AlienVault
Descargar como PPTX, PDF1 recomendación1,668 vistas
El documento describe diferentes herramientas de monitoreo de seguridad como AlienVault USM, Snort, Suricata, OSSEC y Kismet. Explica cómo estas herramientas proveen capacidades como detección de intrusos de red e host, análisis de vulnerabilidades, inventario de activos y monitoreo inalámbrico. También describe cómo estas herramientas se integran en la plataforma AlienVault para proveer visibilidad y protección de seguridad de la información.
AlienVault
- 1. SOFTWARE DE MONITOREO RICARDO CASTAÑEDA ELIZABETH AGUIRRE ANDRES CARVAJAL JULIET MUÑOZ SENA GESTION DE REDES DE DATOS FICHA 600088 NOVIEMBRE DE 2014
- 3. ¿Cómo aseguramos nuestra empresa? Buscamos actividad que pueda ser sospechosa Unimos todas las piezas Determinamos que tiene Valor Identificamos como pueden afectar lo que es valioso Identificamos Amenazas
- 4. AlienVault Unified Security Management Recolección de Logs Análisis de NetFlows Monitorización Disponibilidad Correlación de eventos Respuesta a Incidentes Análisis de la Red Inventario de Activos escaneos Vulnerabilidades IDS de Red IDS de Host IDS Wireless
- 5. 5 Capacidades principales del USM AlienVault’s Unified Security Management™ (USM™) proporciona una forma rápida y rentable para las organizaciones de hacer frente a las necesidades de gestión de amenazas y cumplimento. Con todos los controles de seguridad esenciales incorporados, AlienVault USM provee una visibilidad completa de la seguridad de la información.
- 6. Automatización de Inventario para los activos críticos El descubrimiento de activos nos permite crear un inventario de los activos desplegados, logrando con ello dar un primer paso para la evaluación de vulnerabilidades, detección de amenazas, apreciación del comportamiento de la red y de los servicios para detectar violaciones en las políticas corporativas.
- 7. Detecta que activos son vulnerables a los ataques Mediante la combinación de la visibilidad completa y actualizada de los sistemas a través de las herramientas de evaluación de vulnerabilidades, AlienVault ha incorporado medidas preventivas de seguridad. La evaluación de vulnerabilidades permite identificar posibles debilidades en los sistemas y así priorizar las acciones para mejorar su nivel de seguridad.
- 8. Identifica exploits específicos utilizados en los ataques Con una amplia base de conocimiento, el Sistema de Detección de Intrusiones en la red que AlienVault incorpora el análisis del tráfico de red para detectar firmas de ataques conocidos, e identificar patrones de los métodos de ataque conocidos. Esto proporciona una visibilidad inmediata de los ataques que se utilizan en contra de su sistema.
- 9. Identifica los comportamientos anormales Los cambios en el comportamiento de las redes, sistemas y servicios pueden indicar una defensa débil o violación de seguridad. Para ello se combina el análisis del flujo de red para identificar los cambios sufridos, la captura de paquetes completos para el análisis forense y el seguimiento de servicios activos para verificar proactivamente cambios en los servicios
- 10. Inteligencia en la Seguridad de la Información en acción Dar un valor añadido a la gran cantidad de información recogida es unos de los grandes objetivos de la Inteligencia de seguridad. Así, mediante la automatización de la correlación de eventos en tiempo real podemos hacer que un trozo de información que por sí solo no significa nada, puede ser una pieza muy importante de un conjunto global.
- 11. IDS de Red
- 12. IDS de Red-Snort • Snort es un sistema de detección de intrusos a nivel de red. • Dispone de un lenguaje de creación de reglas en el que se pueden definir los patrones (reglas) que se utilizarán a la hora de monitorizar el sistema. • Snort es uno de los NIDS más utilizados en todo el mundo, su proyecto arranco en 1998 de la mano de Martin Roesch. • Es bastante útil para identificar: Malware, Escáneo de Puertos, Violación de Políticas(P2P, IM, Porn, Games...).
- 13. IDS de Red-Suricata • Suricata es un sistema de detección de intrusos de red de la Open Information Security Foundation (OISF). • Es multiproceso, lo que significa que puede ejecutar una instancia y va a equilibrar la carga de procesamiento a través de cada procesador. • Reconocimiento de los protocolos más comunes automáticamente, permitiendo escribir reglas basadas en protocolos. • Suricata es compatible con las reglas de Snort.
- 14. IDS de Red-Ossec • OSSEC es un HIDS (Host-level Intrusion Detection System) que permite análisis de logs, detección de rootkit, chequeos de integridad del sistema y monitorización del registro de Windows. • OSSEC requiere la instalacion de un agente de monitorizacion ( Excepto Sistemas con acceso SSH). Sensor Attempt To login Using non-existent user Attempt To use mail server as relay ( client host Rejected) Logon Failure: Account currently disabled
- 15. IDS de Red-Ossec • OSSEC se basa en una arquitectura cliente -> servidor. • AlienVault colecta los eventos del servidor OSSEC (Instalado en el Sensor AlienVault). • OSSEC provee un sistema de plugins propios usados para el análisis de plataformas Windows y UNIX. Utilidad dentro de la plataforma AlienVault: • Colección de logs de Windows y Unix • Colección de logs de aplicaciones • Monitorización de registro, archivos y directorios (DLP)
- 16. IDS de Wireless
- 17. IDS de Wireless-Kismet • Kismet es un sistema detector de red Wireless en capa 2 (802.11), con funcionalidades de sniffer y detector de intrusos. • Kismet funciona con cualquier tarjeta inalámbrica con soporte para monitorización en bruto (rfmon), y (con hardware apropiado) puede monitorizar tráfico 802.11b, 802.11a, 802.11g y 802.11n. Utilidad dentro de la plataforma AlienVault: • Aseguramiento de redes WIFI. • Detección de AP falsos. • Cumplimiento (Requerimientos PCI Wireless).
- 19. IDS de Red - Snort & Suricata Por defecto en una instalación de AlienVault USM viene activado el NIDS Suricata. Tener las interfaces recibiendo el trafico de los port mirroring. Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina, DMZ…) No utilizar aquellas reglas que no resultan interesantes para el tráfico que se va a recibir por cada interfaz.
- 20. IDS de Host - OSSEC Por defecto en una instalación de AlienVault AIO o Sensor viene activado el HIDS OSSEC con un agente desplegado para el proprio AlienVault. Tener las interfaces recibiendo el trafico de los port mirroring. Avanzado: Realizar ajuste fino diferente para cada interfaz (Red de oficina, DMZ…) No utilizar aquellas reglas que no resultan interesantes para el tráfico que se va a recibir por cada interfaz.
- 21. IDS de Wireless- Kismet Tener configurado el Sensor Kistmet (howto en AlienVault Bloomfire) Por defecto en una instalación de AlienVault, Kismet no viene activado por ello es necesario habilitar el plugin de Kismet (AlienVault Center).
- 22. Recolección de eventos IDS
- 23. Recolección de Eventos IDS Puerto MIRRORING Colección de Logs Comunica ción Interna iAlienVault
- 24. Recolección de Eventos IDS El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión. Existen dos claras familias importantes de IDS: Puerto MIRRORING El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la Colección de Logs seguridad dentro de la red. El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host.
- 25. Recolección de Eventos IDS Puerto MIRRORING Colección de Logs
- 26. Recolección de Eventos IDS El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, Puerto MIRRORING Colección de Logs etc. El H-IDS actúa como un daemon o servicio estándar en el sistema de un host. Técnicas de detección El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes técnicas para detectar intrusiones: • Verificación de la lista de protocolos • Verificación de los protocolos de la capa de aplicación. • Reconocimiento de ataques de "comparación de patrones"
- 27. Qué hacen los IDS Los principales métodos utilizados por N-IDS para informar y bloquear intrusiones son: Reconfiguración de dispositivos externos (firewalls o ACL en routers): Comando enviado por el N-IDS a un dispositivo externo (como un filtro de paquetes o un firewall) para que se reconfigure inmediatamente y así poder bloquear una intrusión. Envío de una trampa SNMP a un hipervisor externo: Envío de una alerta (y detalles de los datos involucrados) en forma de un datagrama SNMP a una consola externa como HP Open View Tivoli, Cabletron, Spectrum, etc Almacenamiento de paquetes sospechosos: Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta. Envío de un "ResetKill": Se construye un paquete de alerta TCP para forzar la finalización de una conexión (sólo válido para técnicas de intrusión que utilizan el protocolo de transporte TCP). Apertura de una aplicación: Se lanza un programa externo que realice una acción específica (envío de un mensaje de texto SMS o la emisión de una alarma sonora).
- 28. Ciber grafía http://es.slideshare.net/a3sec/a3sec-webinar-alienvault-usm-sistemas-de-deteccin- de-ataques-en-tiempo-real http://www.belt.es/noticias/2005/abril/05/osimm.htm https://www.youtube.com/watch?v=WC4fg1lDjIg