OSSIM

Manuales, tutoriales, guías y ejemplos de configuración de AlienVault OSSIM, el mejor SIEM del mercado, en español. Con openredes aprende a usar las mejores herramientas open source de redes.

Los 25 mejores comandos/trucos SSH

Los 25 mejores comandos/trucos SSH

9
hace 1 año
por hnoguera en , , , 16.807 visitas

Esta entrada es una simple traducción con algunas notas personales de este post en el que se recogen, explican y enumeran los 25 comandos SSH más útiles, más populares y por lo tanto más votados según el ranking de CommandLineFu. De esta forma haremos un repaso y/o aprenderemos nuevos comandos SSH de esta potente herramienta, OpenSSH, con ilimitadas posibilidades.

Los 25 mejores comandos/trucos SSH

  1. Copiar una clave SSH a un host para que permita logins SSH sin password: ssh-copy-id user@host

    Con el comando ssh-keygen podemos generar las claves.

  2. Iniciar un túnel SSH desde el puerto 80 de un host remoto al puerto 2001 de nuestra máquina local:

    ssh –N –L2001:localhost:80 host_remoto

    Ahora puedes acceder al sitio web remoto desde http://localhost:2001/

  3. Enviar el sonido del micrófono local a los altavoces de un host remoto:

    dd if=/dev/dsp | ssh –c arcfour –C user@host dd of=/dev/dsp

    Esto enviará el sonido del puerto del micrófono como salida al puerto de los altavoces del equipo objetivo por SSH. La calidad del sonido es muy mala, por lo que se escuchará con mucho ruido de fondo.

  4. Comparar un archivo remoto con uno local: ssh user@host cat /ruta/del/archive_remoto | diff Más >
ossec_logo

Alta de nuevos clientes en el servidor de OSSEC

3
hace 2 años
por hnoguera en , , , 1.292 visitas

En esta entrada un pequeño tutorial para dar de alta los clientes en el servidor de OSSEC, tanto estando instalado en OSSIM o en un servidor aislado.

  • Dar de alta el nuevo cliente en el servidor

    (server)# /var/ossec/bin/manage_agents **************************************** * OSSEC HIDS v0.8 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your actions: A,E,R or Q: a - Adding a new agent (use ‘q’ to return to main menu). Please provide the following: * A name for the new agent: linux1 * The IP Address for the new agent: 192.168.2.32 * An ID for the new agent[001]: Agent information: ID:001 Name:linux1 IP Address:192.168.2.32 Confirm adding it?(y/n): y Added.

  • Extraer la key para el nuevo agente

    (server)# /var/ossec/bin/manage_agents **************************************** * OSSEC HIDS v0.8 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). Más >

Guía de actualización del plugin de Vyatta en OSSIM

5
hace 2 años
por hnoguera en , , 944 visitas

English version

Guía paso a paso para actualizar la versión del plugin de Vyatta que estemos usando en el agente de OSSIM. Si no tienes registrado el plugin de Vyatta en el agente de OSSIM para poder ponerlo en funcionamiento primero deberías pasarte por la guía de instalación del plugin de Vyatta en el agente de OSSIM.

Para actualizar la versión del plugin:

  1. Descargamos el fichero vyatta.cfg de la última versión del plugin de Vyatta y lo introducimos en el agente de OSSIM en la ruta /etc/ossim/agent/plugin/
    • El plugin lo podemos descargar desde su página y guardarlo después en la ruta /etc/ossim/agent/plugin/ del agente de OSSIM.
    • O directamente desde OSSIM con los siguientes comandos:

      OSSIM:~# cd /tmp OSSIM:/tmp# wget http://www.openredes.com/wp-content/files/vx.xx/vyatta.cfg OSSIM:/tmp# mv vyatta.cfg /etc/ossim/agent/plugins/vyatta.cfg

      Nota: Cambiar vx.xx por la última versión

  2. Descargamos el fichero vyatta.sql de la última versión del plugin de Vyatta y lo introducimos en el agente de OSSIM en la ruta /usr/share/doc/ossim-mysql/contrib/plugins/

    • El plugin lo podemos descargar desde su página y guardarlo después en la ruta /etc/ossim/agent/plugin/ del agente de

    Más >

Vyatta plugin for OSSIM installation guide

5
hace 2 años
por hnoguera en , , 1.843 visitas

Versión en español

In order to understand and normalize information sent by certain device OSSIM agent needs a plugin focused to this device. A plugin consists basically on regular expressions and a list that make possible to identify unambiguously each produced event. Once normalized information is obtained using the plugin it is passed to other agent functions which send the information to OSSIM server as events form. OSSIM considers two kinds of plugins, detectors and monitors plugins. Vyatta plugin needs to be a detector plugin. Before face up to a creation of a detector plugin is very important to have the working flow clear:

  • The device generates an event.
  • Syslog module of the device sends the event to OSSIM agent.
  • On OSSIM agent rsyslog gets the event on 514 UDP port (default).
  • According to rules configured on rsyslog (/etc/rsyslog.conf and /etc/rsyslog.d/) it will send the event to the corresponding logs file.
  • Plugin will read events collected on corresponding log file (specified with “locate” variable on .cfg plugin file).
  • Each event from the log file will be normalized according to plugin rules.
  • Each normalized event will be sent to OSSIM server with its corresponding Más >
vyatta_plugin_actu

Vyatta plugin for OSSIM upgrade guide

5
hace 2 años
por hnoguera en , , 948 visitas

Versión en español

Steps below will guide you to upgrade your Vyatta plugin version for OSSIM agent. If you haven’t registered a Vyatta plugin on OSSIM agent yet then you need to have a look to the installation guide first.

To upgrade the Vyatta plugin version:

  1. Download vyatta.cfg file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file on OSSIM agent at /etc/ossim/agent/plugin/ path.
    • You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.

    • Or you can do it directly with these commands:

      OSSIM:~# cd /tmp OSSIM:/tmp# wget http://www.openredes.com/wp-content/files/vx.xx/vyatta.cfg OSSIM:/tmp# mv vyatta.cfg /etc/ossim/agent/plugins/vyatta.cfg

      Note: Change vx.xx with the latest version.

  2. Download vyatta.sql file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file on OSSIM agent at /usr/share/doc/ossim-mysql/contrib/plugins/ path.
    • You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.

    • Or you can do it directly with these commands:

      OSSIM:/tmp# wget
    Más >
vyatta_plugin1

Guia de instalación del plugin de Vyatta en OSSIM

7
hace 2 años
por hnoguera en , , 1.694 visitas

English version

Para que el agente de OSSIM pueda interpretar y estandarizar la información que un determinado dispositivo le envía es necesario que disponga de un Plugin enfocado en ese dispositivo. Un plugin básicamente consiste en una serie de expresiones regulares y una lista que permite identificar de forma inequívoca el tipo de evento producido. Una vez se obtiene la información estandarizada se pasa a otras funciones del agente para ser enviada al server de OSSIM en forma de eventos. OSSIM considera dos tipos de plugins, detectores y monitores. Los detectores leen los logs que se almacenan de un determinado dispositivo y los estandarizan para que el agente pueda enviarlos al servidor de OSSIM. Los monitores reciben indicaciones del servidor de OSSIM y analizan de forma activa los dispositivos. Según lo anterior, el plugin de Vyatta será de tipo detector. Antes de enfrentar la creación de un plugin detector hay que tener claro el flujo de funcionamiento:

  • El dispositivo genera un evento.
  • Mediante syslog lo envía al agente de OSSIM.
  • Rsyslog recibe el evento por el puerto 514 UDP (por defecto).
  • Según las reglas con las que está configurado rsyslog enviará el evento a un Más >

Guía de testeo del plugin de Vyatta para OSSIM

5
hace 2 años
por hnoguera en , , 736 visitas

English version

Una vez actualizado o dado de alta el nuevo plugin de Vyatta en el agente de OSSIM podemos hacer las siguientes pruebas y ver que estamos recibiendo en el servidor de OSSIM todos los eventos reflejados en el nuevo plugin de forma correcta. Con estos pasos podemos provocar en nuestro sistema Vyatta que un archivo con logs de ejemplo sea logueado y enviado al agente de OSSIM el cual deberá analizarlos y normalizarlos.

  1. En OSSIM abrimos la ventana de tiempo real desde Analysis - SIEM - Real Time:

  2. En la máquina Vyatta descargamos de openredes los archivos de ejemplo de logs, hasta ahora los logs de ejemplo disponibles son:

      sample_firewall (2,8 KiB, 360 hits)

      sample_ospf (1,2 KiB, 233 hits)

      sample_ovpn (3,6 KiB, 221 hits)

      sample_pamunix (970 bytes, 217 hits)

      sample_pmacctd (85 bytes, 194 hits)

      sample_vyatta (127 bytes, 232 hits)

      sample_wlb (171 bytes, 212 hits)

      sample_zebra (661 bytes, 206 hits)

    Por ejemplo:

    vyatta:~# cd /tmp vyatta:/tmp# wget http://www.openredes.com/wp-content/files/sample_ospf

  3. Lanzamos el fichero a syslog con el comando logger:

    vyatta:/tmp# logger -t ospfd[12122] -f sample_ospf

  4. A la vez que ejecutamos el comando

    Más >
vyatta_plugin_test2

Testing Vyatta plugin for OSSIM

6
hace 2 años
por admin en , , 1.044 visitas

Versión en español

When the vyatta plugin is upgraded or registered on the OSSIM agent we can check its operation and see that OSSIM server is receiving all events reflected on plugin correctly. Following steps below we can cause a sample log file to be logged on our vyatta system and then sent to OSSIM agent wich has to analyze and normalize them.

  1. On OSSIM go to Analysis - SIEM - Real Time to see events arriving to OSSIM server in real time:

  2. On your Vyatta box download form openredes sample log files. Up to date existing sample log files are:

      sample_firewall (2,8 KiB, 360 hits)

      sample_ospf (1,2 KiB, 233 hits)

      sample_ovpn (3,6 KiB, 221 hits)

      sample_pamunix (970 bytes, 217 hits)

      sample_pmacctd (85 bytes, 194 hits)

      sample_vyatta (127 bytes, 232 hits)

      sample_wlb (171 bytes, 212 hits)

      sample_zebra (661 bytes, 206 hits)

    For example:

    vyatta:~# cd /tmp vyatta:/tmp# wget http://www.openredes.com/wp-content/files/sample_ospf

  3. Trigger sample log file to syslog with logger command:

    vyatta:/tmp# logger -t ospfd[12122] -f sample_ospf

  4. Try to see real time window on OSSIM at the same time that we execute command above and you could see simulated logs arriving to

    Más >
plugin

Vyatta plugin for AlienVault OSSIM

5
hace 2 años
por hnoguera en , , 1.044 visitas

Versión en español

Introduction

Vyatta plugin download

Changelog

HOWTOS

Introduction

The latest tested Vyatta plugin version by openredes for OSSIM agent is 0.14 version. Path for vyatta plugin files on OSSIM agent must be: vyatta.cfg - /etc/ossim/agent/plugins/vyatta.cfg vyatta.sql - /usr/share/doc/ossim-mysql/contrib/plugins/vyatta.sql Note: if you have other Vyatta logs doesn’t reflected on the plugin so far I would apreciate you to send me them to can add them to the plugin on future versions.

Vyatta plugin download

Changelog

Vyatta plugin for Más >

plugin

Plugin Vyatta para AlienVault OSSIM

6
hace 2 años
por hnoguera en , , 978 visitas

English version

Esta vez presento el nuevo plugin de Vyatta para OSSIM creado por openredes para poder tener en OSSIM todos los logs de Vyatta.

Introducción

Descarga del plugin

Log de cambios

HOWTOS

Introducción

La última versión testeada del plugin de Vyatta by openredes para el agente de OSSIM es la 0.14. La localización de los ficheros del plugin en el agente de OSSIM ha de ser: vyatta.cfg - /etc/ossim/agent/plugins/vyatta.cfg vyatta.sql - /usr/share/doc/ossim-mysql/contrib/plugins/vyatta.sql Nota: si tienes logs de Vyatta que no están reflejados en el plugin hasta la fecha te agradecería que los añadieras a los comentarios para poder incorporarlos en versiones posteriores.

Descarga del plugin

Ir arriba