Entradas etiquetadas con vyatta plugin OSSIM

Vyatta plugin for OSSIM installation guide

5
hace 2 años
por hnoguera en , , 1.858 visitas

Versión en español

In order to understand and normalize information sent by certain device OSSIM agent needs a plugin focused to this device. A plugin consists basically on regular expressions and a list that make possible to identify unambiguously each produced event. Once normalized information is obtained using the plugin it is passed to other agent functions which send the information to OSSIM server as events form. OSSIM considers two kinds of plugins, detectors and monitors plugins. Vyatta plugin needs to be a detector plugin. Before face up to a creation of a detector plugin is very important to have the working flow clear:

  • The device generates an event.
  • Syslog module of the device sends the event to OSSIM agent.
  • On OSSIM agent rsyslog gets the event on 514 UDP port (default).
  • According to rules configured on rsyslog (/etc/rsyslog.conf and /etc/rsyslog.d/) it will send the event to the corresponding logs file.
  • Plugin will read events collected on corresponding log file (specified with “locate” variable on .cfg plugin file).
  • Each event from the log file will be normalized according to plugin rules.
  • Each normalized event will be sent to OSSIM server with its corresponding Más >
vyatta_plugin_actu

Vyatta plugin for OSSIM upgrade guide

5
hace 2 años
por hnoguera en , , 950 visitas

Versión en español

Steps below will guide you to upgrade your Vyatta plugin version for OSSIM agent. If you haven’t registered a Vyatta plugin on OSSIM agent yet then you need to have a look to the installation guide first.

To upgrade the Vyatta plugin version:

  1. Download vyatta.cfg file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file on OSSIM agent at /etc/ossim/agent/plugin/ path.
    • You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.

    • Or you can do it directly with these commands:

      OSSIM:~# cd /tmp OSSIM:/tmp# wget http://www.openredes.com/wp-content/files/vx.xx/vyatta.cfg OSSIM:/tmp# mv vyatta.cfg /etc/ossim/agent/plugins/vyatta.cfg

      Note: Change vx.xx with the latest version.

  2. Download vyatta.sql file of the latest Vyatta plugin version for OSSIM agent by openredes and leave a copy of the file on OSSIM agent at /usr/share/doc/ossim-mysql/contrib/plugins/ path.
    • You can get the plugin from the plugin page and store it on OSSIM agent at /etc/ossim/agent/plugin/ path.

    • Or you can do it directly with these commands:

      OSSIM:/tmp# wget
    Más >
vyatta_plugin1

Guia de instalación del plugin de Vyatta en OSSIM

7
hace 2 años
por hnoguera en , , 1.710 visitas

English version

Para que el agente de OSSIM pueda interpretar y estandarizar la información que un determinado dispositivo le envía es necesario que disponga de un Plugin enfocado en ese dispositivo. Un plugin básicamente consiste en una serie de expresiones regulares y una lista que permite identificar de forma inequívoca el tipo de evento producido. Una vez se obtiene la información estandarizada se pasa a otras funciones del agente para ser enviada al server de OSSIM en forma de eventos. OSSIM considera dos tipos de plugins, detectores y monitores. Los detectores leen los logs que se almacenan de un determinado dispositivo y los estandarizan para que el agente pueda enviarlos al servidor de OSSIM. Los monitores reciben indicaciones del servidor de OSSIM y analizan de forma activa los dispositivos. Según lo anterior, el plugin de Vyatta será de tipo detector. Antes de enfrentar la creación de un plugin detector hay que tener claro el flujo de funcionamiento:

  • El dispositivo genera un evento.
  • Mediante syslog lo envía al agente de OSSIM.
  • Rsyslog recibe el evento por el puerto 514 UDP (por defecto).
  • Según las reglas con las que está configurado rsyslog enviará el evento a un Más >

Guía de testeo del plugin de Vyatta para OSSIM

5
hace 2 años
por hnoguera en , , 737 visitas

English version

Una vez actualizado o dado de alta el nuevo plugin de Vyatta en el agente de OSSIM podemos hacer las siguientes pruebas y ver que estamos recibiendo en el servidor de OSSIM todos los eventos reflejados en el nuevo plugin de forma correcta. Con estos pasos podemos provocar en nuestro sistema Vyatta que un archivo con logs de ejemplo sea logueado y enviado al agente de OSSIM el cual deberá analizarlos y normalizarlos.

  1. En OSSIM abrimos la ventana de tiempo real desde Analysis - SIEM - Real Time:

  2. En la máquina Vyatta descargamos de openredes los archivos de ejemplo de logs, hasta ahora los logs de ejemplo disponibles son:

      sample_firewall (2,8 KiB, 361 hits)

      sample_ospf (1,2 KiB, 234 hits)

      sample_ovpn (3,6 KiB, 224 hits)

      sample_pamunix (970 bytes, 218 hits)

      sample_pmacctd (85 bytes, 197 hits)

      sample_vyatta (127 bytes, 235 hits)

      sample_wlb (171 bytes, 214 hits)

      sample_zebra (661 bytes, 209 hits)

    Por ejemplo:

    vyatta:~# cd /tmp vyatta:/tmp# wget http://www.openredes.com/wp-content/files/sample_ospf

  3. Lanzamos el fichero a syslog con el comando logger:

    vyatta:/tmp# logger -t ospfd[12122] -f sample_ospf

  4. A la vez que ejecutamos el comando

    Más >
vyatta_plugin_test2

Testing Vyatta plugin for OSSIM

6
hace 2 años
por admin en , , 1.061 visitas

Versión en español

When the vyatta plugin is upgraded or registered on the OSSIM agent we can check its operation and see that OSSIM server is receiving all events reflected on plugin correctly. Following steps below we can cause a sample log file to be logged on our vyatta system and then sent to OSSIM agent wich has to analyze and normalize them.

  1. On OSSIM go to Analysis - SIEM - Real Time to see events arriving to OSSIM server in real time:

  2. On your Vyatta box download form openredes sample log files. Up to date existing sample log files are:

      sample_firewall (2,8 KiB, 361 hits)

      sample_ospf (1,2 KiB, 234 hits)

      sample_ovpn (3,6 KiB, 224 hits)

      sample_pamunix (970 bytes, 218 hits)

      sample_pmacctd (85 bytes, 197 hits)

      sample_vyatta (127 bytes, 235 hits)

      sample_wlb (171 bytes, 214 hits)

      sample_zebra (661 bytes, 209 hits)

    For example:

    vyatta:~# cd /tmp vyatta:/tmp# wget http://www.openredes.com/wp-content/files/sample_ospf

  3. Trigger sample log file to syslog with logger command:

    vyatta:/tmp# logger -t ospfd[12122] -f sample_ospf

  4. Try to see real time window on OSSIM at the same time that we execute command above and you could see simulated logs arriving to

    Más >
plugin

Vyatta plugin for AlienVault OSSIM

5
hace 2 años
por hnoguera en , , 1.054 visitas

Versión en español

Introduction

Vyatta plugin download

Changelog

HOWTOS

Introduction

The latest tested Vyatta plugin version by openredes for OSSIM agent is 0.14 version. Path for vyatta plugin files on OSSIM agent must be: vyatta.cfg - /etc/ossim/agent/plugins/vyatta.cfg vyatta.sql - /usr/share/doc/ossim-mysql/contrib/plugins/vyatta.sql Note: if you have other Vyatta logs doesn’t reflected on the plugin so far I would apreciate you to send me them to can add them to the plugin on future versions.

Vyatta plugin download

Changelog

Vyatta plugin for Más >

plugin

Plugin Vyatta para AlienVault OSSIM

6
hace 2 años
por hnoguera en , , 986 visitas

English version

Esta vez presento el nuevo plugin de Vyatta para OSSIM creado por openredes para poder tener en OSSIM todos los logs de Vyatta.

Introducción

Descarga del plugin

Log de cambios

HOWTOS

Introducción

La última versión testeada del plugin de Vyatta by openredes para el agente de OSSIM es la 0.14. La localización de los ficheros del plugin en el agente de OSSIM ha de ser: vyatta.cfg - /etc/ossim/agent/plugins/vyatta.cfg vyatta.sql - /usr/share/doc/ossim-mysql/contrib/plugins/vyatta.sql Nota: si tienes logs de Vyatta que no están reflejados en el plugin hasta la fecha te agradecería que los añadieras a los comentarios para poder incorporarlos en versiones posteriores.

Descarga del plugin

Ir arriba