viernes, 29 de agosto de 2014

OSSIM 14. Rutas de configuración y logs para el trabajo con OSSEC/OSSIM.

Actualizado constantemente...

Has leído ya los 13 artículos previos a este?

En el mundo OSSIM- OSSEC no he conseguido encontrar "la biblia" o documento perfecto. Para realizar los procedimientos básicos es mas o menos sencillo encontrar buenas referencias de información, como este humilde blog :-)  pero para el trabajo diario es necesario conocer muchos ficheros de configuración y registros para ver que está ocurriendo y poder segmentar. El típico "no me llega los logs" hay que delimitarlo en que parte falla el proceso.

He decidido crear este mini post recopilando las rutas y ficheros que para mi son de ayuda en mi día a día.

Espero que os guste.

Como comprobar que están llegando paquetes de una ip concreta a un servidor:
tcpdump -i eth0 -v -w /dev/null 'src ip'


OSSEC-Cliente.

Configuración general del cliente: /var/ossec/etc/ossec.conf
Log del cliente OSSEC: /var/ossec/log/ossec.log
Comprobar conectividad con el servidor OSSEC: ncat -u ip-servidor-ossec 1514


OSSEC-Servidor.

Comprobación de actividad recibida por un agente concreto.
/var/ossec/bin/agent_control -lc * lista los agentes.
/var/ossec/bin/agent_control -i 002 * muestra la información.

Controlar los últimos cambios en ficheros detectados por Syscheckd (útil para el FIM)
/var/ossec/bin/syscheck_control -i agente
Ampliar detalles de cambios sobre un fichero concreto
/var/ossec/bin/syscheck_control -i agente -f /ruta/fichero_modificado


Comando de servicio para el servidor OSSEC.
/var/ossec/bin/ossec-control {start|stop|restart|status|enable|disable}

Logs para ver la estadística de eventos por un día. 
El formato es por cada dia un fichero, dentro: Hora, SID, LEVEL, y las veces que se ha producido. Al final del fichero tenemos el resumen:

 /var/ossec/stats/totals/2014/Sep/ossec-totals-01.log


Comprobar si recibes datos desde clientes ossec al puerto 1514.
tcpdump -i eth0 port 1514


OSSIM-Servidor.

Actividad de los agentes hacia OSSIM: /var/log/agent.log

Actualizar la versión de OSSIM desde consola, no desde el GUI:

alienvault-update -c -v -d

Reinicio de servicios.






No hay comentarios:

Publicar un comentario

Gracias por comentar !!

Related Posts Plugin for WordPress, Blogger...