Y ya van siete artículos relacionados con el mundo OSSIM. Parte 1, 2, 3, 4, 5, 6, 7 , 8. 9 10
Una de las opciones que hemos configurado en anteriores capítulos es un análisis de vulnerabilidades de nuestros equipos o infraestructura.
Como en la mayoría de herramientas de este tipo, el proceso consiste en realizar la auditoría, comprobar manualmente el impacto de los hallazgos, identificar falsos positivos y falsos negativos. Una vez realizada la comprobación manual, debemos elegir entre abrir un ticket de trabajo, o simplemente deshabilitar el plugin que nos está dando falsos positivos para no incluirlo en nuestra auditoría.
Vamos a realizar el segundo paso, deshabilitar el plugin que arroja información errónea. Como hacíamos con las políticas para la correlación de eventos, limpiar la información.
Empezamos desde un informe de análisis.
Identificamos la familia del plugin, y el id que queremos deshabilitar.
Una vez identificados, nos vamos a la configuración del Profile que usamos para el scaneo, y deshabilitamos el plugin.
De esta manera vamos configurando la visión de la información que arrojan los componentes de OSSIM.
Espero que os guste y como siempre, gracias por leerme.