viernes, 30 de mayo de 2014

8.-OSSIM Completando datos de nuestros activos.

8º artículo de la serie OSSIM. Parte 1234567 , 89 10

En el artículo de hoy vamos a completar la información que obtuvimos del proceso de descubrimiento de activos o Assets Discovery.


Vamos a completar información para nuestros activos. Iré comentando su uso.




Elegimos editar un assets o activo.








Podemos editar manualmente cualquiera de estos atributos, o realizar un scaneo para ver que obtenemos.






Como podéis comprobar, podemos elegir entre varios tipos de scaneo. Realmente esto lanza un comando nmap. Podemos modificar cualquiera de ellos, aunque lo aconsejable es cambiar el Custom (por eso de los updates xD). la ruta mágica para cambiar la configuración de los scans la tenemos en:

  • /usr/share/ossim/scripts/vulnmeter/remote_nmap.php
  • /usr/share/ossim/include/classes/Scan.inc
Una vez terminado el scaneo, debemos actualizar la información en la base de datos, o borrar la información.



Ahora viene la parte que realmente nos interesa a la hora de configurar la información de los assets o activos.

Aunque vamos a tratar todos estos aspectos en el próximo post, adelantar que hay que configurar varios valores para categorizar nuestros activos mediante unas métricas concretas.



Lo más importante es el valor que le queremos dar al activo. Es un valor entre el 0 y el 5 que debemos establecer en base a la importancia de nuestro activo.


Ahora informamos el plugin que usamos para este activo, en este caso, un agente ossec.






Ahora es el turno de cambiar el nombre, la ubicación del activo dentro de un mapa...




Con esta parte tenemos suficiente. Configuramos nuestros activos con información que nos pueda ser útil a la hora de correlacionar eventos ( por ejemplo, una alerta para timeouts en un servicio que corre en un server con poca ram...)


Lo más importante es que indiquéis el grado de importancia que tienen para vuestra organización el activo entre 0 y 5.


Espero que os guste, y como siempre, gracias por leerme.