Parte 1, 2, 3, 4, 5, 6, 7 , 8. 9 10
El uso de herramientas para la gestión SIEM (Security Information and Event Management) es algo necesario para controlar la buena salud de nuestros sistemas y podemos darle el enfoque que necesitemos, no solo manejando datos de seguridad sino cualquier log de cualquier sistema.
Según la Wikipedia, un sistema SIEM nos permite agregar datos de varias fuentes, correlación de logs ( un intento de autenticación fallido es una linea de log, varios es un ataque de fuerza bruta) alertas, cuadros de mando con gráficos preciosos, análisis forense y retención en el tiempo de eventos pasados.
No conozco a ningún administrador de sistemas que se pase una mañana entera navegando por el visor de eventos de sus 100 servidores Windows en busca de códigos de error sospechosos. Siempre recurrimos a los logs en caso de errores, caidas, deterioro en el rendimiento etc.
En mi "pueblo" se emplea una frase muy graciosa para algo mucho menos gracioso, pero que creo viene como anillo al dedo: ANTES DE LLOVER CHISPEA !!!!
Los amigos de Security By Default escribieron un buen post con algunas impresiones sobre el funcionamiento que creo complementan este post y que debes leer.
La aventura con OSSIM comienza con la descarga de la ISO. Vamos a usar la versión Open Source que en este momento anda por 4.3. El fabricante nos ofrece todo tipo de enlaces para probar su versión de pago por lo que tenemos que buscar en las fichas de producto, en la comparativa para encontrar la versión Free.
Para este laboratorio voy a usar una máquina virtual sobre mi infraestructura Vmware por lo que me creo una VM, engancho la ISO y siguiente siguiente siguiente...
Ahora ya tenemos instalado nuestro OSSIM. Como indica el banner, para traer la paz y la seguridad...Configuramos el usuario y entramos al portal.
Curioso que nada más instalado tengamos eventos de seguridad. Vamos a darle alguna vuelta para ver que tenemos.
Como se puede apreciar, el sensor OSSEC ha detectado una escritura en un fichero propiedad de ROOT lo cual es un indicio de actividad peligrosa.
Esto se ha realizado en la propia instalación/configuración de OSSIM. Recordar que OSSEC es un IDS a nivel de HOST (HIDS) es decir, es como un "Snort" pero en vez de escuchar en modo promiscuo todo el tráfico, atiende solo a los cambios o incidentes que se originan en el host que lo tiene instalado.
El problema de estas instalaciones sencillas es que uno pierde la sensación de control sobre los elementos, por lo que me gusta dejarla un poco "pelada".
Nos ubicamos en Configuration->Deployment. Ubicamos el sensor por defecto que se crea en la propia instalación de OSSIM y vamos a ver que componentes están a la escucha.
Pinchando sobre el sensor que he tachado abajo a la izquierda podemos ver alguna información.
Pinchamos en Sensor Configuration.
Para este sensor voy a deshabilitar todos los servicios que creo son bastante descriptivos. Prads, Suricata, etc. Voy a dejar el sistema como un mero syslog bonito.
También voy a borrar todos los logs generados, por empezar desde cero...
Ahora es el turno de desplegar un agente en algún servidor Windows para ver los logs, que es por donde iba esto...
Con esto ya podéis jugar un poco con la instalación de OSSIM.
En próximos artículos trabajaremos más, si el tiempo nos lo permite.
Gracias por leerme, como siempre, espero que os guste !!