Entradas etiquetadas con instalacion plugin OSSIM

Guía de actualización del plugin de Vyatta en OSSIM

5
hace 2 años
por hnoguera en , , 944 visitas

English version

Guía paso a paso para actualizar la versión del plugin de Vyatta que estemos usando en el agente de OSSIM. Si no tienes registrado el plugin de Vyatta en el agente de OSSIM para poder ponerlo en funcionamiento primero deberías pasarte por la guía de instalación del plugin de Vyatta en el agente de OSSIM.

Para actualizar la versión del plugin:

  1. Descargamos el fichero vyatta.cfg de la última versión del plugin de Vyatta y lo introducimos en el agente de OSSIM en la ruta /etc/ossim/agent/plugin/
    • El plugin lo podemos descargar desde su página y guardarlo después en la ruta /etc/ossim/agent/plugin/ del agente de OSSIM.
    • O directamente desde OSSIM con los siguientes comandos:

      OSSIM:~# cd /tmp OSSIM:/tmp# wget http://www.openredes.com/wp-content/files/vx.xx/vyatta.cfg OSSIM:/tmp# mv vyatta.cfg /etc/ossim/agent/plugins/vyatta.cfg

      Nota: Cambiar vx.xx por la última versión

  2. Descargamos el fichero vyatta.sql de la última versión del plugin de Vyatta y lo introducimos en el agente de OSSIM en la ruta /usr/share/doc/ossim-mysql/contrib/plugins/

    • El plugin lo podemos descargar desde su página y guardarlo después en la ruta /etc/ossim/agent/plugin/ del agente de

    Más >
vyatta_plugin1

Guia de instalación del plugin de Vyatta en OSSIM

7
hace 2 años
por hnoguera en , , 1.702 visitas

English version

Para que el agente de OSSIM pueda interpretar y estandarizar la información que un determinado dispositivo le envía es necesario que disponga de un Plugin enfocado en ese dispositivo. Un plugin básicamente consiste en una serie de expresiones regulares y una lista que permite identificar de forma inequívoca el tipo de evento producido. Una vez se obtiene la información estandarizada se pasa a otras funciones del agente para ser enviada al server de OSSIM en forma de eventos. OSSIM considera dos tipos de plugins, detectores y monitores. Los detectores leen los logs que se almacenan de un determinado dispositivo y los estandarizan para que el agente pueda enviarlos al servidor de OSSIM. Los monitores reciben indicaciones del servidor de OSSIM y analizan de forma activa los dispositivos. Según lo anterior, el plugin de Vyatta será de tipo detector. Antes de enfrentar la creación de un plugin detector hay que tener claro el flujo de funcionamiento:

  • El dispositivo genera un evento.
  • Mediante syslog lo envía al agente de OSSIM.
  • Rsyslog recibe el evento por el puerto 514 UDP (por defecto).
  • Según las reglas con las que está configurado rsyslog enviará el evento a un Más >
Ir arriba