f1232d01

5/10/2018 F1232d01 - slidepdf.com

http://slidepdf.com/reader/full/f1232d01 1/112

Redes de Computadoras Manual de OSSIM

UNIVERSIDAD NACIONAL DE INGENIERIAFEC

MANUAL DE OSSIM(Open Source Security

Information Management)

Nombre: Mariana Mercedes Tenorio Martínez

Carne: 2005-20583

Grupo: 5T3 - CO

Msc. Roberto Alfaro

Viernes 14 de Agosto del 2009

Universidad Nacional de Ingeniería Página 1

5/10/2018 F1232d01 - slidepdf.com



INDICE


5/10/2018 F1232d01 - slidepdf.com



INTRODUCCION


5/10/2018 F1232d01 - slidepdf.com



El OSSIM (Open Source Security Information Management) quiere suplir un hueco en lasnecesidades que los grupo profesionales del mundo de la seguridad día a día nos encontramos.Sorprende que con el fuerte desarrollo tecnológico producido en los últimos años nos ha provisto deherramientas con capacidades como las de los IDS (Un sistema de detección de intrusos o de sussiglas en inglés Intrusion Detection System), sea tan complejo desde el punto de vista de seguridadde obtener una visión de una red con un grado de abstracción que permita una revisión práctica yasumible.

La intención inicial en el desarrollo de este proyecto es mejorar esta situación a través de unafunción que podríamos resumir con el nombre de:

Correlación o la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a través de esta situación privilegiada relacionar y procesar lainformación permitiendo aumentar la capacidad de detección, priorizar los eventos según elcontexto en que se producen, y monitorizar el estado de seguridad de nuestra red. En el camino noshemos encontrado con nuevas necesidades que nos han permitido aumentar la precisión de nuestrosistema, desarrollando la capacidad que ya forma parte del núcleo de OSSIM.

La valoración de riesgos como forma de decidir en cada caso la necesidad de ejecutar una acción através de la valoración de la amenaza que representa un evento frente a un activo, teniendo encuenta la fiabilidad y probabilidad de ocurrencia de este evento. Desde este momento nuestro

sistema se vuelve más complejo pues ha de ser capaz de implementar una Política de Seguridad, elInventario de la Red, nos ofrecerá un Monitoreo de riesgos en tiempo real, todo ello configurado ygestionado desde un Framework. Este proyecto quiere ser así mismo una muestra de la capacidaddel mundo de código abierto de crecer en sí mismo y aportar soluciones punteras en sectoresconcretos como el de la seguridad de redes, donde las soluciones del mundo libre aportan otroimportante valor: la auditabilidad o capacidad de auditoría de los sistemas que instalamos en nuestrared.


http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s

http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s

5/10/2018 F1232d01 - slidepdf.com



OBJETIVO


5/10/2018 F1232d01 - slidepdf.com



Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección yvisibilidad en la monitorización de eventos de seguridad de la organización.

Además de obtener las mejores herramientas de código abierto, algunas de las cuales se describen acontinuación, ossim establece un fuerte motor de correlación, detallando nivel de interfaces devisualización bajo, medio y alto, así como la presentación de informes y herramientas de gestión deincidentes, trabajando en un conjunto de activos se define como anfitriones, redes, grupos yservicios.


5/10/2018 F1232d01 - slidepdf.com



CONCEPTO Y SERVICIOS


5/10/2018 F1232d01 - slidepdf.com



OSSIM es una distribución de productos open source integrados para construir una infraestructurade monitorización de seguridad.

SERVICIOS

Ossim contiene las siguientes características de los componentes del software:

Arpwatch: utilizado para la detección de anomalía de mac.

P0f: utilizado para la detección y análisis de los cambios en los sistemas operativos OS.

Pads: utilizado para el servicio de detección de anomalías.

Nessus: utilizado para la evaluación de la vulnerabilidad y de correlación cruzada (IDS vsSecurity Scanner).

Snort: el IDS, también se utiliza para cruzar la correlación con nessus.

Spade: Realiza las estadísticas de paquetes de motor de detección de anomalías. Se usa paraobtener conocimientos sobre los ataques sin firma.

Tcptrack: utilizado para los datos de la sesión de información que puede dar informaciónútil para el ataque correlación.

Ntop: construye una impresionante red de base de datos de información que podemosobtener de detección de anomalías en el comportamiento aberrante.

Nagios: Se alimenta de la base de datos activos para supervisar la disponibilidad de losequipos.

Osiris: una gran HIDS (HIDS, Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host).Puede tomar medidas protectoras.)

OCS-NG: Cruz-Plataforma para realizar los inventarios e informes.

OSSEC: la integridad, de rootkit, detección y registro de más.


5/10/2018 F1232d01 - slidepdf.com



OSSIM LOGIN


5/10/2018 F1232d01 - slidepdf.com



OSSIM Login es el punto de entrada al sistema OSSIM (ver Figura 1 – Pantalla de Login). Lainstalación por defecto tiene un usuario Admin con contraseña Admin. Debera cambiar la

contraseña en cuanto instale el sistema.

Figura 1


5/10/2018 F1232d01 - slidepdf.com


Herramientas> Escanear NET

5/10/2018 F1232d01 - slidepdf.com


Para comenzar a trabajar con el OSSIM, tenemos que realizar un estudio de la topología que se va a utilizar por ejemplo nosotros ocupamos latopología de la universidad a nivel lógico.

1. escaneamos el segmento de red de la uni. 192.168.103.0/24 porque es el segmento principal, lo cual el escaneo duro 20 minutos.Herramientas> Escanear NET NET La página de rastreo le permite establecer diversas redes de exploración para buscar los cambios en los hosts o servicios de su sistemaoperativo, como se muestra en la Figura 2 - Herramientas> Red de exploración.

Figura 2

5/10/2018 F1232d01 - slidepdf.com


Como se muestra en la figura de arriba, es fácil realizar una exploración de escaneo de red mediante laselección de una red disponible de la lista desplegable. El rango de direcciones IP aparece en el cuadro de textoa su derecha. Esto no puede ser modificado, si desea añadir alguna nueva red que necesita para ir a la Política→ Redes y definir una nueva. Además, puede optar por seleccionar Manual, en el que el mencionado cuadro de

texto puede ser modificado. Una vez esté listo, haga clic en Buscar. OSSIM escanea la red y muestra unmensaje una vez que esté completo. Los resultados aparecen en la red, la página de exploración por debajo dela red, seleccione la tabla.

Puede hacer clic en Actualización de los valores de la base de datos, que muestra la página Insertar nuevaexploración. Esta página le permite añadir a las propiedades globales recién escaneadas de aceptacion. Estas

propiedades son:• Valor • Umbral C• Umbral A• RRD Perfil• ¿Insértese un nuevo perfil?• NAT• Sensores• Opciones de exploración• Descripción

Algunas propiedades pueden tener enlaces correspondientes que le permiten realizar tareas adicionales,especialmente al trabajar con sensores. Una vez que haya completado los cambios, haga clic en Aceptar. Puedehacer clic en Reset para volver a los valores iniciales.

5/10/2018 F1232d01 - slidepdf.com


Herramientas> Copia de seguridad

5/10/2018 F1232d01 - slidepdf.com


Herramientas> Copia de seguridadLa copia de seguridad de la página le permite restaurar los eventos anteriores a su sistema, así como ver

previamente eventos restaurados eventos, como se muestra en la Figura 3 - Herramientas> Copia de seguridad.Esto funcionará para los eventos que aparecen en la base o el Visor de sucesos OSSIM. El backuped de datos

será la base de datos de snort (que incluye todos los eventos), no la base de datos OSSIM (que incluye, principalmente, las alarmas y la configuración de entradas).

Las fechas que aparecen pueden ser restauradas en el Administrador de copia de seguridad, por debajo de lacolumna restaurar fechas. Simplemente haga clic en una fecha y luego haga clic en Insertar. OSSIM realiza larestauración y muestra el estado de la restauración de copias de seguridad más adelante en la sección deEventos.

Para eliminar un evento restaurado, haga clic en la fecha del evento en las fechas en la sección Base de Datos yhaga clic en Eliminar. Ingresar al registro para que se refleje el cambio que se registro en los eventos de copiade seguridad, señalando que se ha eliminado, en qué momento, por quién, y el estado actual de la transacción.

5/10/2018 F1232d01 - slidepdf.com


Figura 3

5/10/2018 F1232d01 - slidepdf.com


Registro de Usuario

5/10/2018 F1232d01 - slidepdf.com


Registro de UsuarioEl usuario realiza un seguimiento de registro de usuario en movimiento OSSIM, como se muestra en la Figura 4 - Herramientas> Registro deusuario.

Figura 4

5/10/2018 F1232d01 - slidepdf.com


El filtro le permite ordenar las entradas del registro por el usuario y / o por acción. Por defecto, todos losusuarios y las acciones se muestran por fecha.

La acción de registro de usuario muestra la fecha de la acción, el usuario que realiza la acción, la dirección IPdel equipo que realizó la acción, el código, y una descripción de la acción.

Las entradas del registro muestran 50 entradas a la vez, puede utilizar las flechas por encima de la mesa deregistro para navegar en las páginas de registro.Herramientas> DescargasLas descargas proporcionan enlaces a las secciones de los paquetes del software preconfigurado para elfuncionamiento de Ossim, Actualmente incluye:

• Osiris• Astucia• OCS• FW1Loggrabber • Python

5/10/2018 F1232d01 - slidepdf.com


CONFIGURACION

5/10/2018 F1232d01 - slidepdf.com


Configuración> principalLa página principal de la sección de configuración le permite configurar el aspecto y la configuración del sistema general, (ver figura 5 -Configuración> Principal.)

Figura 5

5/10/2018 F1232d01 - slidepdf.com


Para asegurarse de que tiene los datos mas recientes disponibles, haga clic en el botón Actualizar configuración.Esto guarda la configuración de los datos mostrados en esta página. Para volver a la configuración inicial,

puede hacer clic en restaurar valores predeterminados.

Hay 17 diferentes secciones que se pueden configurar desde esta página. Ellos son:

Idioma

• Servidor

• FrameworkD

• Snort

• Osvdb

• Métrica

• Grupo Ejecutivo

• phpGACL

• PHP

• RRD

• Enlaces

• Copia de seguridad

• Nessus

• ACID

• Aplicaciones externas

•

Acción del usuario logging

• Visor de sucesos en tiempo real

Cada sección proporciona una breve descripción de lo que se está configurando. La mayoría de parámetros se puede ajustar usando los cuadros de texto o menús desplegables. Tenga especial cuidado al actualizar contraseñas, Por favor, recuerde que muchas de las cosas no funcionarán correctamente si no dan lascontraseñas correctamente.

Una vez que haya terminado, haga clic en Actualizar configuración para guardar los cambios.

5/10/2018 F1232d01 - slidepdf.com


Configuración> Usuarios

Usuarios de la página le permite ver la lista de usuarios disponibles, (ver figura 6 - Configuración> Usuarios), así como realizar una serie detareas administrativas para las cuentas de usuario.

Figura 6

5/10/2018 F1232d01 - slidepdf.com


Para trabajar con un usuario existente, puede cambiar su contraseña de la cuenta o actualizar su perfil. Haga clicen Cambiar Contraseña en la columna Acciones del nombre de usuario deseado. Cambiar la contraseña aparecela pantalla, introduzca su nueva contraseña y volver a escribir con fines de seguridad y, a continuación, hagaclic en Aceptar.

Recuerde que debe elegir una contraseña que no es fácil de adivinar por las personas que conozca.Volver a los Usuarios en la página, puedes actualizar los perfiles de cuenta de usuario, incluidos los permisos,etc haciendo clic en Actualizar en la columna Acción en nombre de usuario.

Modificar en la página de usuario, puede cambiar el nombre de usuario (pero no de acceso), dirección de correoelectrónico, empresa, departamento y nombre con los cuadros de texto. Puede establecer permisos para permitir la selección de las redes, permitir sensores, así como pantallas de OSSIM que son accesibles para el usuario.Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar loscambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás paravolver a la página de usuarios.

También puede crear una nueva cuenta de usuario haciendo clic en Insertar nuevo usuario de la parte inferior dela página Usuarios. Insertar a un nuevo usuario es similar a la actualización de la pantalla del usuario que se hamencionado anteriormente. Usted debe agregar un usuario de acceso, un nombre de usuario, dirección decorreo electrónico, nombre de la empresa, departamento, así como una dirección de correo electrónico válida(que debe volver a tipo por motivos de seguridad). Como se mencionó anteriormente, se pueden establecer

permisos para permitir la selección de redes, de sensores, así como pantallas de OSSIM que son accesibles parael usuario. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás paravolver a la página donde los usuarios el nuevo usuario aparece en la tabla.

5/10/2018 F1232d01 - slidepdf.com


Configuración> PluginsLos plugins son utilizados por OSSIM para aceptar el sensor de entrada, o para enviar preguntas a los sensores del monitor. Su configuración esrevisable a través del marco (ver Figura 7 - Configuración> Plugins). Toda la información que se encuentre aquí sólo puede ser editada dentro dela base de datos de OSSIM. Esta interfaz se compone de cuatro partes o columnas.

Figura 7

5/10/2018 F1232d01 - slidepdf.com


El ID es el número interno que OSSIM utiliza para rastrear diversos plugins. Cada plugin tiene un plugin ID.Cada plugin utiliza este número y sus sub-ID. Sub-ID se pueden ver haciendo clic en el hipervínculo ID.

El nombre es el nombre de la extensión asignada a la extensión ID. Esto puede ser cualquier cadena, pero debeser descriptivo.

El tipo es el tipo de plugin. Detector es un tipo de plugin que OSSIM utiliza para enviar datos al servidor .Monitor es un plugin que OSSIM realiza los tipo de consultas de información.

Descripción de la información adicional es utilizada para aclarar el propósito de un plugin. Esto es muy útil

cuando un plugin tiene un nombre particularmente oscuro.

5/10/2018 F1232d01 - slidepdf.com


Configuración> Plugins> DIMEl Plugin de SID es el número interno OSSIM que utiliza para rastrear los mensajes de diferentes sensores. Por ejemplo, hay un único plug-in-sid para cada alerta snort que genera (ver la Figura 8 - Configuración> Plugins> DIM). Algunos parámetros para DIM podrán ser editados aquí.Esta interfaz se compone de ocho columnas.

Figura 8

5/10/2018 F1232d01 - slidepdf.com


El plug-in es el número interno OSSIM que utiliza para rastrear diversos plugins. Cada plugin tiene un pluginID. Cada plugin utiliza este número y sus sub-ID.

El Sid es el número utilizado por OSSIM para discriminar los mensajes de plugin. Tenga en cuenta que las dos

columnas siguientes sólo se aplican a la snort plugin:

La categoría es utilizada por el sensor de snort para identificar el archivo de las reglas del snort cuando sonalmacenados. Tradicionalmente, estas reglas se almacenan en / etc / snort / normas sobre el sensor deaceptacion.

La clase es una clasificación para las alertas de snort. Ellas tienen diferentes números de identificación, quefiguran entre paréntesis. Hay tres tipos de clases: crítica, intermedio y bajo riesgo. El cuadro que figura acontinuación es la lista de la clase.

Cuadro 1 - Clases de Snort

El nombre es una cadena asignada a la DIM. Esto puede ser cualquier cadena, sino que debe ser el mensajegenerado por el sensor.

La prioridad es un número usado para calificar las alertas de OSSIM con diferentes niveles. Es un valor

numérico de 0 a 5. 0 es la prioridad más baja y se indica que debe pasar por alto OSSIM DIM ,1 es la prioridadmás baja, mientras que el 5 es el más alto.

La fiabilidad es una medida de estado de funcionamiento. Se trata de un valor de 0 a 10 donde 10 es la másfiable y 0 es el menos. Fiabilidad se lee como una décima parte de un porcentaje. Es decir el 4 significa que hayun 40% de probabilidad de que esta norma es precisa en esta etapa de la directiva.

La columna Acción contiene un botón Modificar. Al hacer clic en el botón guarda los cambios en la columna de prioridad y fiabilidad en la base de datos de OSSIM. En este momento es necesario cambiar el plugin por plugin sid por sid, esto significa que puede cambiar la prioridad o la confiabilidad de un valor justo para el plugin sid cada vez.

5/10/2018 F1232d01 - slidepdf.com


Configuración> Config RRDLa configuración RRD permite la configuración de las alertas RRD OSSIM. Alertas RRD son la base de datosRound Robin alertas. Ntop utiliza estas bases de datos para almacenar información sobre el tráfico de la red quese analiza. OSSIM pregunta a estas bases de datos y genera las alertas sobre la base de la configuración aquí.

En RRD las múltiples configuraciones son posibles. Estas configuraciones pueden ser establecidas y utilizadas para las máquinas, redes, grupos de red o de política, y para generar eventos / alarmas RRD. RRD Config esdonde se definen estas configuraciones. Hay un cuadro que se utilizará para el control de estos en la interfaz deusuario (vea la Figura 6 - Configuración> Config RRD).

Esta es una cuestión interesante en OSSIM. Por ejemplo, usted quiere una alarma generada por todos los hostsen su red que intenta enviar más de 10 correos electrónicos en un minuto, el comportamiento podría ser unvirus de la ampliación. Pero, por supuesto, podría ser un servidor de correo, por lo que necesita para disminuir la sensibilidad del servidor de correo (el aumento de umbral) la asignación de un perfil RRD a ella.

Figura 9

5/10/2018 F1232d01 - slidepdf.com


El cuadro de configuracion RRD tiene dos columnas. También cuenta con un hipervínculo para laincorporación de nuevos perfiles de RRD.

• Perfil es el nombre del perfil de configuración de RRD. Este nombre se define por el usuario. OSSIMutiliza este nombre en otras secciones de la interfaz para identificar los diferentes perfiles que se han

configurado.• Acción es la posible opcion que puede llevarse a cabo para ese perfil. Acciones son los hipervínculos

que se especifica la acción al hacer clic. Acciones pueden ser Modificar o Borrar. Modificar se usa paracambiar la configuración de un perfil. Borrar elimina el perfil de configuración de la base de datos deOSSIM. Modificar es la única acción disponible para el perfil mundial. OSSIM requiere el perfil RRD

para un correcto funcionamiento.

La inclusión de nuevas RRD es el perfil de un hipervínculo que utiliza para añadir otro perfil para RRDOSSIM. Podrá asignar a algún objeto en la formulación de políticas para adaptarse a sus específicascaracterísticas.

5/10/2018 F1232d01 - slidepdf.com


Configuración> Config RRD> Modificar / Nueva RRD ConfigConfiguración> Config RRD> Modificar / Nueva configuración de los perfiles RDD es donde puede ser editado. La edición de la página web eseditar una tabla con los valores de parámetros posibles (ver la Figura 10 - Configuración> Config RRD> Modificar / NUEVA RRD Perfil).

Figura 10

5/10/2018 F1232d01 - slidepdf.com


Modificar la tabla de la configuración RRD muestra todos los posibles atributos que pueden ser modificados para el perfil de RRD. Hay siete columnas en esta tabla.

• Atributo es el nombre del valor del RRD que debe vigilarse. Este valor se define en la configuración dentop y la base de datos de OSSIM. La instalación por defecto muestra todos los valores que interesan ala mayoría de los usuarios de OSSIM.

• Umbral es el valor absoluto por encima de la cual una descripción se creará por OSSIM. Se creará unaalerta si ntop informa este valor. La unidad de medida para este número es completamente dependientedel atributo. Si el atributo se fragmento por Bytes, entonces el valor de umbral es el valor absoluto de

bytes. Si el atributo se fragmento por paquetes entonces el valor de umbral es el valor absoluto de los paquetes de difusión.

• Prioridad es el valor de prioridad asignada a esta alerta RRD. El valor de prioridad debe estar entre 0 y

5. Muy probablemente este y los valores umbral, son los que tendrá que cambiar.

• Alfa es la adaptación que intercepta parámetros. El valor debe estar entre 0 y 1, donde un número mayor significa que la interceptación se adapta rápido. Este valor también se utiliza para gamma. Normalmenteno es necesario cambiar esta situación.

• Beta es la pendiente para la adaptación de parámetros. El valor debe estar entre 0 y 1. Normalmente noes necesario cambiar esta situación.

• La persistencia es el tiempo en minutos, el caso debe tener una duración antes que se genere una alerta.

• Activado es una casilla que indica si el atributo dado será objeto de seguimiento.

5/10/2018 F1232d01 - slidepdf.com


Configuración> Registros de Acción del usuarioLa Pagina del Registro de la acción del usuario le permite determinar qué debe realizar un seguimiento de los registros OSSIM y almacenar,como se muestra en la Figura11 - Configuración> Acción del usuario Registros.Una serie de registros de usuarios de acción se seleccionan por defecto. Para quitar una, simplemente desactive la casilla de verificación, oseleccione la casilla de verificación para activar el registro. Una vez que haya terminado de hacer cambios, haga clic en Actualizar configuración para que los cambios surtan efecto.

Figura 11

5/10/2018 F1232d01 - slidepdf.com


Configuración> Incidentes Plantilla de correo electrónicoLa plantilla de correo electrónico de los incidentes le permite crear plantillas para la creación de e-mail cuando se trabaja con los incidentes, talcomo se muestra en la Figura 12 - Configuración> Incidentes Plantilla de correo electrónico.

Figura 12

5/10/2018 F1232d01 - slidepdf.com


Para trabajar con una plantilla, puede seleccionar una plantilla de etiqueta desde el panel de la izquierda de laventana y aplicar la etiqueta (estos son similares a las macros) e insertarlos en la plantilla de correo electrónicoutilizando las teclas direccionales. Todos los cambios se realizan en las secciones del asunto y el cuerpoutilizando estas flechas o actualizando manualmente de los cuadros de texto.

Para ver una imagen fiel de su trabajo, haga clic en Vista previa. A continuación aparece una vista previa de la plantilla de editor. Realizar más cambios, simplemente volver a la pantalla y seguir editando. Una vezcompleta, puede haga clic en Restaurar valores predeterminados para descartar los cambios o haga clic enGuardar plantilla para guardar los cambios.Sustitución de palabras claveLa sustitución de palabras clave son las variables que interpretan sus correspondientes valores. En la tabla acontinuación se enumeran las palabras clave disponibles (ver el cuadro 2 - lista de palabras clave). Las palabrasclave se pueden utilizar para personalizar los correos enviados por los incidentes. OSSIM sustituye las palabrasclave con los apropiados valores.

Cuadro 2 - lista de palabras clavePalabra clave Descripción EjemploID ID del incidente de la base de datos de

identificación63

NO INCIDENT El incidente humanos orientados hacia el ALA63TÍTULO El título asignado a la incidente cambio de MAC detectado en la

zona desmilitarizadaEXTRA_INFO Incidente relacionado con la información Fuente PI: 10.10.10CHARGE_NAME La persona actualmente a cargo de

resolver el incidenteJohn Smith

IN_CHARGE_LOGIN El ingreso de la persona actualmente acargo de resolver el incidente

jsmith

IN_CHARGE_EMAIL El correo electrónico de la personaactualmente a cargo de resolver elincidente

[email protected]

IN_CHARGE_DPTO El departamento de la personaactualmente a cargo de resolver elincidente

Soporte Técnico

IN_CHARGE_COMPANY La compañía de la persona actualmente acargo de resolver el incidente

Ejemplo Inc.

PRIORITY_NUM La prioridad del incidente en el número

de 1 (bajo) a 10 (alto)

8

PRIORITY_STR La prioridad de la cadena de formato:Bajo, Medio o Alto

Alto

TAGS La información adicional de las etiquetasadjuntas a los hechos

NEED_MORE_INFO

CREATION_DATE ¿Cuándo fue creado el incidente? 2009-05-18 19:40:53ESTADO La situación actual: abrir o cerrar Abrir

CLASE El tipo de incidente: Alarma, Evento,Métrico

Alarma

TIPO El incidente de la categoría o grupo Política de Violación

5/10/2018 F1232d01 - slidepdf.com


LIFE_TIME El tiempo transcurrido desde la creacióndel incidente

1 Día, 10:13

TICKET_DESCRIPTION La descripción llena de billetes por elautor

MAC detectado un cambio endmz1.int de acogida

TICKET_ACTION La acción presentada por el autor de billetes Investigar el incidente lo antes posibleTICKET_AUTHOR_NAME La persona que acaba de crear un nuevo

ticketSam Max

TICKET_AUTHOR_EMAIL El correo electrónico de la entrada deautores

[email protected]

TICKET_AUTHOR_DPTO El departamento de la entrada de autores operaciones de redTICKET_AUTHOR_COMPANY La empresa de la entrada de autores Algunos Ejemplo Inc.TICKET_EMAIL_CC ¿Quién (nombre y correo electrónico)

recibió este mensaje de correoelectrónico también?

/ "John Smith /" [email protected]

TICKET_HISTORY La lista completa de las entradasrelacionadas con este incidente

TICKET_INVERSE_HISTORY La lista completa de las entradasrelacionadas con este incidente

5/10/2018 F1232d01 - slidepdf.com


Configuración> Actualizar Actualización de la página muestra el número de versión de la actual construcción de OSSIM que está usando, como se muestra en Figure 13 -Configuración> Actualizar.

Figura 13

5/10/2018 F1232d01 - slidepdf.com


Si cualquier actualizacion está disponible, se reflejaria en la sección mencionada. Una lista de actualizacionesno críticas figura a continuación en la sección de todas las actualizaciones. Esto también incluyeactualizaciones publicadas anteriormente que podría no ser la más reciente - por ejemplo, es posible que ya hainstalado la versión C3 de una actualización, por lo que no es necesario desde la última actualización, también

incluye las actualizaciones anteriores. Esta sección también ofrece una breve reseña de lo que se actualizó o fijoen la emisión.

Es importante señalar que este vínculo aparecerá después de inicio de sesión hasta que el sistema estáactualizado. La página se puede visitar con regularidad a fin de que usted este en la parte superior de las últimasactualizaciones o parches disponibles para OSSIM.

5/10/2018 F1232d01 - slidepdf.com


CORRELACION

5/10/2018 F1232d01 - slidepdf.com


Correlación> DirectivasLas directivas son un mecanismo que OSSIM utiliza para generar alarmas. Directivas podría ser un pocosimilar a las firmas del snort; Los byte en lugar de coincidir en las cadenas de bytes de datos coinciden con lasdirectivas de mensajes de alerta generado por snort y otros sensores (Punto de plugin, plugins de Cisco,

ventanas.). Hay dos tipos de normas utilizadas, los detectores y monitores.

Mostramos un ejemplo con una Directiva. Puede manejar y Monitorear el detector de normas dentro de él.

Los detectores generan alertas que desencadenan acciones. Figura 14 - Correlación> Directivas del detector tiene dos reglas. Tanto de los detectores en este ejemplo son generadas por snort. La primera es Intrusion_rule.La segunda es la respuesta de ataque. El resto de reglas son los monitores.

Los parámetros de las directivas no se pueden modificar usando la interfaz de OSSIM (ver la Figura 15 -Correlación> Directivas). Nuevas directivas deben ser creadas y editadas en la directiva archivos XML (/ etc /

ossim / servidor / directives.xml). El visor de la Directiva está compuesto por dos paneles. El panel de laizquierda es una lista de todas las directivas que utilizan actualmente EL OSSIM. El panel de la derechacontiene detalles de la directiva actualmente seleccionado del panel izquierdo.

El panel de la derecha es un árbol que muestra los detalles de las reglas con múltiples filas y columnas. Loselementos del árbol puede ser ampliado y se desminuido, haciendo clic en el + y - en el extremo hipervínculoslado izquierdo del panel. Cada fila representa una norma diferente para hacer una directiva. El servidor OSSIMcrea un evento después de cada regla en una directiva partida. Hay once diferentes columnas que muestran losdiferentes parámetros de cada regla. La alarma se generará si este evento tiene bastante riesgo.

5/10/2018 F1232d01 - slidepdf.com


Figura 14

5/10/2018 F1232d01 - slidepdf.com


Figura 15

5/10/2018 F1232d01 - slidepdf.com


Nombre es el nombre de la regla.

La fiabilidad es una medida de estado de funcionamiento. Se trata de un valor de 0 a 10 donde 10 es la más

fiable y 0 es el menos. Fiabilidad se lee como una décima parte de un porcentaje. Es decir el 4 significa que hayun 40% de probabilidad de que esta norma es precisa en esta etapa de la directiva.

Time_out es la duración de un evento se controla en segundos. La norma es dar un seguimiento de ese períodode tiempo en busca de los criterios especificados. Ocurrencia es el número de veces que debe coincidir con unanorma antes de que se active.

From es de la dirección IP de tráfico que está fluyendo. Desde el campo puede tener una dirección IP, o una delas tres palabras clave: NINGUNA, SRC_IP, o DST_IP (ver el cuadro 3 - Palabras clave de la Directiva). Estasmismas palabras se pueden utilizar en el campo. Estos campos se utilizan una serie, que identifica el nivel de lanorma que ha de tener la información (IP o puerto).

Cuadro 3 - Palabras clave de la Directiva SRC_IP La Dirección IP de la fuente utilizada en la norma especificada DST_IP La dirección IP de destinoutilizados en la norma especificada SRC_PORT El puerto de origen utilizados en la norma especificadaDST_PORT Utiliza el puerto de destino especificado en la norma CUALQUIER Cualquier posible valor parael campo dado

To es la dirección IP para el tráfico de fluido. It Puede utilizar una dirección IP específica o de cualquiera de lastres palabras mencionadas.

Port_From es el número anfitrión del puerto que el tráfico fluye de . El campo Port_From puede tener una listaseparada por comas de los números de puerto específicos, o una de las tres palabras clave: NINGUNA,

SRC_PORT, o DST_PORT (véase el cuadro 3 - Palabras clave de la Directiva). Estas mismas palabras se pueden utilizar en el Puerto de campo.

Puerto es el número de puerto de aceptacion que el tráfico fluye a.Se puede utilizar un número de puerto o decualquiera de las tres palabras mencionadas.

Plugin ID es el número interno de OSSIM que utiliza para realizar un seguimiento de varios sensores. Estacolumna indica el número, así como el nombre del particular plugin. Cada sensor tiene un plugin ID. Al hacer clic en el plugin DIM se selecciona una versión diferente de la pagina de configuración> Plugins.

Plugin de SID es el número interno de OSSIM que utiliza para rastrear los mensajes de diferentes sensores. Por ejemplo, hay un único plug-in-sid para cada alerta que snort genera.

5/10/2018 F1232d01 - slidepdf.com


Correlación> Correlación CruzadaLa correlación cruzada de OSSIM es la capacidad para relacionar a través de dos diferentes plug-ins. La correlación cruzada es usada paramodificar la fiabilidad de un evento. Modificar este valor tiene efecto sobre el riesgo y, por defecto, en la generación de alarmas.

La regla básica de las correspondencias cruzadas es la siguiente: si snort ha descubierto un ataque a la propiedad intelectual, y sabemos que el período de investigación que tiene la vulnerabilidad, la fiabilidad se cambiará a 10. Cuando una correlacion cruzada personalizada, añade el casode la fiabilidad del nuevo plugin antiguo. En esta pantalla se enumeran los datos generados acompañado por correlación cruzada (ver la Figura16 - Correlación Cruz).

Figura 16

5/10/2018 F1232d01 - slidepdf.com


Correlación> CarteraEl atraso es algo instantáneo del motor de correlación de OSSIM en el tiempo. Esta página, cuando se carga, muestra los datos actualesinterpretados por el motor de correlación (véase la Figura 17 - Correlación> Cartera). Esta pantalla se puede utilizar para depurar el sistema yOSSIM o reglas.

Figura 17

Puede ver el numero de directiva entre paréntesis (en la columna de la Directiva) y si se ha combinado o no alguna regla.

5/10/2018 F1232d01 - slidepdf.com


PANEL DE CONROL

5/10/2018 F1232d01 - slidepdf.com


Panel de control> Panel de EjecutivoEl Grupo Ejecutivo OSSIM es de hecho el punto de partida de la aplicación OSSIM. Una vez que se conecte a OSSIM, el Grupo Ejecutivo, comose indica en la Figura 18 - Panel de control> Panel Ejecutivo.

Figura 18

5/10/2018 F1232d01 - slidepdf.com


En general, es la "bienvenida" de la página, del Grupo Ejecutivo que le permite realizar una serie de cosas:• Acceder a la ayuda en línea.• Realizar una de las ocho tareas que realiza el sistema a menudo.• Encontrar información adicional en el sitio web ossim.net.

Haz clic en "Editar" para personalizar el hipervínculo OSSIM Grupo Ejecutivo. El Grupo Ejecutivo puede tener varios sub-grupos. Los grupos pueden ser configurados para mostrar la información de los módulos en todo OSSIM (ver la Figura 19 - Panel de configuración).

Figura 19

5/10/2018 F1232d01 - slidepdf.com


Panel de control> agregados RiesgoLa métrica pantallas o paneles, de los niveles de sistema de visualización gráfica de los ataques y compromisos, como se muestra en la Figura 20- Panel de control> Métrica.

Figura 20

5/10/2018 F1232d01 - slidepdf.com


El ataque y el compromiso son dos indicadores que tienen los monitores de OSSIM independiente debido a la potencial gravedad de su naturaleza. Ambos son el resultado agregado de riesgo representado por elseguimiento de los acontecimientos que afectan a los activos En la página métrica, un ataque representa elriesgo potencial de la máquina debido a los ataques en su máquina. En otras palabras, esto representa la

posibilidad de un ataque, pero en realidad no indican que el ataque fue un éxito. El Compromiso indica que se

ha cometido un ataque contra su máquina.

Métrica de la página se divide en cuatro secciones distintas:• El panel superior le permite seleccionar la duración de sus indicadores: las últimas 24 horas, la última

semana, el último mes, o durante el año pasado.• El panel central proporciona representaciones gráficas, o paneles, que muestran las cifras globales de

administración, un Riskmeter, y de nivel de servicio.• La parte inferior izquierda del panel proporciona información de compromiso.• La parte inferior derecha del panel proporciona información de ataque.

Puede hacer clic en el administrador grafico mundial de Métrica y aparecerá en una nueva ventana para

facilitarle la visualización. Este gráfico observa cualquier ataque o compromiso, un ejemplo en la hora y lafecha que se haya producido.

El grafico Riskmeter, que también puede ser más fácil de hacer solo haciendo clic para ver, la muestra de losataques y compromisos a nivel mundial, la red y nivel de aceptacion. Esta pantalla es en tiempo real de monitor C & A.

El Servicio de nivel gráfico que muestra el actual nivel de servicio en su máquina. La información del gráficoque se obtiene desde el mismo lugar que el Riskmeter la que podrá ver el historial de mediciones C & A. Puedehacer clic en el porcentaje de muestra y ver las cifras de nivel de administrador. Este gráfico le permiteseleccionar la duración de tiempo que se muestra en el gráfico (últimos día, semana, mes o año), así comoseleccionar si mostrar o no los ataques o compromisos.

El compromiso y la sección de ataque en la parte inferior del panel de visualización de información es similar para los dos eventos. Cada evento se divide en dos tipos: global y las redes de grupos externos.

La sección mundial contiene cuatro elementos de información: la puntuación global, el importe máximo de lafecha, el máximo y los niveles actuales.

La puntuación Global cuenta con dos iconos: un gráfico de información y de insertar un símbolo. Al hacer clicen el símbolo gráfico, aparece la ventana de administración de la métrica mundial (exactamente como el de la

parte superior del panel). El icono de insertar la información le permite configurar los ajustes de la métrica queinserta los nuevos incidentes. Usted puede modificar la propuesta de información con otro (si es necesario). Por ejemplo, usted puede solicitar un título con el incidente, establecer prioridades, definir el tipo, el objetivo, tipode métrica y valor, así como horas de inicio y finalización de eventos relacionados.

La Red de grupos que se encuentra fuera de la sección contiene información similar a las redes dentro de ungrupo no definido en el Grupo de Política de la Red (ver Red de grupos). Cada red de afuera también contieneun gráfico y un icono de insertar la información como se detalla en el párrafo anterior.

5/10/2018 F1232d01 - slidepdf.com


En la parte inferior de la página de Métrica, aparece una leyenda que ilustra el porcentaje de umbral y su correspondiente riesgo mediante uncódigo de color.Panel de control> AlarmasEl panel de las alarmas muestra información acerca de cualquier intrusión o intento de intrusión de la red, como se muestra en la Figura 21 -Panel de control> Alarmas.

Figura 21

5/10/2018 F1232d01 - slidepdf.com


La página de las alarmas está dividida en dos paneles, el panel superior es un panel de búsqueda que le permitefijar la alarma de intrusión o criterios. Los resultados obtenidos aparecen en la parte inferior del panel de la

página de la alarma.

El panel de búsqueda le ofrece cuatro opciones para la localización de las alarmas o intrusiones:• La casilla del filtro de verificación, si selecciona, abierto la nueva alarma queda abierta, si seleccionacerrado se establece en Cerrado. • La fecha de la caja de texto le permite establecer un rango de fechas para la alarma deseada (s). Al

hacer clic en el icono de calendario a la derecha del cuadro de texto, puede seleccionar la fecha de inicioy final mediante el calendario emergente. Al establecer una fecha, tenga en cuenta que la fecha debeseguir el año-mes el formato de fecha.

• La dirección IP cuadro de texto le permite establecer un origen y el destino de rango de direcciones IP para la alarma.

• alarmas por página cuadro de texto le permite establecer el número máximo de alarmas para mostrar por página.

Una vez que haya establecido sus criterios de búsqueda, haga clic en Ir y los resultados aparecerán en la

busqueda en el panel inferior de la página. Estas alarmas son los primeros retornos ordenados por fecha, usted puede optar por eliminar todas las alarmas para una determinada fecha, haga clic en Eliminar junto a la fecha para el bloque de alarmas. Si lo prefiere, puede eliminar una alarma de forma individual haciendo clic en elenlace antes mencionado que se encuentra también junto a la entrada de alarma en los resultados de búsqueda.La tercera manera de eliminar todas las alarmas en sus resultados de búsqueda es haciendo clic en Eliminar todas las alarmas en la parte inferior del panel de resultados del panel de búsqueda.

En el panel inferior de la página de alarmas, hay una serie de secciones que proporcionan información útilcuando se trabaja con alarmas o intrusiones:

• La columna Alarmas muestra el nombre de la alarma de intrusión, o evento que se produce. Esto puedeser un nombre específico, o simplemente una descripción del evento, por ejemplo, "contra la posibleintrusión vmossim".

• La columna riesgo muestra un número que indica la amenaza potencial a su máquina y de la red. Por ejemplo, un riesgo de 2 representa el mínimo riesgo para nuestro sistema. Por otra parte, un riesgo de 6,no sólo plantea importantes a riesgo de peligro para su equipo, también tiene una etiqueta con código decolor indicando una mayor amenaza.

• La columna Sensor indica la dirección IP del dispositivo que detecta la alarma.• La columna Desde indica la fecha en que se registró por primera vez en OSSIM ese ataque o intrusión.

Que contiene la fecha, seguido por el tiempo.• La columna última indica la fecha en que OSSIM detecto el último caso particular, con respecto a ese

ataque o intrusión. Que contiene la fecha, seguido por el tiempo.•

La columna Fuente muestra la dirección IP y el número de puerto donde el primer caso de ataque ointrusión apareció.• La columna Destino muestra la dirección IP y el número de puerto donde el primer caso de ataque o

intrusión apareció.• La columna de estado muestra si la alarma está configurada para abrir o cerrar. Puede configurar una

alarma con el estado Abierto o Cerrado simplemente haciendo clic sobre el enlace Abrir. El enlace acontinuación, muestra como cerrado.

• La columna Acción le permite realizar diferentes acciones de esta columna: en primer lugar, se puedeeliminar una alarma como se mencionó anteriormente, haga clic en Eliminar. Alternativamente, puedeconfigurar las propiedades de la alarma incidente haciendo clic en el icono Insertar la información a laderecha del vínculo Eliminar. Estas propiedades incluyen toda la información que aparece por una

alarma en el panel Resultados de la búsqueda, como la alarma, el riesgo, sensores, etc.

5/10/2018 F1232d01 - slidepdf.com


POLITICAS

5/10/2018 F1232d01 - slidepdf.com


Política> Política

Una gran parte de la conducta de ossim está configurada a través de esta sección. Los Activos deben ser definidos (tanto en la aceptacion y a nivel de red), acciones de IPS y las respuestas se pueden configurar y los

puertos, los sensores, los servidores y grupos de plugin deben ser definidos para la política de configuración.

Esta sección controla parte de la colección, la priorización y la correlación núcleo de ossim, similar a una política de cortafuegos GUI. Se define un conjunto de fuentes, destinos, eventos, qué hacer con ellos, cómo ycon qué objetivos se aplica (lo que los servidores / sensores para aplicar la política).

Política de la página muestra la "política" para su sistema, como se muestra en la Figura 22. La política esesencialmente un grupo de ajustes que manejan el comportamiento y la seguridad. Aquí usted puede sintonizar OSSIM en múltiples formas, especificando qué es lo que quiere hacer con ciertos eventos o alarmas. Esta

página le permite ver los ajustes y crear nuevas políticas cuando sea necesario.Cada vez que se modifique la política lo mejor es reiniciar el servidor, ya que modifica algunos detallesinternos.

5/10/2018 F1232d01 - slidepdf.com


Figura 22 De forma predeterminada, no hay políticas, por lo que puede crear una haciendo clic en Insertar nueva política. La página para insertar la nueva política le permite establecer los siguientes bits de información a través de la utilización de casillas de verificación de radio y cajas:

5/10/2018 F1232d01 - slidepdf.com


Básicamente durante la edición de una política que tenga los siguientes campos para rellenar / ajustar:FuenteEste campo especifica el origen de los acontecimientos que queremos igualar.Los eventos que no tienen unobjetivo o una meta que no tiene sentido (cambios de SO, cambios de mac, nuevo servicio, la vulnerabilidadidentificada, etc.).

Fuente puede tomar uno de tres valores:1. Cualquier host definido en Política> Ejércitos 2. Toda la red se define en la política -> Redes 3. El valor especial alguno.

DestinoAquí se estableció el objetivo de un evento. En caso de que no tiene un objetivo (os, mac, servicio, etc.) debeser definido como cualquier, este bjetivo será insertado como 0.0.0.0 si está insertada en un campo obligatorioip.Destination, again, can take one of three values: Destino, de nuevo, puede tomar uno de tres valores:

1. Any host defined at Policy --> Hosts Cualquier host definido en la política -> Ejércitos 2. Any network defined at Policy --> Networks Toda la red se define en la política -> Redes

3. The special value any. El valor especial alguno. Puerto de DestinoPuerto de destino se especifica el puerto de destino de un caso y puede ser definido en virtud de Política>Puertos. PrioridadCada uno de los eventos llega con su propia prioridad y fiabilidad, que es tomado de la PP. Además de loseventos pueden ser agregados en virtud de las nuevas prioridades y fiabilidad de las alarmas. Ambos tipos deeventos pueden ser perfeccionados mediante políticas y controles de este parámetro para ajustar la forma en la

prioridad.La prioridad se puede seleccionar de una lista y puede tomar los siguientes valores:

• No ajuste (-1)• 0• 1• 2• 3• 4• 5

Todos ellos son automaticos, "No ajuste" deja intacta la prioridad, 0 hace invisible para el caso de cualquier cosa relacionada con el riesgo dentro de ossim.

http://74.125.159.132/translate_c?hl=es&sl=en&tl=es&u=http://ossim.net/dokuwiki/doku.php%3Fid%3Duser_manual:policy&rurl=translate.google.com.ni&usg=ALkJrhgv-iv36WXRvOZksHGwPfcfRlO9Sw





















5/10/2018 F1232d01 - slidepdf.com


Plugin de GruposCada caso es singularmente definido por dos números, el "plug-in de identificación" y "plug-in DIM". El uso degrupos la Política> Plugin puede definir uno o más grupos adecuados para su póliza.SensorEste es el sensor que debe generar los eventos de esta política. Puede configurar los sensores en virtud de

Política> Sensores. Rango de tiempoAunque algo limitado en este momento nos permite un tiempo de inicio y final la definición de la política.MetaCuando se "instala esta política”. Efectivamente, no se instala en los objetivos seleccionados, pero dice que elobjetivo ha de tener en cuenta esta política. Luego en conjunto Política> Servidores. (NOTA: Esto se agrupan

junto con los sensores en virtud de "objetivos"). Los objetivos válidos a partir del 2007/04/02 son servidores, sunombre debe coincidir con el <server name=""> entrada en / etc / ossim / server / config.xml. Por ejemplo, "serverUP" aquí:

<server port="40001" name="serverUP" ip="0.0.0.0"/> <server port="40001" name="serverUP" ip="0.0.0.0"/>Caso las variables

Estos son algunas opciones "sí / no" que le dicen a los objetivos de qué hacer con el caso una vez que hayacombinado:

• Correlacionar los eventos: En caso de que se pongan en venta el caso de ser utilizados para lacorrelación?

• Correlacionar eventos cruzados: Para cruzar-plugin o identificaciones, las identificaciones delservicio correlación?

• Tienda eventos: En caso de que sean almacenados?• Calificar los acontecimientos: ¿Afectan las cifras de riesgo? debe modificar el objetivo prioritario o C

& A los niveles?• Reenviar alarmas: En caso de que las alarmas generadas en estos eventos se reenvíen a otros

servidores?• Reenviar eventos: En caso de ser reenviados a otros servidores?

Descripción Sólo eso, una simple descripción.Varias de estas opciones le permiten añadir nuevas opciones, si la lista de opciones disponibles no se ajusta asus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo sensor de vínculo por debajo de la cabecera delos sensores, a añadir un sensor a la lista de los sensores. Una vez que haya terminado, haga clic en Aceptar.Aparece un diálogo que indica que su política se ha creado con éxito, haga clic en Atrás.










5/10/2018 F1232d01 - slidepdf.com


Puede hacer clic en Actualizar si no aparece. Si desea modificar o eliminar la política, puede hacerlo utilizando los enlaces de la columna Acción.Si optan por modificar el evento, la actualización de la página aparece la política de mostrar la misma lista de opciones que se ha mencionadoanteriormente el mantenimiento de las casillas de verificación y seleccione las casillas. Una vez terminado, puedes hacer clic en Aceptar paravalidar los cambios o Restablecer para volver a sus parámetros iniciales.La política de configuración tiene el siguiente aspecto:

Figura 23

5/10/2018 F1232d01 - slidepdf.com


Política> EjércitosLa pagina de los Ejércitos muestra la lista de los nombres de las máquinas, así como la información pertinente acerca de ellos, como se muestraen la Figura 24 - Política> Ejércitos.

Figura 24

5/10/2018 F1232d01 - slidepdf.com


En la columna Acción, puede modificar uno de los nombres de host. Una vez que haga clic en Modificar para elnombre de host, puede modificar los siguientes elementos de información:

Hostname IP

Valor Umbral C: RRD se generará eventos si este valor es superado. Un umbral: RRD se generará eventos si este valor es superado. RRD Perfil: Es necesario definir un perfil de RRD, por defecto, si seguro. NAT Sensores Insértese un nuevo sensor? Opciones de exploración OS Dirección Mac Mac proveedores Descripción

Detalles acerca de estas opciones que se pueden encontrar en la Política> Detalles de la sección.

Varias de estas opciones le permiten añadir nuevas opciones, si la lista de opciones disponibles no se ajusta asus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo sensor de vínculo por debajo de la cabecera delos sensores a añadir un sensor a la lista de los sensores. Una vez terminado, puedes hacer clic en Aceptar paravalidar los cambios o Restablecer para volver a sus parámetros iniciales.

También puede optar por crear una nueva haciendo clic en Insertar aceptacion de la nueva página de losEjércitos. La página para insertar la aceptactacion muestra la misma lista de los parámetros mencionadosanteriormente que se puede configurar. Una vez que haya terminado, haga clic en Aceptar. Aparece un diálogoque indica que su política se ha creado con éxito, haga clic en Atrás.

5/10/2018 F1232d01 - slidepdf.com


Política> RedesLa pagina de las redes muestra la lista de redes disponibles para tu sistema, así como la información pertinente para la red, como se muestra en laFigura 25 - Política> Redes. OSSIM en general tendrá que definir todas las redes de donde usted desea obtener información.

Figura 25

5/10/2018 F1232d01 - slidepdf.com


Al igual que en las otras pestañas para las Políticas, puede modificar, eliminar o añadir una red. Para modificar una red existente, haga clic en Modificar en la columna Acción.

Una vez que haga clic en Modificar, En la pagina de la red aparece Modificar, lo que le permite modificar los

siguientes ajustes: Netname IP Valor Umbral C Umbral A RRD Perfil Sensores Opciones de exploración Descripción

Los detalles acerca de estas opciones se pueden encontrar en la Política> Detalles de la sección.

Varias de estas opciones le permiten añadir nuevas opciones, si la lista de opciones disponibles no se ajusta asus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo sensor de vínculo por debajo de la cabecera delos sensores a añadir un sensor a la lista de los sensores. Una vez terminado, puedes hacer clic en Aceptar paravalidar los cambios o Restablecer para volver a sus parámetros iniciales.

Si decide crear una red, puede hacerlo desde la página haciendo clic en Redes Insertar nueva red. La mismalista de configuraciones está disponible para usted que se enumeran más arriba. La única diferencia es que alcrear una nueva red, puede configurar múltiples o un rango de direcciones IP. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para volver a sus parámetros iniciales.

5/10/2018 F1232d01 - slidepdf.com


Política> Red de gruposEn la pagina de la Red de grupos se enumeran los grupos de red disponibles para su máquina, como se muestra en la Figura 26 - Política> Red deGrupos. Puede utilizar esta opción para organizar sus redes.

Figura 26

5/10/2018 F1232d01 - slidepdf.com


De forma predeterminada, la Red de grupos de la página está vacía. Al igual que en las otras pestañas para lasPolíticas, puede modificar, eliminar o añadir un grupo de red. Para ello, haga clic en Insertar nuevo grupo dered.

Puede configurar los parámetros para las siguientes actividades: Nombre Redes Umbral C Umbral A RRD Perfil Opciones de exploración Descripción

Detalles acerca de estas opciones se pueden encontrar en la Política> Detalles de la sección.

Varias de estas opciones le permiten añadir nuevas opciones, si la lista de opciones disponibles no se ajusta a

sus necesidades. Por ejemplo, puede hacer clic en Insertar nuevo enlace de red debajo de la cabecera de lasredes para añadir una red personalizada a la lista de redes disponibles. Una vez terminado, puedes hacer clic enAceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo queconfirma que su operación fue un éxito, haga clic en Atrás para volver a la Red de grupos de la página.

El nuevo grupo de red aparece en la Red de grupos de la página, para modificarlo, simplemente haga clic enModificar las columnas de la acción. La información anterior relativa a la creación de un nuevo grupo de redtambién se aplica cuando la modificación de un grupo de red.

5/10/2018 F1232d01 - slidepdf.com


Política> Detalles (Dentro de los Ejércitos, Red de Redes y grupos)Detalles de la política de permitir la configuración de monitores activos de OSSIM. Los activos incluyen Servidores, Redes, Red y Grupos. Si bien estos no son similares, también tiene diferentes parámetros (por ejemplo, frente a la red de aceptacion PI PI), todos comparten en común unaserie de opciones (ver 27 - Política de Detalle).

Figura 27

5/10/2018 F1232d01 - slidepdf.com


Las opciones comunes incluyen activos, C Umbral, Umbral A, RRD Perfil, Sensores, y Opciones deexploración. Activo, Umbral C y Umbral A todos los valores utilizados para calcular el valor CALMA riesgo deaceptacion y de algunos eventos específicos. Todas las otras opciones son exclusivas de los activos y se explicaen su sección correspondiente.

Los activos se utilizan para calcular el riesgo. El Riesgo es el producto de los Activos, la prioridad, y dividido por ten25 Fiabilidad. El ativo es un número entre cero y cinco. Asignar un valor en relación con el valor intrínseco de los activos, siendo 5 el valor más alto. La asignación de un alto valor de los activos de todo elequipo no es un uso eficaz del valor de los activos. C es el límite máximo de compromiso del valor aceptado; Siel anfitrión superar gracias a algunos eventos, que se publicará en el Panel de control → Pagina Métrica. Lasalertas tienen valores de compromiso y este valor indicar qué valores afectan a este host.

El umbral A es el valor máximo ataque aceptado; Si el anfitrión superar gracias a algunos eventos, que se publicará en el Panel de control → Métrica. Las alertas tienen valores de ataque y este valor indica lo queafecta en particular, a los valores de aceptacion.

El perfil RRD se utiliza para determinar lo que las alertas se generan sobre la base de estadísticas ntop y lacapacidad de predicción. Los perfiles RRD se definen en OSSIM> Configuración> Config RRD> Modificar /

Nueva RRD Config.

5/10/2018 F1232d01 - slidepdf.com


Política> SensoresLos sensores están conectados y se configura a través de la Política> Sensores de interfaz. OSSIM utiliza sensores para recopilar datos. Lainformación en esta tabla puede cambiar cuando la página web se actualize. Hay dos cuadros en esta interfaz (ver Figura 28 - Política> Sensores).

Figura 28

5/10/2018 F1232d01 - slidepdf.com


El primer cuadro es una simple visión del conjunto de sensores. Los sensores son sensores activos hablando conel servidor OSSIM en el momento en que el sensor de la página fue cargada. El total de Sensores es el númerode sensores configurados dentro de la base de datos de OSSIM. Este total incluye los sensores que secomunican con el servidor, los sensores que no comunican con el servidor, y los malos sensores. El número

total de sensores incluidos en el número de líneas en el segundo cuadro.

La segunda tabla se enumeran todos los sensores y su configuración. Esta información procede de la base dedatos de OSSIM. Hay cinco columnas en esta tabla.

IP es la dirección IP de un sensor con un agente de OSSIM. Este campo debe ser una dirección IP válidaaccesibles desde el servidor OSSIM (aunque es el agente que inicia la conexión por lo general). El sensor utiliza esta dirección para conectarse al servidor OSSIM.

Hostname es el nombre del host. El nombre de la máquina no tiene que ser el nombre del host según loreportado por el sensor. Esto no tiene nada que ver con el nombre DNS, es el nombre que se dará a ese anfitrión

en OSSIM.

Prioridad determina cómo acoge los vínculos de lossensores dentro de los informes de aceptacion. Una puedetener múltiples sensores y la más alta prioridad es el primer sensor vinculados a la aceptación.La prioridad

puede ser un valor en el rango de cero a diez.

Puerto de destino es el puerto de red que el agente utiliza para comunicarse con el servidor OSSIM. Esto puedeser cambiado para facilitar el acceso a través de un firewall, el reenvío de puertos o alguna técnica deofuscación. Cambiar el número de puerto no está recomendado para usuarios principiantes de OSSIM. Cambioque exige un cambio de configuración en el agente de OSSIM, potencialmente, el host donde está instalado elagente, y otros componentes de la red.

Identificar si activa o no un sensor se activa o no. Los sensores activos son los sensores que tienen unacomunicación conel servidor OSSIM. El verde indica un sensor activo. Un rojo indica que un sensor no estácomunicando con el servidor OSSIM.

Descripción es un texto utilizado para describir el sensor. Se trata de un ámbito de especial utilidad para redescomplejas, o cuando los sensores no tienen nombres descriptivos. La descripción debe ser utilizada para aclarar lo que el sensor es en realidad.

Acción contiene hipervínculos con tres opciones para cada sensor: Modificar, Eliminar, & Interfaces. Modificar

se usa para cambiar la configuración del sensor. Modificar el uso para reparar o actualizar sensores malosdescripciones como la red que vigila los cambios. Borrar elimina los sensores de la Base de Datos de OSSIM.Eliminar sensores no utilizados y que ya no tienen datos. Interfaces le llevará a la interfaz de pantalla paradefinir las interfaces que Ntop ver (si los hubiera).

Advertencia: Si elimina la información del sensor sensores desvincula los datos almacenados en la base de

datos. Esto significa que usted no puede ser capaz de averiguar de dónde vinieron los datos antiguos en su

base de datos. Eliminación de un sensor que elimina la información.

5/10/2018 F1232d01 - slidepdf.com


Política> ServidoresLa página de los servidores muestra la lista de servidores chicos disponibles para su máquina. Esto incluye el número de chicos activos y el totalde servidores. A la izquierda, usted verá "El servidor master..." Este es el principal servidor - la instalada de este servidor - le informa si estáactivo o no. Tenga en cuenta que si usted tiene sólo un servidor (un nivel de arquitectura), no verá ninguo de los servidores que aparecen en latabla - sólo verá el "El servidor maestro". Esta página también incluye otra inform ación pertinente, como se muestra en la Figura 29.

Figura 29

5/10/2018 F1232d01 - slidepdf.com


Al igual que las demás pestañas de las Política, puede modificar, eliminar o añadir un servidor a su sistema.Para insertar un nuevo servidor, haga clic en Insertar nuevo servidor, que se encuentra en la parte inferior de la

página.

Una vez que el servidor de la página Insertar nuevo, puede establecer las siguientes opciones:• Hostname• IP• Puerto• Correlacionar los eventos• Correlacionar eventos cruzados• Store eventos• Calificar los acontecimientos• Reenviar alarma• Reenviar eventos• Descripción

Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar loscambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás paravolver a la página Servidores.

Para modificar un servidor existente, haga clic en Modificar en la columna Acción para el servidor. La únicadiferencia entre la adición y modificación de un servidor es que no se puede modificar el nombre de host alhacer modificaciones. Si has cometido un error en el establecimiento del nombre de host, es mejor eliminar elservidor y crear una nueva. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios oRestablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito,haga clic en Atrás para volver a la página Servidores.

5/10/2018 F1232d01 - slidepdf.com


Política> PuertosLa página de los Puertos da la lista de puertos disponibles y grupos de puerto, como se muestra en la Figura 30.

Figura 30

5/10/2018 F1232d01 - slidepdf.com


Al igual que los demás pestañas de la Políticas, puede modificar, eliminar o añadir un puerto o grupo de puertoa su sistema. To haga clic en Insertar nuevo Puerto Grupo, que se encuentra en la parte inferior de la página.

Una vez que el grupo Insertar en la pantalla un nuevo, añadir un nombre, elija un puerto o los puertos, así comoañadir una descripción. Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic enAtrás para volver a la página Puertos.

Para añadir un nuevo puerto, haga clic en Insertar nuevo puerto de la parte inferior de la página Puertos. Añadir un número de puerto, seleccione un protocolo, escriba un nombre de servicio, y agregar una descripción. Unavez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios.Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la

página Puertos. El nuevo puerto aparecerá en la lista de puertos disponibles cuando se añade un nuevo puertogrupo.

Aunque no se puede modificar un número de puerto que ha creado, usted puede hacer modificaciones a su puerto de grupo. Para ello, haga clic en Modificar de la columna Acción. La única diferencia entre lamodificación y la creación de un puerto del grupo es que no se puede modificar el nombre del puerto del grupo.Una vez terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar loscambios. Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás paravolver a la página Puertos

5/10/2018 F1232d01 - slidepdf.com


Política> AccionesLa pagina Acciones muestra la lista de acciones programadas para su máquina. Por defecto, esta página está vacía, como se muestra en la Figura31 - Política> Acciones. a continuación, se especifica la acción. Y aquí se puede definir las medidas que deban tomarse.

Figura 31

5/10/2018 F1232d01 - slidepdf.com


Al igual que los demás pestañas de la Política, puede modificar, eliminar o añadir una acción a su sistema. Parainsertar una nueva acción, haga clic en Agregar nueva acción, que se encuentra en la parte inferior de la página.

Una vez en la pantalla de la nueva acción Añadir, debe introducir en primer lugar una descripción en el cuadrode texto. El tipo de campo le permite decidir si una solicitud puede llamar o enviar un e-mail a alguien, cuando proceda.

Si selecciona "enviar un mensaje de correo electrónico", deberá introducir el remitente la dirección de correoelectrónico, el destinatario de la dirección de correo electrónico, y el objeto del correo electrónico. Un cuadrode texto está disponible para usted para entrar en el cuerpo de su correo electrónico. Una vez terminado, puedeshacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro dediálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página Acciones.

Si selecciona "ejecutar un programa externo", debe agregar la línea de comandos para la aplicación. Una vez

terminado, puedes hacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios.Aparece un cuadro de diálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la

página Acciones. La palabra clave es la sustitución de una característica disponible aquí (ver Sustitución de palabras clave). Por favor, tenga cuidado; En la ejecución de programas externos puede ser un riesgo para laseguridad y debe hacerse con mucho cuidado.

Para modificar una acción, haga clic en Modificar en la columna Acciones para la acción deseada. Please Tengaen cuenta que cuando se modifica un recurso, no puede cambiar el tipo de acción (si has seleccionado paraenviar un e-mail, usted no puede cambiar de opinión y pedir una solicitud en lugar). Una vez terminado, puedeshacer clic en Aceptar para validar los cambios o Restablecer para borrar los cambios. Aparece un cuadro dediálogo que confirma que su operación fue un éxito, haga clic en Atrás para volver a la página Acciones.Sustitución de palabras claveLa Sustitución de palabras clave son las variables que interpretan con sus correspondientes valores. Estacaracterística está disponible en las acciones. Puedes echar un vistazo a las palabras clave de la política>Acciones. Las palabras clave se pueden utilizar con los scripts o e-mails externo personalizado cuando llegauna alarma. OSSIM sustituye las palabras clave con los valores apropiados.

Todos los valores de la palabra clave se refieren a los campos de la alarma.

Nota: esta es para los incidentes, no acciones.

5/10/2018 F1232d01 - slidepdf.com


Policy > Plugin Groups Política> Plugin GruposLa pagina de el plug-in de Grupos muestra el nombre de los diversos grupos de plugins, así como información relevante acerca de cada uno,como se muestra en la Figura 32 - Políticas> Grupos Plugin.

Figura 32

5/10/2018 F1232d01 - slidepdf.com


Al igual que los demás pestañas de las Política, se puede modificar, eliminar o añadir un complemento a susistema de grupo. Para insertar un nuevo plugin de grupo, haga clic en Insertar nuevo grupo, que se encuentra

por encima de la mesa.

Una vez que la pagina del plug-in de Grupos aparece, debe agregar un nombre y una descripción para el grupomediante los cuadros de texto. A continuación, seleccione una o más plug-ins utilizando las casillas deverificación junto a la lista de los plugins. Una vez que seleccione un plugin, usted debe agregar su DIMutilizando el cuadro de texto que aparece junto al nombre del plugin. Haga clic en Aceptar cuando hayaterminado, usted automáticamente volvera a la página de grupos de plug-in cuando el nuevo plug-in apareceráen la parte inferior de la lista.

Para modificar un plugin de grupo, haga clic en Editar de la columna Acciones del plugin grupo deseado. Todomenos el número de ID de grupo (que se asigna automáticamente a su grupo, cuando lo creó) pueden ser modificados. Una vez que esté satisfecho con sus cambios, haga clic en Aceptar. Automáticamente volver a la

página de grupos de Plugin.

Los plug-in son necesarios para la política, por ejemplo, Si desea utilizar sólo un plugin, tendrás que crear ungrupo con sólo un plugin dentro de él. Con este enfoque, es mucho más fácil crear políticas complejas.

5/10/2018 F1232d01 - slidepdf.com


MONITORES

5/10/2018 F1232d01 - slidepdf.com


Monitores> Sesión (ntop)Son vistos a través de sesiones de Monitores> Sesión. Sesiones de TCP y UDP sesiones de comunicaciones entre las máquinas de una red deseguimiento. Son persistentes las comunicaciones entre dos hosts (si se trata de una sesión TCP). Los monitores de período de sesiones deOSSIM, cuando correlacionan los datos de la red. Nntop recopila y presenta información de este período de sesiones. Hay un sensor de seleccióny una tabla con la red de sesiones en esta interfaz (ver Figura 33 - Monitores> Sesión).

Figura 33

5/10/2018 F1232d01 - slidepdf.com


El sensor de selección permite al usuario elegir en qué período de sesiones del sensor para ver el cuadro. Elselector es la combinación de la caja debajo del menú OSSIM y sobre el protocolo TCP / UDP. El selector delistas de los sensores y redes. Las Redes se definen en Política> Redes.

Active sesiones TCP / UDP en la tabla se enumeran todos los períodos de sesiones para el sensor. Hay diezcolumnas en este cuadro:• Cliente es el nombre de host o dirección IP de la aceptación para hablar con un servidor. Un host es

cualquier equipo, router, impresora, u otro dispositivo conectado a una red. Hay cuatro campos en estacolumna. El primer campo es el nombre del host. ntop mostrará un nombre si puede resolver el nombreDNS o NetBIOS a través de, de la mejor dirección IP que se muestre. El segundo campo es opcional yentre paréntesis y se indica cómo se resolvió el nombre de host. El tercer campo es, El icono de Banderaindican que con un riesgo particular de aceptacion, donde el verde es bajo, el amarillo es medio, y rojoes de alto riesgo. Finalmente, el último campo es el número de puerto en el tráfico de la red deaceptación donde es originario ntop utiliza el archivo / etc / services en el servidor ntop para resolver con los números de servicio de nombres.

• Servidor es el nombre de host o dirección IP para aceptar las conexiones de los clientes. Un servidor normalmente acepta conexiones de varios clientes, ya que ofrece servicios a los clientes. Hay cuatrocampos de esta columna. Estos campos son los mismos ámbitos que el cliente se ha descritoanteriormente (véase el Cliente).

• Los datos enviados es la cantidad de datos enviados desde el cliente en la conexión actual. Esto se daen bytes, kilobytes (KB), Megabytes (MB), etc

• Rcvd datos (datos recibidos) es la cantidad de datos recibidos desde el servidor de la conexión actual.Esto se da en bytes, kilobytes (KB), Megabytes (MB), etc

• Dado que se activa a la hora y la fecha cuando se inició este respecto. Esta vez es el momento en elservidor ntop.

• Último visto es el momento en que el seguimiento de la última conexión de la red. Este es el momentoen el servidor ntop.

• Duración es la duración de la sesión de seguimiento. Esto es en el formato hh: mm: ss.• La latencia es la grabación de latencia entre el cliente y el servidor.

5/10/2018 F1232d01 - slidepdf.com


Monitores> Red (ntop)Las redes son vistas a través de ntop. Es una red de código abierto "de arriba". Principio es un comando de *nix que se enumeran los "de arriba" los procesos activos en el host (esto es similar a el administrador de tareas

en las ventanas. Supervisa y recoge información sobre los protocolos y las máquinas de la red. OSSIM utilizaun envoltorio alrededor de una barra lateral izquierda ntop para presentarlo de una manera compatible con eluso y la metodología de OSSIM Figura 34 - Monitores> Red).

Figura 34

5/10/2018 F1232d01 - slidepdf.com


En la barra lateral izquierda de OSSIM tiene una serie de opciones para ver los datos. Estas opciones sonaccesibles para todos los sensores y sus interfaces (como se define en virtud de la Política → Sensores ficha).

El sensor de selección permite al usuario elegir qué sensor para ver los datos. El selector es la combinación de

la caja en la parte superior de la barra lateral izquierda. El selector de listas de los anfitriones con los agentes deOSSIM instalados.

La interfaz del selector permite al usuario elegir qué interfaz de datos para ver ntop. El selector es lacombinación de la caja del sensor debajo de la selección. Esta selección muestra todos los interfacesconfigurados para su uso en el sensor seleccionado anteriormente.

Nota: La interfaz de selección sólo funcionará si ntop se inicia con la opción "-M" opción. ntop utiliza esta

opción para permitir la separación del tráfico por la interfaz. Sin esta opción, todo el tráfico aparecerá bajo el

sensor.

Mundial es el mundial de la información para el sensor seleccionado. Esto proporciona una visión general de laejecuticion de las mediciones del ntop. Esta página contiene un gran número de gráficos apto para su inclusiónen los informes de gestión sobre el estado actual de la red. Particularmente digno de mención, es un enlace a losdatos históricos de tráfico incluidos en el Informe, aquí podrás ver la información histórica almacenada enformato RRD.

Listas de los protocolos de aceptación del tráfico clasificado por los protocolos de red. Las categorías incluyenlas redes y protocolos de la capa de transporte de las cinco capas de TCP / IP modelo (por ejemplo, ICMP,IGMP, TCP, UDP, etc.) Muestra informes con el número de bytes enviado a través de cada protocolo.Servicios> Por aceptacion: El Total de aceptacion del tráfico, total de listas clasificadas por la solicitud de redsolicitud. Esta es una tabla con una fila para cada uno de aceptación y de los valores de los datos con el númerode bytes enviados por cada host. Las categorías son protocolos de la capa de aplicación de las cinco capas deTCP / IP modelo (por ejemplo, HTTP, DNS, NETBIOS, etc.) Servicios> Por aceptacion: es la suma total de

bytes enviados y recibidos por el anfitrión. Servicios> Por aceptacion: enviado listas de la mismainformación, pero sólo envió datos. Servicios> Por host: recv listas de la misma información, pero en los datosrecibidos.

Servicios> Servicio de estadísticas muestra información general acerca de los protocolos y servicios en la red.Esta es una combinación de cuadros y gráficos.

Servicios> Al cliente-servidor la listas de servicios visto en la red y los servidores que utilizan los servicios.

Esta es una tabla con filas para cada servicio.Rendimiento> Por host: Total de las listas totales promedios, picos, y las actuales tasas de tráfico de la red. Estaes una tabla con filas para cada uno de aceptacion y de los valores de los datos con la tasa para cada host en

bytes por segundo (bps). El total es la suma de los bytes enviados y recibidos por el anfitrión. Rendimiento>Por host: Enviados listas de la misma información, pero sólo envió datos. Rendimiento> Por host: recv listas dela misma información, pero sólo los datos recibidos.

Matrix> Data Matrix es un cuadro de subred IP de tráfico.

5/10/2018 F1232d01 - slidepdf.com


Matrix> Tiempo Matrix es una tabla con códigos de color para la lista de los porcentajes de tráfico de cadahost en la red por tiempo.

Gateways, VLANs> Pasarelas de las listas de la actividad de la subred local routers. Muestra los routers que

se utilicen de manera activa por cualquier host.

Gateways, VLAN> VLAN listas locales de la actividad de las redes de área local virtuales (VLAN).

Los usuarios del sistema operativo y las listas de los sistemas operativos y la ID de usuario se encuentran enla red. Los datos dentro de aquí no tiene una relación directa con el Informe de aceptacion información →

Dominios lista las estadísticas de todos los dominios de la red.

Monitores> Disponibilidad (Nagios)La Disponibilidad muestra la situación de los ejércitos y la presentación de informes relacionados en Nagios.

Nagios informes sobre un host y servicios dentro de su red. OSSIM utiliza una envoltura con una barra lateralizquierda en torno a Nagios para presentarlo de una manera compatible con OSSIM del uso y la metodología(ver Figura 35 - Monitores> Disponibilidad).

5/10/2018 F1232d01 - slidepdf.com


Figura 35

5/10/2018 F1232d01 - slidepdf.com


Es necesario configurar Nagios para utilizarlo. En resumen, los ejércitos deben ser configurados y se añade a /etc / archivos de configuración de Nagios. Esto implica la creación de plantillas y los objetos de una variedadde invitados y configuraciones (por ejemplo, Unix, Windows, servidor, cliente, etc.)

En la barra lateral izquierda OSSIM tiene una serie de opciones para ver los datos. Estas opciones sonaccesibles para todos los sensores. Los datos se dividen entre supervisión y presentación de informes.

El sensor de selección permite al usuario elegir qué sensor para ver los datos. El selector es la combinación dela caja en la parte superior de la barra lateral izquierda. El selector de listas de huéspedes con el agente deOSSIM instalado.VigilanciaDetalle de servicios se enumeran los detalles de seguimiento de los servicios de red. Esto incluye servicioscomo http y ftp.

Detalle de aceptación se enumeran los detalles de seguimiento de los ejércitos. Esto proporciona detalles de

las distintas estadísticas recogidas por los agentes de Nagios.

Condición general, Estado de cuadrícula, Mapa del Estado, Servicio de Problemas, problemas deservicio, los problemas de acogida, Proceso de Información, Información de la ejecución y proporcionar todos los puntos de vista diferentes en información completa para el sensor. Estas características permiten a losusuarios ver los problemas con sus activos de red en un solo lugar.

Comentarios permite a los administradores compartir información acerca de los distintos activos.

Programación de la cola es donde Nagios diversos puestos de trabajo están programadas, Nagios ejecuta procesos en diversas ocasiones y que aquí es donde se configura. Esto incluye cuando los servicios se controlanentre otras cosas.Presentación de informesTendencias de informes con gráficos de los diversos activos del Estado durante un período de tiempo.

Disponibilidad de informes sobre la disposición de bienes durante un período de tiempo.

Evento Histograma una gráfica con los informes de la disponibilidad de un activo a lo largo del tiempo.

Resumen del evento ha genérico acerca de los informes de aceptacion y de servicio de datos de alerta. Estoincluye los totales de alerta, alerta de los productores principales, y una serie de otros parámetros.

Notificaciones muestra los mensajes que se han enviado a varios contactos en Nagios' base de datos. Estosmensajes se utilizan para transmitir información sobre un bien determinado a determinadas personas.

Información de desempeño es una colección de gráficos que ilustran mrtg diversos datos estadísticos para elseguimiento de activos.

5/10/2018 F1232d01 - slidepdf.com


Monitores> SensoresSensores de estado se muestra a través de Monitores> Sensores de interfaz. Aquí verás los sensores conectados a OSSIM, como OSSIM utilizasensores para recopilar datos. La información en esta página web puede cambiar cuando la página web se cargue. Hay un cuadro de este estadode la interfaz de listado de plugins en el sensor (ver Figura 36 - Monitores> Sensores).

Figura 36

5/10/2018 F1232d01 - slidepdf.com


Hay cinco columnas a la tabla de estado del sensor.

Plugin es el nombre del plugin instalado y configurado en el sensor. Un plugin es el mecanismo mediante el

cual recibe los datos OSSIM. El plugin se encarga de analizar los datos en el sensor y la normalización en unformato que entiende OSSIM.

Indica si el plugin o no está operand. ARRIBA verde indica que el complemento se está ejecutando y el envíode información a OSSIM. ABAJO rojo indica que el plugin no está en ejecución. Un desconocido negro indicaque el sensor no puede determinar el estado (esto no es necesario una mala cosa).

Acción (a la derecha de 'Estado') es un hipervínculo que puede ser usado para cambiar el estado del plugin.Intento para iniciar el correspondiente plugin. Detener hipervínculos intento para detener la extensióncorrespondiente. Estos comandos se ejecutan sólo en el sensor correspondiente.

Activado indica si el plugin o no está activo y presenta informes. El plugin se puede desactivar en el archivo deconfiguración del agente. El sensor incorporado en el monitor de vigilancia no discapacitados plugins. Además,

puede ser desactivado en una de las siguientes medidas columna.

Acción (a la derecha de 'Activado') es un hipervínculo que puede ser usado para cambiar el estado del plugin.Desactivar desactiva un plugin y se detiene automáticamente a partir de cuando el sensor se reinicia. Permitir que se convierta en un complemento y lo inicia cuando un señor se reinicia.

5/10/2018 F1232d01 - slidepdf.com


EVENTOS

5/10/2018 F1232d01 - slidepdf.com


Eventos> Sim Eventos

Aqui podemos Observar la firma(Signature) del sensor que esta trabajando asi como el ip destino como elorigen del ip ,las prioridad que se le asigna asi tambien como el riesgo. Ver figura 37.

figura 37

5/10/2018 F1232d01 - slidepdf.com


Eventos> Eventos en tiempo real

El Visor de sucesos en tiempo real representa los eventos a medida que van llegando en el servidor. Puede ser

utilizado para propósitos de depuración, así como-siempre en pantalla el indicador para los eventos. ver figura38Aqui puede filtrar un sensor por medio de un simple click al lado derecho puede escojer:· pads· arpwatch· pOF· sshd· snort· rrd_treschold· pam_unix· sudo

·directive_alert· nagios· rrd_anomaly· nagios

figura 38

5/10/2018 F1232d01 - slidepdf.com


Eventos> Visor de sucesos

La página muestra información de eventos para cinco tipos distintos de eventos del sistema: snort, astucia, OSeventos, servicio de eventos, eventos y MAC. Uso del panel del filtro, puede visualizar los eventos de su

elección, como se muestra en laFigura 39 - Panel de control> Eventos.

Figura 39

5/10/2018 F1232d01 - slidepdf.com


Panel de control> Eventos

Snort eventos están relacionados con snort, la red de detección de intrusos y el sistema de prevención. Sialgunos de sensores de su sistema se está ejecutando snort, cualquier ataque o intrusión en relación con snort seregistran como tales.

Snare eventos están relacionados con el registro y la auditoría del sistema de recogida del mismo nombre -Sistema de Análisis de la intrusión de Medio Ambiente y presentación de informes. Este eventos se extraen delas ventanas eventos.

OS Events are any type of event that attempts to modify shows a modification in the operating system onsomeyour machine in the network. Eventos OS son cualquier tipo de evento que muestra los intentos demodificar una modificación en el sistema operativo en su máquina en la red.

Servicio de eventos son cualquier tipo de evento que muestra las modificaciones a los intentos de modificar cualquiera de los servicios de su máquina de algunos en la red.

MAC Los eventos son cualquier tipo de evento que muestra los intentos de modificar el MAC modificacionesen cualquier máquina en la red. dirección en su máquina.

La página de eventos le ofrece una serie de tareas para trabajar con los eventos del sistema.Además deencontrar información detallada sobre los eventos del sistema específico, también puede configurar las pestañasdel evento y el uso en OSSIM Forense (ácid-báse).

En la parte superior de la página de eventos, hay una sección con enlaces a los cinco eventos del sistema, comose mencionó anteriormente en esta página. Por supuesto, puede crear nuevos tipos de eventos diferentes, comose verá más adelante.Al hacer clic en el enlace, los resultados son reducido a ese tipo de evento. Por ejemplo,haciendo clic en Snort, la lista de resultados que aparece en la parte inferior se reducirá notablemente, ya quesólo se muestran los eventos de Snort.

Si lo prefiere, puede utilizar el panel del filtro en el centro de la página de Eventos para buscar un evento oeventos usando criterios específicos. Usando el panel de filtros, puede presentar:

Los host le permite establecer un determinado nombre de host para el evento. Fecha de la caja de texto le permite establecer un rango de fechas para el evento (s). Al hacer clic en el icono de calendario a la derecha delcuadro de texto, puede seleccionar la fecha de inicio y finalización mediante el calendario emergente.Alestablecer una fecha, tenga en cuenta que la fecha debe seguir el año-mes-el formato de fecha.

Mostrar el cuadro de selección por radio le permite aplicar un tipo a sus resultados de búsqueda. You canchoose to display events by date, type, source IP, or destination IP. Puede elegir visualizar los eventos por fecha, tipo, fuente de la propiedad intelectual, propiedad intelectual o de destino.

5/10/2018 F1232d01 - slidepdf.com


Una vez que haya definido los criterios de búsqueda, haga clic en Continuar.

Como se puede ver en la Figura 40, los eventos se incluyen en una sola fecha, que aparece como un menú

plegable. Si abre el menú, los acontecimientos aparecen uno por uno en virtud de la fecha.

Figura 40

Para cada caso, la página muestra los eventos por tipo de evento, la fecha en que ocurrieron, así como el origeny el destino de las direcciones IP. Puede encontrar información adicional sobre el evento, como el plugin,

plugin DIM, y cualquier usuario de datos, ampliando el menú que se compone el nombre del evento en virtud

de la columna Tipo.

5/10/2018 F1232d01 - slidepdf.com


Configurar pestañas Evento

La pestaña configurar evento es una de las dos opciones adicionales en la parte superior derecha de la página deEventos, junto con el forense Ir a la página.

Esta pantalla presenta una tabla con los cinco tipos de eventos: Snort, SNARE, OS Eventos, Servicio deEventos, Eventos y MAC. Cada tipo de evento ofrece una casilla de verificación (para seleccionar varios tiposde eventos), así como una breve descripción del evento.

Cada tipo de evento en el citado cuadro también presenta la configuración de su propio enlace, si hace clic enConfiguración, aparece un nuevo grupo para ese evento por debajo de la mesa, como se muestra en la Figura 41- Eventos Portada.

Figura 41

5/10/2018 F1232d01 - slidepdf.com


El nuevo panel contiene cuatro fichas que le permiten fijar los parámetros para una columna de un evento:Fecha, Plugin, Origen y Destino. Para alternar entre las pestañas, simplemente haz clic en la pestañanombre.Puede eliminar una pestaña, o columna, haciendo clic en su correspondiente enlace Suprimir. Puedeañadir una pestaña adicional, haga clic en el enlace "Añadir columna.

Cada columna tiene un ajuste de tres:

• Columna etiqueta permite definir el nombre de la columna, una vez establecido, aparece como una pestaña en la parte superior del panel.

• Columna de contenido le permiten definir el contenido de la ficha, así como una etiqueta.

• La configuración de las columnas le permiten configurar la apariencia columna funciones, como laalineación, el ancho y si utilizar o no el ajuste de línea.

5/10/2018 F1232d01 - slidepdf.com


INCIDENTES

5/10/2018 F1232d01 - slidepdf.com


Incidentes

Los incidentes página muestra la lista de los incidentes registrados por el equipo.

Aquí encontrarás los incidentes guardan automáticamente o manualmente generado .

Se divide en tres secciones distintas, tal y como se muestra en la Figura 42 - Incidentes> Incidentes: un filtro,detalles incidente, e insertar incidente.

Figura 42

El simple filtro devuelve el pedido incidentes en función de sus criterios. Una vez que hayas encontrado elincidente, ya sea mediante la simple filtro o la lista por defecto (todos) que aparece al abrir la página de losincidentes, se puede obtener o añadir más información acerca de un incidente por:

• Al hacer clic en el título incidente.

•Al hacer clic en el número de ticket.

Una vez que cualquiera de las entradas de la columna se hace clic, la página de información de las incidente parece. Cuenta con información detallada, como el incidente nombre, clase, tipo, fecha de creación, direcciónIP, etc Si la persona que registra el incidente billete(ticket) incluye notas o cualquier información importanterelativa al incidente, al parecer aquí

Hay dos características importantes en esta página:

•El botón Editar de incidentes

•

El botón Nuevo Ticket

5/10/2018 F1232d01 - slidepdf.com


A) Si hace clic en Editar, puede actualizar manualmente parte de la información que aparece en la página dedetalles. The modifiable fields include: Los campos modificables incluyen:

• Título

• Prioridad

• Tipo

• IP

• Puerto

• Nessus ID

• Risk Riesgo

• Descripción

Una vez que se modifique alguno de los valores existentes, es necesario validar estos cambios haciendo clic enAceptar.Los nuevos cambios se hicieron sobre la marcha y aparecen en la página de los incidentes de eseincidente.

B) También puede crear una nueva entrada usando el mencionado botón Nuevo billete.

Tenga cuidado, este no registra un nuevo incidente o título, sino que le permite agregar una nueva entrada paraabrir un billete o de incidente.Una vez que haga clic en Nuevo billete, se le redirigirá a la nueva sección de la

Venta de entradas Incidentes página de detalles (alternativamente, usted puede desplazarse hacia la parteinferior de la ventana y crear manualmente un nuevo billete.)

Hay seis campos distintos que se pueden configurar mediante el nuevo billete ventana:

El campo Estado le permite determinar el estado actual de los nuevos billetes, por lo general si se ha resuelto ono. Por defecto, está configurado en Abrir.

El campo Prioridad le permite establecer la importancia de los nuevos billetes.. Por defecto, se configura a 3 --> Baja.Puede establecer la prioridad del nuevo billete de 1 (bajo) a 10 (Alto). Alternativamente, puedeconfigurar la segunda lista desplegable para Baja, Media o Alta.

Si establece la lista desplegable con los números, la segunda lista desplegable automáticamente cambia a Bajo,Medio, Alto o en función del número de prioridad seleccionadas. Por el contrario, si selecciona Bajo, Medio,Alto o de la lista desplegable, la ex lista desplegable automáticamente para el número más bajo para el estado.Por ejemplo, en la lista desplegable de Alta define el número a 8; ajuste en la lista desplegable a 2 juegos a la

baja.

El campo de transferencia que permite transferir el nuevo billete a otro usuario, si procede.

El Anexo sobre el terreno le permite añadir un archivo a la nueva entrada. Esto es bueno para añadir

información adicional a la entrada.

5/10/2018 F1232d01 - slidepdf.com


Descripción El campo es un cuadro de texto que le permite añadir todas las observaciones adicionales oinformación importante a su nuevo billete.

El campo de acción le permite agregar cualquier acción a realizar para el nuevo billete.

El usuario final (un cliente, otros departamentos de la empresa, o simplemente las personas a cargo) tiene que

saber cuál es la acción necesaria para ese problema.

Una vez completado el nuevo billete, se puede validar haciendo clic en el botón Añadir entrada en la parteinferior de la página del nuevo billete.

Los usuarios también pueden suscribirse a las entradas por correo electrónico.Una dirección válida de correoelectrónico es necesario para que esto funcione.Los suscriptores son notificados de los cambios en el billete,siempre que se produzcan.

Incidentes> Tipos

La sección dispone de tres incidentes diferentes pestañas, incluidos los tipos de sección, como se muestra en laFigura 43 - Incidencias> Tipos. Incidentes en la página, puede trabajar con recordar un incidente en particular y el aviso de que había un "tipo" que se le aplican.Tipos de Uso de la página, puede ver o modificar la lista detipos disponibles para sus incidentes.

Estas modificaciones incluyen la edición, añadir o borrar.

Figura 43

5/10/2018 F1232d01 - slidepdf.com


Usted puede editar un incidente de tipo, haga clic en el vínculo Modificar en la columna Acciones delincidente ID. Sin embargo, están limitados en lo que se puede actualizar realmente. De hecho, si hace clic enModificar, aparece una pantalla que le permite añadir o modificar una descripción en un cuadro de texto.Unavez que haya realizado los cambios necesarios en el incidente de tipo, haga clic en Aceptar.Si usted hace uncambio y decide que le gustaría mantener el texto inicialmente almacenados aquí, haga clic en Restablecer.Este botón actúa como el botón Deshacer, sin embargo, una vez que usted guarde su nuevo texto, no puedevolver a un texto anterior descripción. Un cuadro de diálogo que aparece a continuación, confirma el éxito delos cambios, haga clic en Atrás.

Si esta característica no se adapte a sus necesidades, siempre puede agregar un nuevo tipo de incidente. En la parte inferior de la tabla de tipos de incidentes, haga clic en Agregar nuevo tipo. La pantalla que aparece essimilar en función a la pantalla Modificar mencionados en el párrafo anterior, la principal diferencia es quetiene un cuadro de texto que le permite introducir un incidente ID.Una vez que ha añadido un nombre deusuario (y descripción), haga clic en Aceptar. Aparece un cuadro de diálogo que confirma el éxito de loscambios, haga clic en Atras.

Incidentes> Etiquetas

Figura 44

La sección dispone de tres incidentes diferentes pestañas, incluyendo la sección de etiquetas, como se muestraen la Figura 44 - Incidencias> Etiquetas.Incidentes en la página, puede usted recordará que trabajan con unincidente en particular y el aviso de que había un "extra" que se le aplican. El "extra" es similar a un estado

por el incidente. Se puede utilizar por ejemplo para clasificar los incidentes. Uso de la página Tipos deetiquetas, puede ver o modificar la lista de los extras disponibles para sus incidentes. Estas modificacionesincluyen la edición, añadir o borrar.

5/10/2018 F1232d01 - slidepdf.com


Usted puede editar un incidente de tipo etiqueta haciendo clic en el vínculo Modificar en la columna Acciones para la etiqueta de identificación. A diferencia de la página Tipos de etiquetas, puede modificar la descripción,así como el nombre de ID de la etiqueta. Una vez que haya realizado los cambios necesarios, haga clic en

Aceptar.Siempre se puede descartar los cambios haciendo clic en Cancelar.Independientemente de que ustedhaga clic en el botón, automáticamente volver a la página de etiquetas.

Si esta característica no se adapte a sus necesidades, siempre se puede añadir una nueva etiqueta incidente.Enla parte inferior de la tabla de incidente etiquetas, haga clic en Agregar nueva etiqueta.La pantalla que aparecees similar en función a la pantalla Modificar mencionados en el párrafo anterior, la principal diferencia es quelos cuadros de texto están vacíos.Una vez que ha añadido un nombre de usuario (y descripción), haga clic enAceptar.Siempre se puede descartar los cambios haciendo clic en Cancelar.Independientemente de que ustedhaga clic en el botón, automáticamente volver a la página de etiquetas.

Incidentes> Informe

La sección cuenta con cuatro incidentes diferentes pestañas, incluido el Informe de la sección, como semuestra en la Figura 45 - Incidencias> Informe. En el Informe de la página, puede ver una serie de informescreados previamente que proporcionan información sobre los incidentes.

Figura 45

http://74.125.159.132/translate_c?hl=es&sl=en&tl=es&u=http://ossim.net/dokuwiki/lib/exe/detail.php?id=user_manual:incidents&cache=cache&media=user_manual:figure2.1.4.png&rurl=translate.google.com.ni&usg=ALkJrhgbjSRqL7pNUfkA1pBMN-Soqj4wdw


5/10/2018 F1232d01 - slidepdf.com


Hay cinco informes por separado en el Informe de la página, sin embargo, es importante señalar que no se puede modificar o manipular los informes de ninguna manera.

Hay informes son los siguientes:

• Incidentes por estado

• Incidentes por tipo

• Incidentes por el usuario a cargo

• Cerrado los incidentes por mes

• Tiempo de resolución de incidentes

Cada gráfico proporciona representación numérica de los datos, por ejemplo, los incidentes por tipo deinforme se enumeran los tipos de incidentes que se produjeron, así como el número de incidentes por tipo.Posteriormente, una representación gráfica se muestra sobre la base de estos datos.



























5/10/2018 F1232d01 - slidepdf.com


INFORMES



5/10/2018 F1232d01 - slidepdf.com


Informes> Informe de Índice de host

El informe muestra la ficha de acogida Informe página por defecto, como se muestra en la Figura 46 -

Informes> Informe de Índice de host.

Figura 46

Existen cuatro diferentes tipos de informes disponibles en el Informe de Índice, incluido el Informe deacogida.Estos son:

•Informe de acogida(host)

• Informe de alarma

• Informe de seguridad

• Informe en PDF

Estos informes se pueden acceder haciendo clic en la pestaña Informes situada debajo del botón, comose muestra en la figura de arriba

5/10/2018 F1232d01 - slidepdf.com


.

Informes> Informe de acogida (host)

El Informe del host muestra los distintos hosts definidos por el sistema operativo.

La página del informe del host muestra una tabla con el nombre de host, dirección IP, de activos, y elcorrespondiente sistema operativo.

Para trabajar con un nombre en esta página, haga clic en el enlace del nombre de host correspondientedirección IP o el sistema operativo.

La parte más importante del host Informe aparece una vez que haga clic en el nombre de host deseado(véase la Figura 47 - Informes> Informe de host). Una vez que el informe parece, hay dos paneles: el

panel de la izquierda presenta informe de host, tales como inventario, métricas, alarmas, alertas, uso, ylas anomalías.El panel derecho muestra la información relevante para el vínculo hacer clic en el panelizquierdo.Por defecto, es el inventario de la información.

Figura 47

El informe del panel de host (el panel de la izquierda) proporciona una amplia capacidad para trabajar con sus informes.

El Inventario de enlace aparece varias piezas de información relativa al host en tres secciones distintas.

• Información de la anfitriona de la sección se muestra el nombre de host, dirección IP, sistema operativo,y la máquina de la dirección MAC.

• La segunda sección ofrece información sobre el host que pertenece, y en particular la red de sensores para el anfitrión.

• La tercera sección contiene los puertos y servicios de información relacionados con el host. Esto incluyeel nombre del servicio, la versión y fecha Usted puede elegir si desea ver los datos obtenidos conherramientas de pasivo (p0f, pastillas ..), o los datos obtenidos con las herramientas activas (nmap).

5/10/2018 F1232d01 - slidepdf.com


El enlace aparece Métrica representaciones gráficas que indican las estadísticas de rendimiento deseguridad para varios períodos: último día, la semana pasada, el mes pasado, y el año pasado. Estascartas, medir el desempeño, muestran el número de ataques y violaciones de la seguridad (decompromiso) para el nombre de host.Esta página también muestra los niveles actuales para el nombre

de host.

El siguiente enlace es para tres diferentes tipos de alarmas: Fuente o Destino, Origen y Destino.

La Fuente de alarma o de destino de origen o de destino muestra las alarmas con el mismo período deinvestigación que informe del host. La página ofrece una lista de las alarmas correspondientes en la

parte inferior de la página.Incluye información como el nombre de la alarma, el riesgo, sensor, estado,etc De forma predeterminada, esta lista está en blanco, sin embargo, puede localizar rápidamente estetipo de alarmas utilizando la función de filtro en la parte superior de la página.

Utilizando el filtro, puede establecer un rango de fechas de los incidentes de alarma, así comoestablecer el origen y el destino de las direcciones IP, y seleccionar el número de alarmas para mostrar por página. Una vez que haya establecido sus criterios, haga clic en Ir y que aparecen en la listamencionada en la parte inferior de la página.

La Fuente muestra única fuente alarmas.Esta página funciona exactamente igual que la Fuente o la página de destino, sin embargo, en el filtro, sólo la dirección IP de origen en la lista.

El destino de destino muestra sólo las alarmas. Esta página funciona exactamente igual que la Fuente ,La página de destino, sin embargo, en el filtro, sólo la dirección IP de destino en la lista.

La próxima serie de enlaces a diversas alertas, o eventos: Eventos Src, Dst Eventos.

La página principal es una página de introducción a la sección de Eventos. Esta página trabaja mano amano con BASE (Básica y Análisis de Seguridad del motor).La parte superior de la página tiene unenlace a la página de inicio (que le llevará a la página de BASE y no una actualización de la página

principal), así como una función de búsqueda y alertas en caché.

Desde la página principal, puede consultar las alertas de su nombre de host (dirección IP), por tipo: lafuente, el destino, o de origen / destino. También puede realizar un WHOIS sobre el nombre de sumáquina utilizando una de varias autoridades: ARIN, RIPE, APNIC o LACNIC.

También puede ver el número de sensores para el nombre de su máquina o el acceso Alerta GrupoMantenimiento usando el enlace correspondiente.

La pagina de Eventos brinda información sobre la fuente de los acontecimientos.El lado izquierdo dela página muestra la última información de las consultas, así como los criterios utilizados para hacer laconsulta.Puede borrar los criterios, haga clic en el enlace abierto en esta ventana.

El lado derecho de la página de Resumen de Estadísticas de los sensores, las alertas (eventos), losvínculos de propiedad intelectual, y los puertos (destino y origen).

Por favor, recuerde que dentro de cada alerta BASE es un evento en OSSIM. Así que cuando decimos

que las descripciones que de la misma a más eventos.

5/10/2018 F1232d01 - slidepdf.com


Informes> Informe de alarma

La página muestra los informes de alarma representación gráfica de los host, como se muestra en laFigura 48 - Informes> Informe de alarma.

Figura 48

Como se muestra en la figura de arriba, se muestran gráficos que indican importantes datos relacionadoscon el host. El primer gráfico muestra los host que han recibido la mayoría de los ataques. Unarepresentación numérica aparece junto a la gráfica que muestra una tabla con el nombre de host y elnúmero de sucesos ataque Cada ataque se corresponde con una determinada alarma.

Esta página contiene los siguientes cuadros:

• Top 10 Atacan los Ejércitos

•

Top 10 atacante Ejércitos• Top 10 Usado Puertos

• Top 10 Alarms Las 10 alarmas

• Top 10 Alarms by Risk Las 10 alarmas por riesgo

Con la excepción de la última tabla, Las 10 alarmas por riesgo, se puede encontrar más información sobreel nombre del host, alarma, puerto o haciendo clic en su enlace correspondiente.

5/10/2018 F1232d01 - slidepdf.com


Informes> Informe de Seguridad

Los Informes de Seguridad de la página muestra la representación gráfica de los ejércitos, como se muestraen la Figura 49 - Informes> Informe de Seguridad.

Figura 49

Como se muestra en la figura de arriba, la página Informes de Seguridad es muy similar en contenido alos informes de alarma en el sentido de que ofrece la representación gráfica de información relacionadacon la seguridad.

Informes de Seguridad de la página ofrece una serie de gráficos:

• Top 10 host mas Atacados

• Top 10 host atacantes

• Top 10 puertos mas usados

• Top 10 Eventos

•Top 10 Eventos de Riesgo

Al igual que la página Informes de alarma, el Informe también ofrece una página de representación de datos decada gráfico, incluyendo el nombre de host / alarma, etc También se proporciona información relativa a lascantidades de sucesos. Con la excepción de la última carta, Top 10 Eventos por riesgo, se puede encontrar másinformación sobre el nombre del host, alarma, puerto o haciendo clic en su enlace correspondiente.

5/10/2018 F1232d01 - slidepdf.com


Informes> Informe PDF

La pagina del Informes PDF le permite seleccionar qué informe o para generar informes en formato PDF,

como se muestra en la Figura 50 - Informes> Informe PDF.

Figura 50

Como se muestra en la figura de arriba, la página de informes en PDF permite seleccionar cuatro

informes a través de la caja desplegable en la parte superior del formulario. Un número de sub-opcionesse pueden seleccionar mediante el uso de las casillas de verificación debajo de la lista desplegable. Cadatipo de informe tiene sus propias opciones.Usted puede elegir cuál de ellos incluirá, como se puedefiltrar por diferentes atributos. Un archivo PDF se Generar cuando el botón se presiona.

OSSIM puede guardar su información en este formato sin necesidad de ningún software de terceros o plug-ins.

La generación de informes disponibles son:

• Seguridad

• Métrica

• Alarmas

• Incidentes

5/10/2018 F1232d01 - slidepdf.com


Una vez que seleccione el informe y las sub-opciones para generar, en los informes de seguridad o dealarma, puede designar el número de host para mostrar la tabla.Por defecto, OSSIM se propone sacar 15.Para generar el informe, simplemente haga clic en Generar. OSSIM genera en su informe a un único

archivo PDF y muestra el informe.

Informes> Inventario de OSC

Luego en Inventario ingresamos en el menu principal de OCS>Seguridad>Informacion de Red

A continuación ingresamos en uid y escogemos mostrar o ecogemos el cero por default

5/10/2018 F1232d01 - slidepdf.com


Una vez seleccionado uid en 0 nos trasladamos a OCS>Seguridad>Informacionde Red>Inventoried(inventario), Clickamos en el numero que esta debajo de la opcion inventario

5/10/2018 F1232d01 - slidepdf.com


Clickamos en add column para agregar mas caracteristicas de los equipos para el inventario desalida del reporte

Clic en Computadora Para ver todas las caracteristicas agregadas anteriormente como:

Dominio,ip address,memoria,Nombre del sistema operativo so etc.

Para Visualizar las Caracteristicas del inventariado de Ocs>Inventory

5/10/2018 F1232d01 - slidepdf.com


Para imprimir las Caracteristicas del inventariado de Ocs>Inventory, hacer click en el iconoseñalado

Finalmente lo podemos exportar con la extension de archivo pdf o postscrypt

ejemplo ver anexo del manual con el nombre output.pdf

f1232d01

Documents