Manuales y ejemplos OSSIM

Manuales, tutoriales, guías y ejemplos de configuración de AlienVault OSSIM, el mejor SIEM del mercado, en español. Con openredes aprende a usar las mejores herramientas open source de redes.

ossec_logo

Alta de nuevos clientes en el servidor de OSSEC

3
hace 1 año
por openredes en , , , 809 visitas

En esta entrada un pequeño tutorial para dar de alta los clientes en el servidor de OSSEC, tanto estando instalado en OSSIM o en un servidor aislado.

  • Dar de alta el nuevo cliente en el servidor

    (server)# /var/ossec/bin/manage_agents **************************************** * OSSEC HIDS v0.8 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your actions: A,E,R or Q: a - Adding a new agent (use ‘q’ to return to main menu). Please provide the following: * A name for the new agent: linux1 * The IP Address for the new agent: 192.168.2.32 * An ID for the new agent[001]: Agent information: ID:001 Name:linux1 IP Address:192.168.2.32 Confirm adding it?(y/n): y Added.

  • Extraer la key para el nuevo agente

    (server)# /var/ossec/bin/manage_agents **************************************** * OSSEC HIDS v0.8 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). Más >

Guía de actualización del plugin de Vyatta en OSSIM

5
hace 1 año
por openredes en , , 644 visitas

English version

Guía paso a paso para actualizar la versión del plugin de Vyatta que estemos usando en el agente de OSSIM. Si no tienes registrado el plugin de Vyatta en el agente de OSSIM para poder ponerlo en funcionamiento primero deberías pasarte por la guía de instalación del plugin de Vyatta en el agente de OSSIM.

Para actualizar la versión del plugin:

  1. Descargamos el fichero vyatta.cfg de la última versión del plugin de Vyatta y lo introducimos en el agente de OSSIM en la ruta /etc/ossim/agent/plugin/
    • El plugin lo podemos descargar desde su página y guardarlo después en la ruta /etc/ossim/agent/plugin/ del agente de OSSIM.
    • O directamente desde OSSIM con los siguientes comandos:

      OSSIM:~# cd /tmp OSSIM:/tmp# wget http://www.openredes.com/wp-content/files/vx.xx/vyatta.cfg OSSIM:/tmp# mv vyatta.cfg /etc/ossim/agent/plugins/vyatta.cfg

      Nota: Cambiar vx.xx por la última versión

  2. Descargamos el fichero vyatta.sql de la última versión del plugin de Vyatta y lo introducimos en el agente de OSSIM en la ruta /usr/share/doc/ossim-mysql/contrib/plugins/

    • El plugin lo podemos descargar desde su página y guardarlo después en la ruta /etc/ossim/agent/plugin/ del agente de

    Más >

Vyatta plugin for OSSIM installation guide

5
hace 1 año
por openredes en , , 1.276 visitas

Versión en español

In order to understand and normalize information sent by certain device OSSIM agent needs a plugin focused to this device. A plugin consists basically on regular expressions and a list that make possible to identify unambiguously each produced event. Once normalized information is obtained using the plugin it is passed to other agent functions which send the information to OSSIM server as events form. OSSIM considers two kinds of plugins, detectors and monitors plugins. Vyatta plugin needs to be a detector plugin. Before face up to a creation of a detector plugin is very important to have the working flow clear:

  • The device generates an event.
  • Syslog module of the device sends the event to OSSIM agent.
  • On OSSIM agent rsyslog gets the event on 514 UDP port (default).
  • According to rules configured on rsyslog (/etc/rsyslog.conf and /etc/rsyslog.d/) it will send the event to the corresponding logs file.
  • Plugin will read events collected on corresponding log file (specified with “locate” variable on .cfg plugin file).
  • Each event from the log file will be normalized according to plugin rules.
  • Each normalized event will be sent to OSSIM server with its corresponding Más >
vyatta_plugin_actu

Vyatta plugin for OSSIM upgrade guide

5
hace 1 año
por openredes en , , 658 visitas

Versión en español

Steps below will guide you to upgrade your Vyatta plugin version for OSSIM agent. If you haven’t registered a Vyatta plugin on OSSIM agent yet then you need to have a look to the installation guide first.

To upgrade the Vyatta plugin version:

  1. Download vyatta.cfg file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file on OSSIM agent at /etc/ossim/agent/plugin/ path.
    • You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.

    • Or you can do it directly with these commands:

      OSSIM:~# cd /tmp OSSIM:/tmp# wget http://www.openredes.com/wp-content/files/vx.xx/vyatta.cfg OSSIM:/tmp# mv vyatta.cfg /etc/ossim/agent/plugins/vyatta.cfg

      Note: Change vx.xx with the latest version.

  2. Download vyatta.sql file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file on OSSIM agent at /usr/share/doc/ossim-mysql/contrib/plugins/ path.
    • You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.

    • Or you can do it directly with these commands:

      OSSIM:/tmp# wget
    Más >
vyatta_plugin1

Guia de instalación del plugin de Vyatta en OSSIM

5
hace 1 año
por openredes en , , 1.078 visitas

English version

Para que el agente de OSSIM pueda interpretar y estandarizar la información que un determinado dispositivo le envía es necesario que disponga de un Plugin enfocado en ese dispositivo. Un plugin básicamente consiste en una serie de expresiones regulares y una lista que permite identificar de forma inequívoca el tipo de evento producido. Una vez se obtiene la información estandarizada se pasa a otras funciones del agente para ser enviada al server de OSSIM en forma de eventos. OSSIM considera dos tipos de plugins, detectores y monitores. Los detectores leen los logs que se almacenan de un determinado dispositivo y los estandarizan para que el agente pueda enviarlos al servidor de OSSIM. Los monitores reciben indicaciones del servidor de OSSIM y analizan de forma activa los dispositivos. Según lo anterior, el plugin de Vyatta será de tipo detector. Antes de enfrentar la creación de un plugin detector hay que tener claro el flujo de funcionamiento:

  • El dispositivo genera un evento.
  • Mediante syslog lo envía al agente de OSSIM.
  • Rsyslog recibe el evento por el puerto 514 UDP (por defecto).
  • Según las reglas con las que está configurado rsyslog enviará el evento a un Más >

Guía de testeo del plugin de Vyatta para OSSIM

5
hace 1 año
por openredes en , , 528 visitas

English version

Una vez actualizado o dado de alta el nuevo plugin de Vyatta en el agente de OSSIM podemos hacer las siguientes pruebas y ver que estamos recibiendo en el servidor de OSSIM todos los eventos reflejados en el nuevo plugin de forma correcta. Con estos pasos podemos provocar en nuestro sistema Vyatta que un archivo con logs de ejemplo sea logueado y enviado al agente de OSSIM el cual deberá analizarlos y normalizarlos.

  1. En OSSIM abrimos la ventana de tiempo real desde Analysis - SIEM - Real Time:

  2. En la máquina Vyatta descargamos de openredes los archivos de ejemplo de logs, hasta ahora los logs de ejemplo disponibles son:

      sample_firewall (2,8 KiB, 186 hits)

      sample_ospf (1,2 KiB, 121 hits)

      sample_ovpn (3,6 KiB, 109 hits)

      sample_pamunix (970 bytes, 103 hits)

      sample_pmacctd (85 bytes, 96 hits)

      sample_vyatta (127 bytes, 122 hits)

      sample_wlb (171 bytes, 102 hits)

      sample_zebra (661 bytes, 101 hits)

    Por ejemplo:

    vyatta:~# cd /tmp vyatta:/tmp# wget http://www.openredes.com/wp-content/files/sample_ospf

  3. Lanzamos el fichero a syslog con el comando logger:

    vyatta:/tmp# logger -t ospfd[12122] -f sample_ospf

  4. A la vez que ejecutamos el comando

    Más >
vyatta_plugin_test2

Testing Vyatta plugin for OSSIM

6
hace 1 año
por admin en , , 780 visitas

Versión en español

When the vyatta plugin is upgraded or registered on the OSSIM agent we can check its operation and see that OSSIM server is receiving all events reflected on plugin correctly. Following steps below we can cause a sample log file to be logged on our vyatta system and then sent to OSSIM agent wich has to analyze and normalize them.

  1. On OSSIM go to Analysis - SIEM - Real Time to see events arriving to OSSIM server in real time:

  2. On your Vyatta box download form openredes sample log files. Up to date existing sample log files are:

      sample_firewall (2,8 KiB, 186 hits)

      sample_ospf (1,2 KiB, 121 hits)

      sample_ovpn (3,6 KiB, 109 hits)

      sample_pamunix (970 bytes, 103 hits)

      sample_pmacctd (85 bytes, 96 hits)

      sample_vyatta (127 bytes, 122 hits)

      sample_wlb (171 bytes, 102 hits)

      sample_zebra (661 bytes, 101 hits)

    For example:

    vyatta:~# cd /tmp vyatta:/tmp# wget http://www.openredes.com/wp-content/files/sample_ospf

  3. Trigger sample log file to syslog with logger command:

    vyatta:/tmp# logger -t ospfd[12122] -f sample_ospf

  4. Try to see real time window on OSSIM at the same time that we execute command above and you could see simulated logs arriving to

    Más >
plugin

Vyatta plugin for AlienVault OSSIM

5
hace 1 año
por openredes en , , 772 visitas

Versión en español

Introduction

Vyatta plugin download

Changelog

HOWTOS

Introduction

The latest tested Vyatta plugin version by openredes for OSSIM agent is 0.14 version. Path for vyatta plugin files on OSSIM agent must be: vyatta.cfg - /etc/ossim/agent/plugins/vyatta.cfg vyatta.sql - /usr/share/doc/ossim-mysql/contrib/plugins/vyatta.sql Note: if you have other Vyatta logs doesn’t reflected on the plugin so far I would apreciate you to send me them to can add them to the plugin on future versions.

Vyatta plugin download

Changelog

Vyatta plugin for Más >

plugin

Plugin Vyatta para AlienVault OSSIM

6
hace 1 año
por openredes en , , 772 visitas

English version

Esta vez presento el nuevo plugin de Vyatta para OSSIM creado por openredes para poder tener en OSSIM todos los logs de Vyatta.

Introducción

Descarga del plugin

Log de cambios

HOWTOS

Introducción

La última versión testeada del plugin de Vyatta by openredes para el agente de OSSIM es la 0.14. La localización de los ficheros del plugin en el agente de OSSIM ha de ser: vyatta.cfg - /etc/ossim/agent/plugins/vyatta.cfg vyatta.sql - /usr/share/doc/ossim-mysql/contrib/plugins/vyatta.sql Nota: si tienes logs de Vyatta que no están reflejados en el plugin hasta la fecha te agradecería que los añadieras a los comentarios para poder incorporarlos en versiones posteriores.

Descarga del plugin

http://commons.wikimedia.org/wiki/File:FlowMon-Nfsen.png

Eliminar sensor de flows del invetario de OSSIM

1
hace 1 año
por openredes en , 254 visitas

A veces cuando trasteamos mas de la cuenta con los sensores de OSSIM en Assets -> SIEM Components se nos puede quedar reflejado en las gráficas generadas por nfsen en Monitors -> Network -> Traffic algún sensor de flows que ya habiamos eliminado. Para eliminarlo por completo hay que seguir estos sencillos pasos: Hay que editar en /etc/nfsen/nfsen.conf la línea correspondiente al canal que queremos eliminar, borrándola o comentándola:

%sources = ( # 'Vyatta_Flows' => { 'port' => '12000', 'col' => '#0000ff', 'type' => 'netflow' } 'ossim' => { 'port' => '12000', 'col' => '#ff7700', 'type' => 'netflow' } );

Y despues reconfigurar nfsen:

OSSIM:~# /usr/nfsen/bin/nfsen reconfig Remove configured sources: Vyatta_Flows Continue? [y/n] y Delete source(s): Vyatta_Flows: Delete source 'Vyatta_Flows' Shutdown nfcapd: Vyatta_Flows:[no collector] Restart nfsend:[12278] OSSIM:~# /etc/init.d/nfsen restart Shutdown nfcapd: ossim:[12245].. Shutdown nfsend:[12929].. Starting nfcapd: ossim[12943]. Starting nfsend. OSSIM:~#

Ir arriba