En la entrada número 18 de la serie (1, 2, 3, 4, 5, 6, 7 , 8. 9 10, 11, 12 13, 14.,15, 16 ,17) vamos a hablar de las funciones de captura de red de OSSIM.
Desde el blog me suelen hacer preguntas sobre los procesos que escribo en Inseguros, y siempre uso mi experiencia general en la informática, discriminando los errores básicos, hasta llegar a los de alto nivel. Si no haces ping al host no puedes escanearlo !!!.
Usar una tool en linea como tcpdump o gráfica como wireshark es tu decisión, pero debes estar familiarizado con los ficheros pcap de capturas y saber leer entre líneas lo que ocurre en tu red.
Una de las comodidades que nos ofrece OSSIM es poder capturar, visualizar o descargar capturas de red entre dispositivos. Muy útil para la parte de configuración de OSSIM, pero realmente útil a la hora de detectar un incidente de seguridad, mediante los eventos, y poder ampliar la información mediante la captura de datos y posterior análisis.
Desde la versión Free ( no el USM de Alient Vault) no he podido vincular la captura de red teniendo como desencadenante un evento. Solo he podido capturar manualmente, pero no está nada mal.
Las teclas del piano son tan sencillas como click, click, click.
Es muy cómodo poder filtrar la captura desde origen y destino.
Podemos descargar el fichero o visualizarlo in situ.
Espero que os sirva de ayuda, gracias por leerme !!!
Recuerda que puedes buscar entre mis libros de hacking en español en en recopilatorio de libros sobre hacking