Tabla de Contenidos

OSSIM

Autor: Enrique Rodríguez Rodríguez

Instalación

Mapa general de Ossim

Dashboards

Incidents

Analysis

Reports

Assets

Intelligence

Monitors

Configuration

Tools

Monitorización

Lo primero que se debería realizar es una búsqueda en la red sencilla para ver que se puede encontrar. Para eso vamos a Tools –> Net Discovery y configuramos la búsqueda. La primera opción es la de seleccionar la red, podremos elegir una de las que viene por defecto, una que hayamos definido nosotros antes en otro apartado del Ossim o poner la red de forma manual. La forma manual se puede poner de la siguiente manera: 192.168.1.0/24, 192.168.1.64-68 o 192.168.1.64 en el caso de que solo sea esa la dirección que se desee escanear y no un rango de direcciones. Enable full scan nos da la opción de escanear los servicios de las direcciones, por defecto esta Disable, pero se puede poner en Fast Scan o Full Scan. Timing template nos da a elegir entre los modos de escaneo, por defecto en normal.

Para empezar se recomienda hacer una búsqueda general de toda el rango de direcciones, con la opción Enable full scan en Disable y el modo normal, para identificar todas las direcciones que tenemos disponibles. Lo siguiente sería escanear una a una las direcciones que se deseen monitorizar, con la opción Enable full scan en Full Scan y Timing template en normal. No se recomienda hacer la búsqueda de un rango de direcciones con la opción Enable full scan en Full Scan porque puede caerse el apache y no se completaría la operación.

Cuando se completa una búsqueda saldrá un mensaje: Scan completed. Click here to show the results. Nos llevará de nuevo al apartado de búsqueda añadiendo al final el Scan results. Si interesara guardar los resultados de la búsqueda en la base de datos, marcaríamos la casilla Insert de los host que interesa guardar y le daríamos a Update database values. Nos llevara a un formulario donde se nos pedirá una serie de datos, ya unos configurados por defecto y los demás no son necesarios. La que hay que tener en cuenta es la opción Scan options, que por defecto está desmarcada y si no se marca este host no será monitorizado por nagios, cosa que interesa tener. Para terminar le daremos a OK y será insertado el host en la base de datos si no existía y si existía será actualizado.

ossim_monitorizacion_3.jpg

Para ver los datos de hosts, servicios y estados en los que se encuentran deberemos ir a Monitors –> Availability o a Dashboards –> Dashboards y picar sobre la imagen de la gráfica Availability.

ossim_monitorizacion_5.jpg

Si hay un error en la monitorización de alguno de los hosts, puede dar error en el nagios y puede que no muestre nada, en ese caso mirar que hosts son los que fallan y eliminar los servicios o hosts que sean necesarios para seguir con el funcionamiento normal del nagios.

Visualizar datos de la red

Dashboards –> Dashboards –> Network. Aquí se nos muestra alguna de las gráficas sobre datos de red. En alguna podremos picar y entrar para ver mas detalles.

Reports –> Reports nos permite ver informes detallados. Si queremos ver el estado de la red, introducimos la red y le damos a generate. En General Status veremos la información general de la red. Inventory nos da el nombre de la red y la lista con todos los hosts. Network Traffic contiene una gráfica de la distribución de los servicios y los detalles del tráfico en la red, que incluye múltiples gráficas sobre servicios procesos. En SIEM tenemos los datos sobre los Tickets, las Alarmas, las Vulnerabilidades y los Eventos.

ossim_red_2.jpg

Si vamos por el apartado Monitors –> Network, en la pestaña Traffic veremos una gran cantidad de gráficas y en la pestaña Profiles tendremos gráficas con otros datos y opciones.

ossim_red_4.jpg ossim_red_5.jpg

En Assets –> Asset Search podremos buscar los host pertenecientes a una red determinada, y si lo hacemos desde la pestaña Advanced tendremos mas opciones de búsqueda. En Assets –> Assets –> Networks se pueden crear, modificar o borrar redes y también se le pueden dar nombres para identificarlas. Desde aquí se puede activar o desactivar el nagios para toda una red.

Visualizar datos de hosts

Reports –> Reports nos ayuda a buscar el host que queremos ver introduciendo su dirección ip y dándole a generate. En General Status veremos la información general del host. Inventory nos da toda su descripción como su nombre, el sistema operativo, los servicios que tiene y datos sobre ellos. En SIEM tenemos los datos sobre los Tickets, las Alarmas, las Vulnerabilidades y los Eventos sobre este host.

ossim_host_1.jpg

Assets –> Assets contiene la lista de hosts identificados. Si entramos en alguno de ellos nos llevará a sus detalles como en Reports.

En Monitors –> Availability tenemos la monitorización de los servicios hecha por nagios. Tiene varias opciones de agrupamiento y si hacemos click sobre un host podremos ver sus detalles. Desde aquí se puede hacer que deje de monitorizarlo. Dentro de la pestaña Reporting podemos crear informes sobre el host que se elija.

ossim_host_2.jpg

Si vamos por Monitors –> Network en la pestaña Profiles nos saldrá otras opciones. Entrando en Summary –> Hosts obtendremos la lista de los hosts. Entrando en ellos podremos ver mas información y gráficas.

ossim_host_3.jpg

Tickets

Introducción

Los tickets son tipos de incidencias que pueden ser configuradas para detectar lo que se quiera, alarmas, anomalías u otras.

Configuración general

Si se quiere que un ticket se abra automáticamente cuando se genera una alarma tenemos que tener la opción Automatic Ticket Generation habilitada, se encuentra en Configuration –> Main.

Cada vez que se encuentre una vulnerabilidad en el escaneo de un host se abrirá automáticamente un ticket. Se puede configurar el riesgo mínimo que tiene que tener una vulnerabilidad antes de que el ticket se abra. Para configurarlo ir a Configuration –> Main en el apartado Vulnerability Scanner.

Si el valor es demasiado bajo creará muchos tickets después de cada exploración de vulnerabilidad, con valor 3 o 4 sólo se abrirán tickets de vulnerabilidad reales, y no cuando sean identificados los servicios en la red.

Crear un ticket

Para crear un nuevo ticket vamos a Incidents –> Tickets y en la parte inferior se encuentra Insert new Ticket y los posibles tipos de ticket que se pueden crear.

ticket_3.jpg

Modificar un ticket

Para modificar un ticket lo abrimos picando en su nombre o en su id en Incidents –> Tickets.

ticket_4.jpg

ticket_5.jpg

ticket_6.jpg

Errores

No carga la página. Puede ser que el apache esté caído. Reiniciar el servidor apache:

# /etc/init.d/apache2 start

Referencias