. Plugin will read events collected on corresponding log file (specified with “locate” variable on .cfg plugin file). Each event from the log file will be normalized according to plugin rules. Each normalized event will be sent to OSSIM server with its corresponding

Destacados Índice de entradas relativas al Sistema Operativo de red Vyatta Vyatta hispano Índice de entradas relativas al SIEM open source OSSIM Índice de la sección de apuntes de redes Plugin para la integración de Vyatta en OSSIM by openredes Guía de instalación del plugin de Vyatta en OSSIM Topología de ejemplo como base a la sección de tutoriales de configuración de Vyatta Tutorial, manual de configuración del módulo de firewall en Vyatta vbash, la interfaz de línea de



Cuidado con las actualizaciones de Vyatta desde la versión VC6.2!! Música selecta

HACE 4 AÑOS Versión en español Steps below will guide you to upgrade your Vyatta plugin version for OSSIM agent. If you haven’t registered a Vyatta plugin on OSSIM agent yet then you need to have a look to the installation guide first. To upgrade the Vyatta plugin version: 1. Download vyatta.cfg file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file on OSSIM agent at /etc/ossim/agent/plugin/ path. You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path. Or you can do it directly with these commands:

Comentarios recientes Maximiliano Hola, quiero saber la forma de copiar un archivo grande desde una maquina remota, a un equipo local. El problema es que donde yo accedo a […] HACE 2 MESES

Note: Change vx.xx with the latest version. 2. Download vyatta.sql file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file on OSSIM agent at /usr/share/doc/ossim-mysql/contrib/plugins/ path. You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path. Or you can do it directly with these commands:

Yohan quedo corrida la información Origen: 192.168.0.0/24 Destino: 200.60.0.0/24, 200.50.0.0/24 […] HACE 2 MESES

Yohan Estimados, Muy útil esta información. Estoy intentando implementar una política que haga lo siguiente: Necesito limitar el ancho de […] HACE 2 MESES

HACE 4 AÑOS English version Para que el agente de OSSIM pued a interpretar y estandarizar la información que un determinado dispositivo le envía es necesario que disponga de un Plugin enfocado en ese dispositivo. Un plugin básicamente consiste en una serie de expresiones regulares y una lista que permite identificar de forma inequívoca el tipo de evento producido. Una vez se obtiene la información estandarizada se pasa a otras funciones del agente para ser enviada al server de OSSIM en forma de eventos. OSSIM considera dos tipos de plugins, detectores y monitores. Los detectores leen los logs que se almacenan de un determinado dispositivo y los estandarizan para que el agente pueda enviarlos al servidor de OSSIM. Los monitores reciben indicaciones del servidor de OSSIM y analizan de forma activa los dispositivos. Según lo anterior, el plugin de Vyatta será de tipo detector. Antes de enfrentar la creación de un plugin detector hay q ue tener claro el flujo de funcionamiento: El dispositivo genera un evento. Mediante syslog lo envía al agente de OSSIM. Rsyslog recibe el evento por el puerto 514 UDP (por defecto). Según las reglas con las que está configurado rsyslog enviará el evento a un

uape Hola Chicos queria haceros una pregunta, he buscado por todo lado la solucion a mi problema pero nada , estoy intentando entrar por ssh […] HACE 3 MESES

iluminati No está mal, pero para un puerta... pero y si tienes 2 puertas o dos garajes¿? Yo he montado arrafagas y va de coña. Saludos HACE 9 MESES

MOSTRAR MÁS

Entradas recientes

HACE 4 AÑOS English version Una vez actualizado o dado de alta el nuevo plugin de Vyatta en el agente de OSSIM podemos hacer las siguientes pruebas y ver que estamos recibiendo en el servidor de OSSIM todos los eventos reflejados en el nuevo plugin de forma correcta. Con estos pasos podemos provocar en nuestro sistema Vyatta que un archivo con logs de ejemplo sea logueado y enviado al agente de OSSIM el cual deberá analizarlos

Resumen de rutas y ficheros de configuración en OSSIM y AlienVault USM (0) En esta entrada iremos haciendo un resumen de



1. En OSSIM abrimos la ventana de t iempo real desde Analysis - SIEM - Real Time: 2. En la máquina Vyatta descargamos de openredes los archivos de ejemplo de logs, hasta ahora los logs de ejemplo disponibles son: sample_firewall (2,8 KiB, 1.859 hits) sample_ospf (1,2 KiB, 675 hits) sample_ovpn (3,6 KiB, 624 hits) sample_pamunix (970 bytes, 727 hits) sample_pmacctd (85 bytes, 512 hits) sample_vyatta (127 bytes, 583 hits) sample_wlb (171 bytes, 525 hits) sample_zebra (661 bytes, 566 hits)

y la localización de los ficheros de configuración relevantes o a […] HACE 1 AÑO

[otrs] – Backend de autenticación de agentes por LDAP (0) La configuración de OTRS para que use un servidor LDAP como backend de autenticación de agentes, por ejemplo OpenLDAP, Active Directory, […] HACE 1 AÑO

Por ejemplo:

3. Lanzamos el fichero a syslog con el comando logger:

4. A la vez que ejecutamos el comando

Actualización de la plataforma AlienVault USM – OSSIM (0) Para proceder con la actualización de la plataforma AlienVault USM - OSSIM se sugiere seguir los siguientes pasos: Entender bien lo que […] HACE 1 AÑO

[otrs] – Scheduler is not running (Debian) (0) Si instalas OTRS en Debian usando este manual de instalación de OTRS en Linux, el paso final es el de añadir el script del programador de […] HACE 1 AÑO

Brico: Conectar mando del parking con temporizador en luces largas de una Husqvarna Nuda 900 (1) Una de las modificaciones mas necesarias a nivel práctico para una moto es, en mi opinión, la de conectar el mando del parking a las luz de […] HACE 1 AÑO

MOSTRAR MÁS

Blogroll Be virtual, my friend Blog de Víctor M. Fernández CCIE en español



Comandante Linux HACE 4 AÑOS

Darax Blog Versión en español

El blog de Elio Bastias

When the vyatta plugin is upgraded or registered on the OSSIM agent we can check its operation and see that OSSIM server is receiving all events reflected on plugin correctly. Following steps below we can cause a sample log file to be logged on our vyatta system and then sent to OSSIM agent wich has to analyze and normalize them. 1. On OSSIM go to A nalysis - SIEM - Real Time to see events arriving to OSSIM server in real time: 2. On your Vyatta box download form openredes sample log files. Up to date existing sample log files are: sample_firewall (2,8 KiB, 1.859 hits) sample_ospf (1,2 KiB, 675 hits)

El Rincón Exquisito Enseñantes del Arenal. Academia Ripollés de Sevilla Entorno Digital Inteligente

sample_ovpn (3,6 KiB, 624 hits) sample_pamunix (970 bytes, 727 hits)

lapipaplena.net

sample_pmacctd (85 bytes, 512 hits)

Nicklabs

sample_vyatta (127 bytes, 583 hits)

Pipo E2H - Soluciones TIC avanzadas.

sample_wlb (171 bytes, 525 hits) sample_zebra (661 bytes, 566 hits)

Programación @Droope

For example: Virtulinux 3. Trigger sample log file to syslog with logger command:

vyatta4people.org [BACK DOOR]

4. Try to see real time window on OSSIM at the same time that we execute command above and you could see simulated logs arriving to

Enlaces de interes AlienVault Open Threat Exchange! Documentación HTML Vyatta

1

2

Siguiente »

Grupo Vyatta hispano en Linkedin OSSIM, the Open Source SIEM Página en la comunidad Vyatta sobre openredes Unofficial Vyatta Wiki Vyatta community

openredes, networking open source - Vyatta, OSSIM, Nagios, ntop...



Hay otros mundos pero están dentro de este - openredes, openmind ¿Te interesa Vyatta? únete a nuestro grupo Vyatta hispano en Linkedin!! Copyright © 2015 openredes - Networking Open Source | Publicaciones bajo Licencia Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported .

Funciona gracias a Wordpress Tema Mystique de digitalnature |

Feeds RSS | HTML 5

Manuales Ejemplos Alienvault Usm Ossim

Recommend Documents