martes, 27 de mayo de 2014

5.-OTX .Open Threat Exchange. OSSIM

Amigos de inseguros, seguimos con la serie de artículos dedicados al mundo SIEM con en software OSSIM. Parte 1234567 , 89 10


En el capítulo de hoy vamos a hablar de un servicio denominado OTX. Dicho servicio es una base de datos de conocimiento, mantenida por AlienVault, y puesta a la comunidad para su uso. Podemos navegar por la información de amenazas existentes mediante un browser o integrarlo en nuestra suite OSSIM para recibir alertas en el caso de estar siendo atacados por alguna dirección o evento catalogado en la base de datos.


Lo primero que hacemos es acceder desde OSSIM a Configuration-Administration-Main-OTX.


Nos creamos un usuario, o vinculamos el login con alguna de las plataformas. Una vez creado generamos el token y lo pegamos en la casilla correspondiente.



Podemos pinchar sobre contribuir. En el caso de tener amenazas en nuestro SIEM, nos propondrá un resumen con las direcciones IP. De esta manera se mantiene una base de datos de reputación IP que nos ayude a la hora de procesar la información de los eventos que nos llegan.

Espero que os sirva y que os haya gustado.
Gracias por leerme.