Logs Correlación de Eventos OSSIM

Slides:



Advertisements
Presentaciones similares
Integrando Obras y Oficina
Advertisements

Introducción a Linux Lic. Gonzalo Pastor.
CONOCIENDO LA COMPUTADORA
Interfases Contables en CIO
Internet y tecnologías web
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
PRESENTA: Mizrain Cano Chico Profesor: Lic. Albino Petlacalco Ruiz
Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Cuentas de correo, alías y buzones de correo.
Jorge de Nova Segundo UD 6:
CLASE 3 SOFTWARE DEL MICROPROCESADOR
La función del menu activo siempre aparece en letras blancas. Cuando acceda al menu del GT de la izquierda, será directamente reenviado al calendario de.
CORREO INTERNO. El módulo de correo interno proporciona un método de comunicación simple entre usuarios (Estudiantes- tutores), mediante el envío de mensajes.
TUTORIAL YOUTUBE ANA ROMANO 07/04/2014. La página de acceso a youtube en español es una vez en ella tendremos que registrarnos.
Solución para Control de Presencia Empleados
Alumno: Federico Lanzani Materia: Arquitectura Avanzada
Telnet y SSH Integrantes: Carlos Parra José Isabel
Tema 5 SRI Vicente Sánchez Patón I.E.S Gregorio Prieto
Confiabilidad en Bases de Datos Distribuidas
OBJETO REQUEST. El objeto Request Por qué el objeto request Funcionamiento Colecciones: – Transferencia de variables por URL –Transferencia de variables.
3. INTRODUCCIÓN A LA PROGRAMACIÓN
Sistema de Ficheros, Permisos de archivos y Propietarios de los Mismos.
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
GESTOR DE BASES DE DATOS RELACIONALES
Registro Único Tributario
La estructura básica de los programas en java, algo a tener en cuenta y que debemos recordar siempre es el archivo debe llevar el nombre de la clase con.
Curso Administrativo OTEC Unidad II : Configuración de Cursos Curso creado por : Libro de Clases Electrónico (LCE) ACTUALIZADO
TEMAS DE ADMINISTRAR LOS RECURSOS DE UNA RED. SEGUNDA EVALUACION.
NEWS ¿Qué son los News? Son grupos de noticias distribuido en Internet que están formado por un conjunto de foros de debate clasificados por temas. Los.
EL CORREO ELECTRONICO. Introducción : El correo electrónico es el servicio de Internet con más usuarios de todo el mundo. Con este servicio se pueden.
CAPITULO 1 Escribiendo Sentencias SELECT Básicas
FHS: organización de directorios en Linux
Sistema Operativo. ¿Qué es el Sistema Operativo? Un sistema operativo (SO) es el conjunto de programas y utilidades software que permiten al usuario interactuar.
Como empezar en Access 2000 Abrir Access 2000 Pulsamos INICIO
TRINO ANDRADE G UNIVERSIDAD ECOTEC. PRESENTACIÓN DE OUTLOOK EXPRESS Microsoft Outlook Express es una herramienta necesaria que le permite administrar.
Correo electrónico Internet
HERNANDEZ RAMIREZ CAROLINA CONALEP IXTAPALUCA 236.
5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.
Introducción a los Sistemas Operativos
Herramientas del sistema Maira Alejandra Ortiz losada universidad Surcolombiana 2014.
Introducción a Procesos.  Contexto de ejecución: Conjunto de variables y parámetros, que tiene independencia de otro procesos.  Contexto de E/S ◦ Descriptores.
Ficheros de información /var/log
GUTIÉRREZ GRANADOS HÉCTOR DANIEL
Trabajo realizado por: Rosa Fernández Extremera Virginia Sánchez López.
Políticas de defensa en profundidad: - Defensa perimetral
Proceso de resolución de un nombre de dominio Tema 3 SRI Vicente Sánchez Patón I.E.S Gregorio Prieto.
Tema 6 – Servicio de Correo Electrónico
El correo electrónico.
File Transfer Protocol.
Jorge De Nova Segundo. SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo del nivel de aplicación.
Valentina Hincapié. Christian Hincapié.. ¿QUE ES LINUX? GNU/Linux es uno de los términos empleados para referirse a la combinación del núcleo o kernel.
Punto 2 – Elementos de Correo Juan Luis Cano. Para que una persona pueda enviar un correo a otra, cada una ha de tener una dirección de correo electrónico.
Unidad 2: Tareas básicas de InfoPath 2010
CONBINACION DE CORRESPONDENCIA
Estructura de los mensajes de correo electrónico
Luis Villalta Márquez Servicios SFTP/SCP. SFTP SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo.
Estructura de los mensajes de correo electrónico
 El visor de sucesos es un sistema de logs que guarda todos aquellos errores que padece Windows. Para visualizarlos, iremos a Inicio, Panel de Control,
Utilizar Costo Promedio Ponderado en el Software Administrativo SAW
GUIA para la adscripción de centros o grupos de trabajo promotores y registro de experiencias en la Red de Experiencias de Educación para la Salud en la.
Aplicaciones para la Administración de Negocios
PROTOCOLOS Modelo TCP/IP
INTERFAZ DE ACCESS  Access es un sistema gestor de bases de datos relacionales (SGBD). Una base de datos suele definirse como un conjunto de información.
Registros del sistema (logs) ● Nos permiten saber qué pasó ● Nos permiten saber qué pasa ● Nos permiten saber qué pasará.
Uso de los programas: Screengrab Youtube Redes Sociales (Facebook) Firebug.
Proceso de resolución de un nombre de dominio. –Consultas recursivas. –Consultas iterativas. –Caché y TTL. –Recursividad y caché. Gustavo Antequera Rodríguez.
En el presente trabajo, se explica los diferentes elementos que nos ofrece Microsoft Access, para hacer mas fácil y rápido la realización de bases de.
Planificación Curso UNIDAD 1. INTRODUCCIÓN A LOS SERVICIOS EN RED UNIDAD 2. SERVICIOS DHCP UNIDAD 3. SERVICIOS DNS UNIDAD 4. SERVICIOS DE ACCESO REMOTO.
Los archivos también denominados ficheros (file); es una colección de información (datos relacionados entre sí), localizada o almacenada como una unidad.
S ERVICIOS DE RED E I NTERNET T EMA 6 : I NSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS DE CORREO ELECTRÓNICO Nombre: Adrián de la Torre López.
INTERNET INTRANET Y EXTRANET Wilder Guerrero Ortega Ana María Delgado Cuadrado.
Transcripción de la presentación:

Logs Correlación de Eventos OSSIM

Logs ¿Qué es un log? Es una bitácora o un registro oficial de eventos durante un periodo de tiempo en particular.

¿Para qué se utilizan? Los administradores de sistemas lo utilizan para registrar los datos o información sobre quién, cuándo, dónde y por qué una acción determinada ocurre. Los sistemas operativos también trabajan con logs, por ejemplo para guardar incidencias, errores, accesos de usuarios etc.

Auditoria del Sistema - Unix Casi todas las actividades realizadas en un sistema Unix son susceptibles de ser, en mayor o menor medida, monitorizadas: desde las horas de acceso de cada usuario al sistema hasta las páginas web más frecuentemente visitadas, pasando por los intentos fallidos de conexión, los programas ejecutados o incluso el tiempo de CPU que cada usuario consume.

El sistema de log de Unix Dentro de Unix hay dos grandes familias de sistemas: se trata de System V y BSD. En los sistemas System V el process accounting está desactivado por defecto; se puede iniciar mediante /usr/lib/acct/startup, y para visualizar los informes se utiliza la orden acctcom. En la familia BSD los equivalentes a estas órdenes son accton y lastcomm; en este caso el process accounting está inicializado por defecto.

El demonio SYSLOGD syslogd (Syslog Daemon) se lanza automáticamente al arrancar un sistema Unix, y es el encargado de guardar informes sobre el funcionamiento de la máquina. Recibe mensajes de las diferentes partes del sistema (núcleo, programas...) y los envía y/o almacena en diferentes localizaciones, tanto locales como remotas, siguiendo un criterio definido en el fichero de configuración /etc/syslog.conf, donde especificamos las reglas a seguir para gestionar el almacenamiento de mensajes del sistema.

Ejemplo de syslogd Fichero /etc/syslog.conf Falta copiar archivo de linux!!!!!

Podemos ver que cada regla del archivo tiene dos campos: un campo de selección y un campo de acción, separados ambos por espacios o tabuladores.

Campo de Selección Está compuesto a su vez de dos partes separadas por un punto: una que indica el servicio que envía el mensaje y otra que marca su prioridad, separadas por un punto (`.'); ambas son indiferentes a mayúsculas y minúsculas. user.err /dev/console Servicio user.err Prioridad

La parte del servicio contiene una de las siguientes palabras clave: auth, auth-priv, cron, daemon, kern, lpr, mail, mark, news, security (equivalente a auth), syslog, user, uucp y local0 hasta local7; esta parte especifica el `subsistema' que ha generado ese mensaje (por ejemplo, todos los programas relacionados con el correo generarán mensajes ligados al servicio mail).

En segundo lugar, la prioridad está compuesta de uno de los siguientes términos, en orden ascendente: debug, info, notice, warning, warn (equivalente a warning), err, error (equivalente a err), crit, alert, emerg, y panic (equivalente a emerg). La prioridad define la gravedad o importancia del mensaje almacenado.

Además de los términos mencionados hasta ahora, el demonio syslogd emplea en su fichero de configuración los siguientes caracteres especiales:

“*” Asterisco Empleado como comodín para todas las prioridades y servicios anteriores, dependiendo de dónde son usados (si antes o después del carácter de separación `.'): # Guardar todos los mensajes del servicio mail en /var/adm/mail # mail.* /var/adm/mail

Espacio en blanco “ “ Indica que no hay prioridad definida para el servicio de la línea almacenada.

Coma “ , “ Con este carácter es posible especificar múltiples servicios con el mismo patrón de prioridad en una misma línea. Es posible enumerar cuantos servicios se quieran: # Guardar todos los mensajes mail.info y news.info en # /var/adm/info mail,news.=info /var/adm/info

Punto y coma “ ; “ Es posible dirigir los mensajes de varios servicios y prioridades a un mismo destino, separándolos por este carácter: # Guardamos los mensajes de prioridad "info" y "notice" # en el archivo /var/log/messages *.=info;*.=notice /var/log/messages

Igual “ = “ De este modo solo se almacenan los mensajes con la prioridad exacta especificada y no incluyendo las superiores: # Guardar todos los mensajes criticos en /var/adm/critical # *.=crit /var/adm/critical

Exclamación “ ! “ Preceder el campo de prioridad con un signo de exclamación sirve para ignorar todas las prioridades, teniendo la posibilidad de escoger entre la especificada (!=prioridad) y la especificada más todas las superiores (!prioridad). Cuando se usan conjuntamente los caracteres `=' y `!', el signo de exclamación `!' debe preceder obligatoriamente al signo igual `=', de esta forma: !=. # Guardar mensajes del kernel de prioridad info, pero no de # prioridad err y superiores kern.info;kern.!err /var/adm/kernel-info # Guardar mensajes de mail excepto los de prioridad info mail.*;mail.!=info /var/adm/mail

Campo de Acción La segunda parte de cada línea del archivo de configuración de syslogd es el campo de acción, y describe el destino de los mensajes (dónde se van a guardar o qué programa los va a procesar); este destino puede ser uno de los siguientes: user.err /dev/console user.err

Un fichero plano Normalmente los mensajes del sistema son almacenados en ficheros planos. Dichos ficheros han de estar especificados con la ruta de acceso completa. # Guardamos todos los mensajes de prioridad critica en "critical" # *.=crit /var/adm/critical

Un dispositivo físico Tenemos la posibilidad de enviar los registros del sistema a un dispositivo físico del mismo, típicamente un terminal o una impresora. # Enviamos todos los mensajes a tty12 (ALT+F12 en Linux) y todos # los mensajes críticos del núcleo a consola # *.* /dev/tty12 kern.crit /dev/console

Una máquina remota Se pueden enviar los mensajes del sistema a otra máquina, de manera a que sean almacenados remotamente, sin más que indicar en el campo de acción el nombre o dirección de dicho sistema precedido por el signo `@'. # Enviamos los mensajes de prioridad warning y superiores al # fichero "syslog" y todos los mensajes (incluidos los # anteriores) a la maquina "secure.upv.es" # *.warn /usr/adm/syslog *.* @secure.upv.es

Unos usuarios del sistema (si están conectados) Se especifica la lista de usuarios que deben recibir un tipo de mensajes simplemente escribiendo sus login, separados por comas: # Enviamos los mensajes con la prioridad "alert" a root y toni # *.alert root, toni

Todos los usuarios que estén conectados Los errores con una prioridad de emergencia se suelen enviar a todos los usuarios que estén conectados al sistema, de manera que se den cuenta de que algo va mal; para ello utilizamos un asterisco en el campo de acción: # Mostramos los mensajes urgentes a todos los usuarios # conectados, mediante wall *.=emerg *

Algunos archivos de Log

Syslog El archivo syslog (guardado en /var/adm/ o /var/log/) es quizás el fichero de log más importante del sistema; en él se guardan, en texto claro, mensajes relativos a la seguridad de la máquina, como los accesos o los intentos de acceso a ciertos servicios. No obstante, este fichero es escrito por syslogd, por lo que dependiendo de nuestro fichero de configuración encontraremos en el archivo una u otra información. Al estar guardado en formato texto, podemos visualizar su contenido con un simple cat.

anita:/# cat /var/log/syslog Mar 5 04:15:23 anita in anita:/# cat /var/log/syslog Mar 5 04:15:23 anita in.telnetd[11632]: connect from localhost Mar 5 06:16:52 anita rpcbind: connect from 127.0.0.1 to getport(R ) Mar 5 06:16:53 anita last message repeated 3 times Mar 5 06:35:08 anita rpcbind: connect from 127.0.0.1 to getport(R ) Mar 5 18:26:56 anita rpcbind: connect from 127.0.0.1 to getport(R ) Mar 5 18:28:47 anita last message repeated 1 time Mar 5 18:32:43 anita rpcbind: connect from 127.0.0.1 to getport(R ) Mar 6 02:30:26 anita rpcbind: connect from 127.0.0.1 to getport(R ) Mar 6 03:31:37 anita rpcbind: connect from 127.0.0.1 to getport(R ) Mar 6 11:07:04 anita in.telnetd[14847]: connect from rosita Mar 6 11:40:43 anita in.telnetd[14964]: connect from localhost anita:/#

Messages En este archivo de texto se almacenan datos “informativos” de ciertos programas, mensajes de baja o media prioridad destinados a más que informar a dar aviso de sucesos importantes, como información relativa al arranque de la máquina; al igual que en el fichero syslog en función de /etc/syslog.conf podemos guardar todo tipo de datos.

Wtmp Este archivo es un fichero binario que almacena información relativa a cada conexión desconexión del sistema. Para ver su contenido lo hacemos por medio de la orden last. Daybirth:/# last -10 Los registros guardados en este archivo tienen el formato de la estructura utmp, que contiene información como nombre de usuario, la línea por la que accede, el lugar desde lo hace y la hora de acceso.

Lastlog Es un fichero binario guardado generalmente en /var/admin y que contiene un registro para cada usuario con la fecha y la hora de su última conexión. Podemos visualizar estos datos para un usuario dado mediante ordenes como who o finger. Daybirth:/# finger toni

Sulog Este es un fichero de texto donde se registran las ejecuciones de la orden su, indicando la fecha, hora, usuario que lanza el programa y usuario cuya identidad adopta, terminal asociada y éxito (+) ó fracaso (-) de la operación. Daybirth:/# head -4 /var/adm/sulog

Correlacionador de Eventos

Es la capacidad de agrupar eventos provenientes de varias fuentes, con el objetivo final de facilitar la labor de análisis, especificando lo máximo posible los detalles del mismo. El proceso de correlación se realiza en el momento del registro de eventos en los sistemas de detección.

Funciones de un correlacionador de eventos Determinar, en tiempo real, la probabilidad de materialización de una amenaza en un instante dado. Conocer, en tiempo real, cuando comienza un ataque al sistema permitiendo una alerta temprana. Conocer, si un ataque ha tenido éxito o no, y determinar el impacto real del mismo sobre el sistema. Determinar los patrones de materialización de las amenazas, que serán utilizados posteriormente, para implantar nuevas salvaguardas o mejorar las existentes.

OSSIM

OSSIM es una distribución open source integrados para construir una infraestructura de monitorización de seguridad. Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección y visibilidad en la monitorización de eventos de seguridad de la organización.

OSSIM cuenta con las siguientes herramientas de monitorización: Cuadro de mandos para visibilidad a alto nivel. Monitores de riesgo y comportamiento para la monitorización a nivel medio. Consola forense y monitores de Red para el bajo nivel.

Detección de Anomalías Funcionalidad Cuadros de Mando Monitores Correlación Validación de Riesgo Priorización Normalización Detección de Patrones Detección de Anomalías Cons. Forence

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.