Documente Academic
Documente Profesional
Documente Cultură
intrusiones
2
12.1.1.1 Security Onion
3
4
12.1.1.2. Herramientas de
detección para recopilar
datos de alertas
5
En la figura, se ejemplifica
una vista simplificada de la
manera en que algunos de
los componentes de
Security Onion funcionan
juntos.
6
CapME: Snort: Bro:
• Sistema de detección de intrusiones • Un NIDS que utiliza más de un enfoque
en la red (NIDS, Network Intrusion con base en el comportamiento
• Una aplicación web que permite la
visualización de transcripciones Detection System).
• Utiliza políticas en forma de secuencias
producidas con las herramientas de comando que determinan qué datos
tcpflow o Bro. • Es una fuente importante de los
registrar y cuándo emitir notificaciones
datos de alerta que se indexan en la de alerta.
• Es posible tener acceso a CapME herramienta de análisis Sguil.
desde la herramienta Enterprise Log • Bro también puede enviar archivos
Search and Archive (ELSA) • Snort puede descargar adjuntos para someterlos a análisis de
automáticamente reglas nuevas malware, bloquear el acceso a sitios
utilizando el componente PulledPork maliciosos y apagar una computadora
de Security Onion. que parezca estar violando las políticas de
seguridad.
OSSEC: Suricata:
• Un sistema de detección de intrusiones • Un NIDS que utiliza un enfoque basado en
con base en el host (HIDS, Host-based firmas. También puede usarse para la
Intrusion Detection System) que se prevención de intrusiones en línea.
integra en Security Onion.
• Es similar a Bro; sin embargo, Suricata
• Monitorea activamente las operaciones utiliza la creación nativa de subprocesos,
del sistema del host, entre ellas, el que permite la distribución del
monitoreo de integridad de archivos, el procesamiento de flujos de paquetes en
monitoreo de registros locales, el múltiples núcleos de procesador.
monitoreo de procesos del sistema y la
detección de rootkits. 7
12.1.1.3 Herramientas de
análisis
8
Security Onion integra estos diferentes
tipos de datos y registros del sistema de
detección de intrusiones (IDS) en una
única plataforma mediante las
siguientes herramientas
9
ELSA: Wireshark
Sguil:
• Proporciona una interfaz para
una amplia variedad de
• Proporciona una consola registros de datos de NSM. • Una aplicación de captura
para que los analistas de • Es posible configurar el de paquetes que está
ciberseguridad de alto registro de fuentes, como integrada en el conjunto
nivel puedan investigar HIDS, NIDS, firewalls, clientes de productos de Security
las alertas de seguridad a y servidores de syslog, servicios Onion.
partir de una amplia de dominio y otros.
variedad de fuentes. • ELSA se configura para • Puede abrirse
• normalizar los registros de directamente con otras
• Sguil sirve como punto diversas fuentes de modo que herramientas y permite
de partida para la se puedan representar, ver capturas de paquetes
investigación de alertas almacenar y usar siguiendo un completos relevantes para
de seguridad. esquema común. un análisis.
10
12.1.1.4. Generación de
alertas
11
Las alertas de seguridad son los mensajes de notificación que generan las herramientas, los sistemas y los
dispositivos de seguridad de NSM. Las alertas pueden adoptar muchas formas según la fuente.
Las alertas suelen incluir información de cinco tuplas cuando esté disponible, así como marcas de hora y la
información necesaria para identificar qué dispositivo o sistema generó la alerta
Cinco tuplas incluyen la siguiente información para el seguimiento de una conversación entre una aplicación
de origen y una de destino
12
Sguil, los campos disponibles para los eventos en tiempo real son los siguientes:
ST CNT SENSOR
• El estado del evento. RT significa • El recuento de la cantidad de • El agente que informa el evento.
tiempo real. La prioridad del veces que se detectó este evento • Los sensores disponibles y sus
evento se categoriza usando para la misma dirección IP de números de identificación pueden
colores. origen y de destino. encontrarse en la ficha de estado
• Las prioridades dependen de la • El sistema determina que este
del agente del panel que aparece
categoría de la alerta. Hay cuatro conjunto de eventos está debajo de la ventana de eventos a
niveles de prioridad: muy baja, correlacionado.
la izquierda.
baja, media y alta. Los colores van
del amarillo claro al rojo a medida
• Desde el panel de estado del
que la prioridad aumenta. agente, podemos ver que los
sensores de OSSEC, pcap y Snort
envían informes a Sguil.
13
14
12.1.1.5. Reglas y alertas
15
Las alertas pueden provenir de una serie de fuentes:
La información en las
alertas que aparece en
Sguil diferirá en cuanto
al formato del mensaje,
ya que provienen de
fuentes diferentes.
16
12.1.1.6. Estructura de la
regla de Snort
17
El encabezado de la regla contiene:
la acción, el protocolo, las direcciones IP y
máscaras de red de origen y destino, y la
información del puerto de origen y de
destino.
18
El encabezado de las reglas
El encabezado de la regla contiene la
información sobre:
la acción, el protocolo, las direcciones y el
puerto. Además, se indica la dirección del flujo
que desencadenó la alerta.
Es posible especificar los rangos de puertos separando los valores superiores e inferiores del
rango con dos puntos. También hay disponibles otros operadores. 19