SlideShare una empresa de Scribd logo

Herramientas OCSA integradas para seguridad

AlienVault
AlienVault

Este documento resume las principales herramientas integradas en OCSA (Open Computer Security Alliance), clasificándolas como activas o pasivas. Entre las herramientas pasivas se encuentran Snort, Ntop, Nfsen/Nfdump, Kismet, P0f, Pads, Arpwatch y Tcptrack, las cuales analizan el tráfico de red sin generar tráfico. Las herramientas activas incluyen OCS, Nagios, OpenVas y OSSEC, las cuales requieren agentes instalados o realizan escaneos que generan

TecnologíaDiseño
1 de 32
Herramientasintegradas OCSA Juan Manuel Lorenzo (jmlorenzo@alienvault.com)
Activas / Pasivas Es posibleclasificarlasherramientasque se incluyen en OSSIM entre: Activas: Generantráficodentro de la red en que se encuentran. Pasivas: Analizan el tráfico de la red sin generar nada de tráficodentro de ella. Para quelasherramientaspasivasfuncionencorrectamenteesimprescindibleconfigurar un port mirroring o port span en la electrónica de red, obiendisponer de un hub o un network tap quepermita al sensor de OSSIM analizartodo el tráficoque se generedentro de la red 2
Snort NIDS (Detección de intrusos a nivel de red) http://www.snort.org Snort analizatodo el tráfico de red Mediante el uso de firmas genera eventos de seguridad Utilidad en OSSIM: Escaneos de puertos Gusanos Malware Violaciones de política (P2P, Mensajería, pornografía…) PASIVA 3
Snort PASIVA Violaciones de política alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Megaupload file download service access"; flow:to_server,established; content:"GET "; depth: 4; uricontent:"/?d="; content:"|0d 0a|Host "; content:"megaupload.com"; within:25; nocase; classtype:policy-violation; reference:url,doc.emergingthreats.net/2009301; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_Download_Services; sid:2009301; rev:2;) alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Porn-Sports-Gambling site designed to bypass restrictions"; flow:to_server,established; content:"Host"; nocase; pcre:"/Host[^]+(bodog|bodogbeat|bodognation|bodogmusic|bodogconference|bodogpokerchampionships)com/i"; reference:url,www.bodog.com; classtype:policy-violation; reference:url,doc.emergingthreats.net/2003100; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_bodog.com; sid:2003100; rev:4;) Malware alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS MALWARE Potential Malware Download, rogue antivirus (IAInstall.exe)"; flow:established,to_server; uricontent:"/download/IAInstall.exe"; nocase; classtype:bad-unknown; reference:url,malwareurl.com; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_Malwareurl_top_downloads; reference:url,doc.emergingthreats.net/2010447; sid:2010447; rev:2;) alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET 1024: (msg:"ET MALWARE 404 Response with an EXE Attached - Likely Malware Drop"; flow:established,from_server; content:"HTTP/1.1 404 Not Found|0d 0a|"; depth:24; content:"|0d 0a 0d 0a|MZ"; distance:0; classtype:attempted-admin; reference:url,doc.emergingthreats.net/bin/view/Main/2009028; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_404_EXE; sid:2009028; rev:2;) 4
Snort PASIVA Virus ytroyanos alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:"ET VIRUS Bugbear@MM virus via SMTP"; flow: established; content:"uv+LRCQID7dIDFEECggDSLm9df8C/zSNKDBBAAoGA0AEUQ+FEN23f7doqAT/dCQk/xWcEQmDxCTD"; reference:url,www.symantec.com/avcenter/venc/data/w32.bugbear@mm.html; classtype: misc-activity; reference:url,doc.emergingthreats.net/2001764; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/VIRUS_BugBear; sid: 2001764; rev:6;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"ET WORM UPX encrypted file download - possible worm"; flow: established; content:"MZ"; isdataat: 76,relative; content:"This program cannot be run in DOS mode."; distance: 0; isdataat: 10,relative; content:"PE"; distance: 0; content:"|00|code|00|"; content:"|00 C0|text|00|"; classtype: misc-activity; reference:url,doc.emergingthreats.net/2001047; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/WORM_Suspicious_Extensions; sid: 2001047; rev:6;) Escaneos alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ET SCAN Unusually Fast 403 Error Messages, Possible Web Application Scan"; flow:from_server,established; content:"HTTP/1.1 403"; depth:13; threshold: type threshold, track by_dst, count 35, seconds 60; classtype:attempted-recon; reference:url,www.checkupdown.com/status/E403.html; reference:url,doc.emergingthreats.net/2009749; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_403; sid:2009749; rev:2;) alert tcp $EXTERNAL_NET any -> $HOME_NET 110 (msg:"ET SCAN Rapid POP3 Connections - Possible Brute Force Attack"; flags: S,12; threshold: type both, track by_src, count 10, seconds 120; classtype: misc-activity; reference:url,doc.emergingthreats.net/2002992; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_General_Services; sid: 2002992; rev:5;) 5
Ntop Monitor de red y de uso http://www.ntop.org Ntopanalizatodo el tráfico de red Ntopofrecedatos (En tiempo real ehistórico) del usoqueestamosdando a nuestra red Utilidad en OSSIM: Estadísticas de uso de red Informaciónsobreactivos Matrices de tiempoy de actividad Informaciónsobresesionesactivas en la red Detección de abuso de la red PASIVA 6
Ntop PASIVA 7
Ntop En modopasivoNtopvacreando un perfilparacadaactivo de nuestra red a partir del tráficoqueestegenere en la red PASIVA 8
Ntop Matrices de datosytiempo PASIVA 9
Ntop – RRD Aberrant Behaviour A partir de los datoshistóricos, Ntophaceuso del algoritmo RRD Aberrant Behaviour pararealizarpredicciones del comportamiento de nuestra red y de los activosque la componen Si la realidad no se corresponde con la predicción, el sistema genera un evento PASIVA 10
NFSen /NFdump Nfdumprecogeyprocesanetflowsdesde la línea de comandos. http://nfdump.sourceforge.net/ NFSenesunainterfazgráficaquepermitegestionarymostrar la informaciónrecogidaporNfdump http://nfsen.sourceforge.net/ PASIVA 11
NFSen /NFdump Netflowes un protocólo de red desarrolladopor Cisco quepermiterecogerinformaciónreferida al tráficoanalizado Un grannúmero de dispositivossoportanhoydíaNetflow PASIVA 12
OCS Gestión de inventario http://www.ocsinventory-ng.org Mediante un sistema de agentesdistribuidos, se recogeinformaciónpara el inventario de cadamáquina OCS requiere de un agenteinstalado en cadamáquina a inventariar Utilidad en OSSIM Gestión de inventario (Software y Hardware) Gestión de vulnerabilidades Violaciones de política Control del hardware ACTIVA (AGENTES) 13
OCS ACTIVA (AGENTES) 14
Nagios Monitor de disponibilidad http://www.nagios.org Nagiosmonitoriza la disponibilidad de los activosyservicios Podemosmonitorizar un servicio de diferentesmodos (Ejemplo: Servidor MySQL) Comprobarque el equipoestálevantado Comprobarque el puerto de MySQL estálevantado Comprobarsi en el puertorealmenteescucha un servidor MySQL Realizarunaconsulta al servidorycomprobar el resultado ACTIVA 15
Nagios Utilidad en OSSIM: Disponibilidad de los activos Nagiospuederealizarcomprobaciones en remotoodisponiendo de un agente en la máquinamonitorizada Nagiosdispone de un grannúmero de plugins paradiferentesentornosyherramientas ACTIVA 16
OpenVas Escaneo de vulnerabilidades http://www.openvas.org OpenVasrealizaescaneos de vulnerabilidades en utilizandounaserie de firmas Utilidad en OSSIM Prevención de ataques (Sabemosquees vulnerable) ¿Se cumple la política de la organización? ACTIVA 17
OpenVas Algunasvulnerabilidadessólopueden ser probadasexplotando la vulnerabilidad (Ej: DOS) OpenVaspermitedefinir la agresividad de los escaneosquerealiza Un escaneo mal configuradopuedeacarrearcaidas en servicios de nuestra red. Los primerosescaneossiempredeberánsupervisarse con atención. ACTIVA 18
OpenVas OpenVastiene la capacidad de realizarescaneos en remotoconectándose a la máquinaescanedasi le facilitamoslascredencialesparaello. De estemodoOpenVasconoceexactamente el software instalado en cadamáquinaysiestetienealgunavulnerabilidado no OpenVasdispone de un lenguajepropio de escritura de firmas ACTIVA 19
OSVDB Base de datos de vulnerabilidades http://www.osvdb.org OSVDB esuna base recopilainformaciónsobrelasvulnerabilidades. Utilidad en OSSIM Creación de reglas de correlación Relacionaidentificadores de cadavulnerabilidad Complementa la informaciónofrecidaporOpenVas 20
OSVDB Descripción de la vulnerabilidad: Referenciaseidentificadores: 21
OSVDB Relaciones entre herramientas: Puntuación CVSSv2 (Common Vulnerability Scoring System): 22
OSSEC HIDS (IDS a nivel de host) http://www.ossec.org OSSEC requiere de un agenteinstalado en cadamáquina a monitorizar. (Exceptosistemas UNIX) OSSEC realiza análisis de logs, comprueba la integridad del sistema, monitoriza el registro de Windows e incluye un sistema de detección de sistemas rootkit. ACTIVA (AGENTES) 23
OSSEC OSSEC utilizaunaarquitecturaagentes -> servidor, en OSSIM recogeremos los eventosrecolectados en el servidor de OSSEC. OSSEC dispone de supropiosistema de plugins paraanalizar los eventos de herramientas en Windows y UNIX Utilidad en OSSIM: Recogida de eventos de sistemas Windows y UNIX Recogida de eventos de aplicaciones Monitorizaciónficheros, carpetasyregistro (DLP) ACTIVA (AGENTES) 24
Kismet Sniffer y detector de intrusos en redes Wireless http://www.kismetwireless.net Kismet requiere de unatarjetawifiquesoporte el modo de monitorización raw y puede rastrear tráfico 802.11b, 802.11a y 802.11g Utilidad en OSSIM: Securización de redesinalámbricas Detectión de rogue AP Cumplimiento de normativa (PCI) PASIVA 25
Nmap Escaner de puertos http://www.insecure.org Nmapescanearedesyequiposmediante un escaneo configurable (Precisión, velocidad, grado de intrusión…) Utilidad en OSSIM: Descubrimiento de activos Identifica puertosabiertos Determina qué servicios se están ejecutando Determinar qué sistema operativo y versión se utiliza Obtiene algunas características del hardware de red de los activos escaneados ACTIVA 26
P0f Detección de anomalías en sistemaoperativo http://lcamtuf.coredump.cx/p0f.shtml A partir del análisis del tráficogeneradopor los activos de la red, P0f identifica el sistemaoperativoqueestánutilizando. Utilidad en OSSIM: Cambios de sistemaoperativo Gestión del inventario Accesos no autorizados a la red PASIVA 27
Pads Deteccción de anomalías en servicios http://passive.sourceforge.net/ A partir del análisis del tráficogeneradopor los activos de la red, Pads identifica los serviciosqueestáejecutandocadaactivo. Utilidad en OSSIM: Gestión del inventario Cambios en los servicios Violaciones de política Correlación de inventario PASIVA 28
Arpwatch Deteccción de anomalías en lasdirecciones MAC http://ee.lbl.gov/ A partir del análisis del tráficogeneradopor los activos de la red, Arpwatchidentificacambios en lasdirecciones MAC asociadas a cadadirección IP. Utilidad en OSSIM: Gestión del inventario Cambios de dirección IP ARPSpoofing PASIVA 29
Tcptrack Monitor de sesiones (red) http://www.rhythm.cx/~steve/devel/tcptrack/ Tcptrackmuestrainformaciónacerca de lasconexiones TCP activas en la red (Duración, datostransferidos…) Utilidad en OSSIM: Información de sesionesdurante la correlación PASIVA 30
Nepenthes Honeypot http://nepenthes.mwcollect.org Nepenthes emula servicios y vulnerabilidades conocidas con el objeto de recoger información de los atacantes (Patrones de ataque, ficheros…) Utilidad en OSSIM Conocer que equipos están infectados (Atacan al honeypot) Creación de firmas y directivas en base a los ataques identificados Colección de malware PASIVA 31
About this document This Document is part of the OCSA Training Material (OSSIM Certified Security Analyst) Author: Juan Manuel Lorenzo (jmlorenzo@alienvault.com) Copyright © Alienvault 2010 All rights reserved. No part of this work may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording, or by any information storage or retrieval system, without the prior written permission of the copyright owner and publisher. Any trademarks referenced herein are the property of their respectiveholders. 32

Recomendados

Intrusion prevention system(ips)
Intrusion prevention system(ips)Intrusion prevention system(ips)
Intrusion prevention system(ips)Papun Papun
 
Intrusion prevention systems
Intrusion prevention systemsIntrusion prevention systems
Intrusion prevention systemssamis
 
MITRE ATT&CK framework
MITRE ATT&CK frameworkMITRE ATT&CK framework
MITRE ATT&CK frameworkBhushan Gurav
 
Nmap basics
Nmap basicsNmap basics
Nmap basicsn|u - The Open Security Community
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
IDS, IPS, IDPS
IDS, IPS, IDPSIDS, IPS, IDPS
IDS, IPS, IDPSMinhaz A V
 
SOC Analyst Interview Questions & Answers.pdf
SOC Analyst Interview Questions & Answers.pdfSOC Analyst Interview Questions & Answers.pdf
SOC Analyst Interview Questions & Answers.pdfinfosec train
 
Networking and penetration testing
Networking and penetration testingNetworking and penetration testing
Networking and penetration testingMohit Belwal
 

Recomendados

Intrusion prevention system(ips)
Intrusion prevention system(ips)Intrusion prevention system(ips)
Intrusion prevention system(ips)Papun Papun
 
Intrusion prevention systems
Intrusion prevention systemsIntrusion prevention systems
Intrusion prevention systemssamis
 
MITRE ATT&CK framework
MITRE ATT&CK frameworkMITRE ATT&CK framework
MITRE ATT&CK frameworkBhushan Gurav
 
Nmap basics
Nmap basicsNmap basics
Nmap basicsn|u - The Open Security Community
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
IDS, IPS, IDPS
IDS, IPS, IDPSIDS, IPS, IDPS
IDS, IPS, IDPSMinhaz A V
 
SOC Analyst Interview Questions & Answers.pdf
SOC Analyst Interview Questions & Answers.pdfSOC Analyst Interview Questions & Answers.pdf
SOC Analyst Interview Questions & Answers.pdfinfosec train
 
Networking and penetration testing
Networking and penetration testingNetworking and penetration testing
Networking and penetration testingMohit Belwal
 
OSSIM
OSSIMOSSIM
OSSIMAdrian Sigueñas Calderon
 
The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0Michael Gough
 
Ossec Lightning
Ossec LightningOssec Lightning
Ossec Lightningwremes
 
Packet sniffing & ARP Poisoning
Packet sniffing & ARP Poisoning Packet sniffing & ARP Poisoning
Packet sniffing & ARP Poisoning Viren Rao
 
The Next Generation of Security Operations Centre (SOC)
The Next Generation of Security Operations Centre (SOC)The Next Generation of Security Operations Centre (SOC)
The Next Generation of Security Operations Centre (SOC)PECB
 
Pen Testing Explained
Pen Testing ExplainedPen Testing Explained
Pen Testing ExplainedRand W. Hirt
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkSqrrl
 
Pentest with Metasploit
Pentest with MetasploitPentest with Metasploit
Pentest with MetasploitM.Syarifudin, ST, OSCP, OSWP
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
 
Network Intrusion Detection System Using Snort
Network Intrusion Detection System Using SnortNetwork Intrusion Detection System Using Snort
Network Intrusion Detection System Using SnortDisha Bedi
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Advanced OSSEC Training: Integration Strategies for Open Source Security
Advanced OSSEC Training: Integration Strategies for Open Source SecurityAdvanced OSSEC Training: Integration Strategies for Open Source Security
Advanced OSSEC Training: Integration Strategies for Open Source SecurityAlienVault
 
Snort
SnortSnort
SnortStickman Hai
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network Monitoring10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network MonitoringHelpSystems
 
Detecting WMI Exploitation v1.1
Detecting WMI Exploitation v1.1Detecting WMI Exploitation v1.1
Detecting WMI Exploitation v1.1Michael Gough
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessusnana nana
 
Detection Rules Coverage
Detection Rules CoverageDetection Rules Coverage
Detection Rules CoverageSunny Neo
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemAAKASH S
 
WebRTC の紹介
WebRTC の紹介WebRTC の紹介
WebRTC の紹介Kensaku Komatsu
 
Rainbow Tables
Rainbow TablesRainbow Tables
Rainbow TablesGonzalo Álvarez Marañón
 

Más contenido relacionado

La actualidad más candente

The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0Michael Gough
 
Ossec Lightning
Ossec LightningOssec Lightning
Ossec Lightningwremes
 
Packet sniffing & ARP Poisoning
Packet sniffing & ARP Poisoning Packet sniffing & ARP Poisoning
Packet sniffing & ARP Poisoning Viren Rao
 
The Next Generation of Security Operations Centre (SOC)
The Next Generation of Security Operations Centre (SOC)The Next Generation of Security Operations Centre (SOC)
The Next Generation of Security Operations Centre (SOC)PECB
 
Pen Testing Explained
Pen Testing ExplainedPen Testing Explained
Pen Testing ExplainedRand W. Hirt
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkSqrrl
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
 
Network Intrusion Detection System Using Snort
Network Intrusion Detection System Using SnortNetwork Intrusion Detection System Using Snort
Network Intrusion Detection System Using SnortDisha Bedi
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Advanced OSSEC Training: Integration Strategies for Open Source Security
Advanced OSSEC Training: Integration Strategies for Open Source SecurityAdvanced OSSEC Training: Integration Strategies for Open Source Security
Advanced OSSEC Training: Integration Strategies for Open Source SecurityAlienVault
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network Monitoring10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network MonitoringHelpSystems
 
Detecting WMI Exploitation v1.1
Detecting WMI Exploitation v1.1Detecting WMI Exploitation v1.1
Detecting WMI Exploitation v1.1Michael Gough
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessusnana nana
 
Detection Rules Coverage
Detection Rules CoverageDetection Rules Coverage
Detection Rules CoverageSunny Neo
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemAAKASH S
 

La actualidad más candente (20)

OSSIM
OSSIMOSSIM
OSSIM
 
The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0The top 10 windows logs event id's used v1.0
The top 10 windows logs event id's used v1.0
 
Ossec Lightning
Ossec LightningOssec Lightning
Ossec Lightning
 
Packet sniffing & ARP Poisoning
Packet sniffing & ARP Poisoning Packet sniffing & ARP Poisoning
Packet sniffing & ARP Poisoning
 
The Next Generation of Security Operations Centre (SOC)
The Next Generation of Security Operations Centre (SOC)The Next Generation of Security Operations Centre (SOC)
The Next Generation of Security Operations Centre (SOC)
 
Pen Testing Explained
Pen Testing ExplainedPen Testing Explained
Pen Testing Explained
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your Network
 
Pentest with Metasploit
Pentest with MetasploitPentest with Metasploit
Pentest with Metasploit
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)
 
Network Intrusion Detection System Using Snort
Network Intrusion Detection System Using SnortNetwork Intrusion Detection System Using Snort
Network Intrusion Detection System Using Snort
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
 
Advanced OSSEC Training: Integration Strategies for Open Source Security
Advanced OSSEC Training: Integration Strategies for Open Source SecurityAdvanced OSSEC Training: Integration Strategies for Open Source Security
Advanced OSSEC Training: Integration Strategies for Open Source Security
 
Snort
SnortSnort
Snort
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network Monitoring10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network Monitoring
 
Detecting WMI Exploitation v1.1
Detecting WMI Exploitation v1.1Detecting WMI Exploitation v1.1
Detecting WMI Exploitation v1.1
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessus
 
Detection Rules Coverage
Detection Rules CoverageDetection Rules Coverage
Detection Rules Coverage
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 

Destacado

diagrama de colaboracion
diagrama de colaboraciondiagrama de colaboracion
diagrama de colaboracionstill01
 
Diagramas de colaboracion
Diagramas de colaboracionDiagramas de colaboracion
Diagramas de colaboraciond-draem
 
Analisis de requerimientos, Ingenieria de Software
Analisis de requerimientos, Ingenieria de SoftwareAnalisis de requerimientos, Ingenieria de Software
Analisis de requerimientos, Ingenieria de SoftwareMarvin Romero
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 

Destacado (6)

WebRTC の紹介
WebRTC の紹介WebRTC の紹介
WebRTC の紹介
 
Rainbow Tables
Rainbow TablesRainbow Tables
Rainbow Tables
 
diagrama de colaboracion
diagrama de colaboraciondiagrama de colaboracion
diagrama de colaboracion
 
Diagramas de colaboracion
Diagramas de colaboracionDiagramas de colaboracion
Diagramas de colaboracion
 
Analisis de requerimientos, Ingenieria de Software
Analisis de requerimientos, Ingenieria de SoftwareAnalisis de requerimientos, Ingenieria de Software
Analisis de requerimientos, Ingenieria de Software
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
 

Similar a Herramientas OCSA integradas para seguridad

Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSIxoanGz
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo realA3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo reala3sec
 
Analisis de trafico con wireshark
Analisis de trafico con wiresharkAnalisis de trafico con wireshark
Analisis de trafico con wiresharkLuis Martínez
 
Cert inf seguridad_analisis_trafico_wireshark
Cert inf seguridad_analisis_trafico_wiresharkCert inf seguridad_analisis_trafico_wireshark
Cert inf seguridad_analisis_trafico_wiresharkaborola
 
ANÁLISIS DE TRÁFICO CON WIRESHARK
ANÁLISIS DE TRÁFICO CON WIRESHARKANÁLISIS DE TRÁFICO CON WIRESHARK
ANÁLISIS DE TRÁFICO CON WIRESHARKNataliaPortuguez1
 
Analisis trafico wireshark
Analisis trafico wiresharkAnalisis trafico wireshark
Analisis trafico wiresharklibros007
 
Analisis de trafico con wireshark
Analisis de trafico con wiresharkAnalisis de trafico con wireshark
Analisis de trafico con wiresharkIsrael_01
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Proyecto
ProyectoProyecto
Proyecto1smr07
 
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)xavazquez
 

Similar a Herramientas OCSA integradas para seguridad (20)

PRESENTACION bajo costo.pptx
PRESENTACION bajo costo.pptxPRESENTACION bajo costo.pptx
PRESENTACION bajo costo.pptx
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
 
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
Herramientas de monitorización de flujos ¿Qué tenemos? ¿Qué necesitamos?
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo realA3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
 
Snort_IDS
Snort_IDSSnort_IDS
Snort_IDS
 
Analisis de trafico con wireshark
Analisis de trafico con wiresharkAnalisis de trafico con wireshark
Analisis de trafico con wireshark
 
Cert inf seguridad_analisis_trafico_wireshark
Cert inf seguridad_analisis_trafico_wiresharkCert inf seguridad_analisis_trafico_wireshark
Cert inf seguridad_analisis_trafico_wireshark
 
ANÁLISIS DE TRÁFICO CON WIRESHARK
ANÁLISIS DE TRÁFICO CON WIRESHARKANÁLISIS DE TRÁFICO CON WIRESHARK
ANÁLISIS DE TRÁFICO CON WIRESHARK
 
Analisis trafico wireshark
Analisis trafico wiresharkAnalisis trafico wireshark
Analisis trafico wireshark
 
Analisis trafico wireshark
Analisis trafico wiresharkAnalisis trafico wireshark
Analisis trafico wireshark
 
Analisis de trafico con wireshark
Analisis de trafico con wiresharkAnalisis de trafico con wireshark
Analisis de trafico con wireshark
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Proyecto
ProyectoProyecto
Proyecto
 
Nmap
NmapNmap
Nmap
 
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
 
Labs
LabsLabs
Labs
 
Snort
SnortSnort
Snort
 
Snort
SnortSnort
Snort
 
Snort
SnortSnort
Snort
 

Más de AlienVault

Meltdown and Spectre - How to Detect the Vulnerabilities and Exploits
Meltdown and Spectre - How to Detect the Vulnerabilities and ExploitsMeltdown and Spectre - How to Detect the Vulnerabilities and Exploits
Meltdown and Spectre - How to Detect the Vulnerabilities and ExploitsAlienVault
 
Malware Invaders - Is Your OS at Risk?
Malware Invaders - Is Your OS at Risk?Malware Invaders - Is Your OS at Risk?
Malware Invaders - Is Your OS at Risk?AlienVault
 
How to Solve Your Top IT Security Reporting Challenges with AlienVault
How to Solve Your Top IT Security Reporting Challenges with AlienVaultHow to Solve Your Top IT Security Reporting Challenges with AlienVault
How to Solve Your Top IT Security Reporting Challenges with AlienVaultAlienVault
 
Simplify PCI DSS Compliance with AlienVault USM
Simplify PCI DSS Compliance with AlienVault USMSimplify PCI DSS Compliance with AlienVault USM
Simplify PCI DSS Compliance with AlienVault USMAlienVault
 
SIEM for Beginners: Everything You Wanted to Know About Log Management but We...
SIEM for Beginners: Everything You Wanted to Know About Log Management but We...SIEM for Beginners: Everything You Wanted to Know About Log Management but We...
SIEM for Beginners: Everything You Wanted to Know About Log Management but We...AlienVault
 
Insider Threat Detection Recommendations
Insider Threat Detection RecommendationsInsider Threat Detection Recommendations
Insider Threat Detection RecommendationsAlienVault
 
Alienvault threat alerts in spiceworks
Alienvault threat alerts in spiceworksAlienvault threat alerts in spiceworks
Alienvault threat alerts in spiceworksAlienVault
 
Open Source IDS Tools: A Beginner's Guide
Open Source IDS Tools: A Beginner's GuideOpen Source IDS Tools: A Beginner's Guide
Open Source IDS Tools: A Beginner's GuideAlienVault
 
Malware detection how to spot infections early with alien vault usm
Malware detection how to spot infections early with alien vault usmMalware detection how to spot infections early with alien vault usm
Malware detection how to spot infections early with alien vault usmAlienVault
 
Security operations center 5 security controls
Security operations center 5 security controls Security operations center 5 security controls
Security operations center 5 security controlsAlienVault
 
PCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuidePCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuideAlienVault
 
Improve threat detection with hids and alien vault usm
Improve threat detection with hids and alien vault usmImprove threat detection with hids and alien vault usm
Improve threat detection with hids and alien vault usmAlienVault
 
The State of Incident Response - INFOGRAPHIC
The State of Incident Response - INFOGRAPHICThe State of Incident Response - INFOGRAPHIC
The State of Incident Response - INFOGRAPHICAlienVault
 
Incident response live demo slides final
Incident response live demo slides finalIncident response live demo slides final
Incident response live demo slides finalAlienVault
 
Improve Situational Awareness for Federal Government with AlienVault USM
Improve Situational Awareness for Federal Government with AlienVault USMImprove Situational Awareness for Federal Government with AlienVault USM
Improve Situational Awareness for Federal Government with AlienVault USMAlienVault
 
Improve Security Visibility with AlienVault USM Correlation Directives
Improve Security Visibility with AlienVault USM Correlation DirectivesImprove Security Visibility with AlienVault USM Correlation Directives
Improve Security Visibility with AlienVault USM Correlation DirectivesAlienVault
 
How Malware Works
How Malware WorksHow Malware Works
How Malware WorksAlienVault
 
New USM v5.0 - Get Complete Security Visibility Faster & Easier Than Ever
New USM v5.0 - Get Complete Security Visibility Faster & Easier Than EverNew USM v5.0 - Get Complete Security Visibility Faster & Easier Than Ever
New USM v5.0 - Get Complete Security Visibility Faster & Easier Than EverAlienVault
 
New OSSIM v5.0 - Get Security Visibility Faster & Easier Than Ever
New OSSIM v5.0 - Get Security Visibility Faster & Easier Than Ever New OSSIM v5.0 - Get Security Visibility Faster & Easier Than Ever
New OSSIM v5.0 - Get Security Visibility Faster & Easier Than EverAlienVault
 
AWS Security Best Practices for Effective Threat Detection & Response
AWS Security Best Practices for Effective Threat Detection & ResponseAWS Security Best Practices for Effective Threat Detection & Response
AWS Security Best Practices for Effective Threat Detection & ResponseAlienVault
 

Más de AlienVault (20)

Meltdown and Spectre - How to Detect the Vulnerabilities and Exploits
Meltdown and Spectre - How to Detect the Vulnerabilities and ExploitsMeltdown and Spectre - How to Detect the Vulnerabilities and Exploits
Meltdown and Spectre - How to Detect the Vulnerabilities and Exploits
 
Malware Invaders - Is Your OS at Risk?
Malware Invaders - Is Your OS at Risk?Malware Invaders - Is Your OS at Risk?
Malware Invaders - Is Your OS at Risk?
 
How to Solve Your Top IT Security Reporting Challenges with AlienVault
How to Solve Your Top IT Security Reporting Challenges with AlienVaultHow to Solve Your Top IT Security Reporting Challenges with AlienVault
How to Solve Your Top IT Security Reporting Challenges with AlienVault
 
Simplify PCI DSS Compliance with AlienVault USM
Simplify PCI DSS Compliance with AlienVault USMSimplify PCI DSS Compliance with AlienVault USM
Simplify PCI DSS Compliance with AlienVault USM
 
SIEM for Beginners: Everything You Wanted to Know About Log Management but We...
SIEM for Beginners: Everything You Wanted to Know About Log Management but We...SIEM for Beginners: Everything You Wanted to Know About Log Management but We...
SIEM for Beginners: Everything You Wanted to Know About Log Management but We...
 
Insider Threat Detection Recommendations
Insider Threat Detection RecommendationsInsider Threat Detection Recommendations
Insider Threat Detection Recommendations
 
Alienvault threat alerts in spiceworks
Alienvault threat alerts in spiceworksAlienvault threat alerts in spiceworks
Alienvault threat alerts in spiceworks
 
Open Source IDS Tools: A Beginner's Guide
Open Source IDS Tools: A Beginner's GuideOpen Source IDS Tools: A Beginner's Guide
Open Source IDS Tools: A Beginner's Guide
 
Malware detection how to spot infections early with alien vault usm
Malware detection how to spot infections early with alien vault usmMalware detection how to spot infections early with alien vault usm
Malware detection how to spot infections early with alien vault usm
 
Security operations center 5 security controls
Security operations center 5 security controls Security operations center 5 security controls
Security operations center 5 security controls
 
PCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step GuidePCI DSS Implementation: A Five Step Guide
PCI DSS Implementation: A Five Step Guide
 
Improve threat detection with hids and alien vault usm
Improve threat detection with hids and alien vault usmImprove threat detection with hids and alien vault usm
Improve threat detection with hids and alien vault usm
 
The State of Incident Response - INFOGRAPHIC
The State of Incident Response - INFOGRAPHICThe State of Incident Response - INFOGRAPHIC
The State of Incident Response - INFOGRAPHIC
 
Incident response live demo slides final
Incident response live demo slides finalIncident response live demo slides final
Incident response live demo slides final
 
Improve Situational Awareness for Federal Government with AlienVault USM
Improve Situational Awareness for Federal Government with AlienVault USMImprove Situational Awareness for Federal Government with AlienVault USM
Improve Situational Awareness for Federal Government with AlienVault USM
 
Improve Security Visibility with AlienVault USM Correlation Directives
Improve Security Visibility with AlienVault USM Correlation DirectivesImprove Security Visibility with AlienVault USM Correlation Directives
Improve Security Visibility with AlienVault USM Correlation Directives
 
How Malware Works
How Malware WorksHow Malware Works
How Malware Works
 
New USM v5.0 - Get Complete Security Visibility Faster & Easier Than Ever
New USM v5.0 - Get Complete Security Visibility Faster & Easier Than EverNew USM v5.0 - Get Complete Security Visibility Faster & Easier Than Ever
New USM v5.0 - Get Complete Security Visibility Faster & Easier Than Ever
 
New OSSIM v5.0 - Get Security Visibility Faster & Easier Than Ever
New OSSIM v5.0 - Get Security Visibility Faster & Easier Than Ever New OSSIM v5.0 - Get Security Visibility Faster & Easier Than Ever
New OSSIM v5.0 - Get Security Visibility Faster & Easier Than Ever
 
AWS Security Best Practices for Effective Threat Detection & Response
AWS Security Best Practices for Effective Threat Detection & ResponseAWS Security Best Practices for Effective Threat Detection & Response
AWS Security Best Practices for Effective Threat Detection & Response
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 

Último (15)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 

Herramientas OCSA integradas para seguridad

  • 1. Herramientasintegradas OCSA Juan Manuel Lorenzo (jmlorenzo@alienvault.com)
  • 2. Activas / Pasivas Es posibleclasificarlasherramientasque se incluyen en OSSIM entre: Activas: Generantráficodentro de la red en que se encuentran. Pasivas: Analizan el tráfico de la red sin generar nada de tráficodentro de ella. Para quelasherramientaspasivasfuncionencorrectamenteesimprescindibleconfigurar un port mirroring o port span en la electrónica de red, obiendisponer de un hub o un network tap quepermita al sensor de OSSIM analizartodo el tráficoque se generedentro de la red 2
  • 3. Snort NIDS (Detección de intrusos a nivel de red) http://www.snort.org Snort analizatodo el tráfico de red Mediante el uso de firmas genera eventos de seguridad Utilidad en OSSIM: Escaneos de puertos Gusanos Malware Violaciones de política (P2P, Mensajería, pornografía…) PASIVA 3
  • 4. Snort PASIVA Violaciones de política alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Megaupload file download service access"; flow:to_server,established; content:"GET "; depth: 4; uricontent:"/?d="; content:"|0d 0a|Host "; content:"megaupload.com"; within:25; nocase; classtype:policy-violation; reference:url,doc.emergingthreats.net/2009301; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_Download_Services; sid:2009301; rev:2;) alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Porn-Sports-Gambling site designed to bypass restrictions"; flow:to_server,established; content:"Host"; nocase; pcre:"/Host[^]+(bodog|bodogbeat|bodognation|bodogmusic|bodogconference|bodogpokerchampionships)com/i"; reference:url,www.bodog.com; classtype:policy-violation; reference:url,doc.emergingthreats.net/2003100; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_bodog.com; sid:2003100; rev:4;) Malware alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS MALWARE Potential Malware Download, rogue antivirus (IAInstall.exe)"; flow:established,to_server; uricontent:"/download/IAInstall.exe"; nocase; classtype:bad-unknown; reference:url,malwareurl.com; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_Malwareurl_top_downloads; reference:url,doc.emergingthreats.net/2010447; sid:2010447; rev:2;) alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET 1024: (msg:"ET MALWARE 404 Response with an EXE Attached - Likely Malware Drop"; flow:established,from_server; content:"HTTP/1.1 404 Not Found|0d 0a|"; depth:24; content:"|0d 0a 0d 0a|MZ"; distance:0; classtype:attempted-admin; reference:url,doc.emergingthreats.net/bin/view/Main/2009028; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/POLICY/POLICY_404_EXE; sid:2009028; rev:2;) 4
  • 5. Snort PASIVA Virus ytroyanos alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:"ET VIRUS Bugbear@MM virus via SMTP"; flow: established; content:"uv+LRCQID7dIDFEECggDSLm9df8C/zSNKDBBAAoGA0AEUQ+FEN23f7doqAT/dCQk/xWcEQmDxCTD"; reference:url,www.symantec.com/avcenter/venc/data/w32.bugbear@mm.html; classtype: misc-activity; reference:url,doc.emergingthreats.net/2001764; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/VIRUS_BugBear; sid: 2001764; rev:6;) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"ET WORM UPX encrypted file download - possible worm"; flow: established; content:"MZ"; isdataat: 76,relative; content:"This program cannot be run in DOS mode."; distance: 0; isdataat: 10,relative; content:"PE"; distance: 0; content:"|00|code|00|"; content:"|00 C0|text|00|"; classtype: misc-activity; reference:url,doc.emergingthreats.net/2001047; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/WORM_Suspicious_Extensions; sid: 2001047; rev:6;) Escaneos alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ET SCAN Unusually Fast 403 Error Messages, Possible Web Application Scan"; flow:from_server,established; content:"HTTP/1.1 403"; depth:13; threshold: type threshold, track by_dst, count 35, seconds 60; classtype:attempted-recon; reference:url,www.checkupdown.com/status/E403.html; reference:url,doc.emergingthreats.net/2009749; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_403; sid:2009749; rev:2;) alert tcp $EXTERNAL_NET any -> $HOME_NET 110 (msg:"ET SCAN Rapid POP3 Connections - Possible Brute Force Attack"; flags: S,12; threshold: type both, track by_src, count 10, seconds 120; classtype: misc-activity; reference:url,doc.emergingthreats.net/2002992; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_General_Services; sid: 2002992; rev:5;) 5
  • 6. Ntop Monitor de red y de uso http://www.ntop.org Ntopanalizatodo el tráfico de red Ntopofrecedatos (En tiempo real ehistórico) del usoqueestamosdando a nuestra red Utilidad en OSSIM: Estadísticas de uso de red Informaciónsobreactivos Matrices de tiempoy de actividad Informaciónsobresesionesactivas en la red Detección de abuso de la red PASIVA 6
  • 8. Ntop En modopasivoNtopvacreando un perfilparacadaactivo de nuestra red a partir del tráficoqueestegenere en la red PASIVA 8
  • 9. Ntop Matrices de datosytiempo PASIVA 9
  • 10. Ntop – RRD Aberrant Behaviour A partir de los datoshistóricos, Ntophaceuso del algoritmo RRD Aberrant Behaviour pararealizarpredicciones del comportamiento de nuestra red y de los activosque la componen Si la realidad no se corresponde con la predicción, el sistema genera un evento PASIVA 10
  • 11. NFSen /NFdump Nfdumprecogeyprocesanetflowsdesde la línea de comandos. http://nfdump.sourceforge.net/ NFSenesunainterfazgráficaquepermitegestionarymostrar la informaciónrecogidaporNfdump http://nfsen.sourceforge.net/ PASIVA 11
  • 12. NFSen /NFdump Netflowes un protocólo de red desarrolladopor Cisco quepermiterecogerinformaciónreferida al tráficoanalizado Un grannúmero de dispositivossoportanhoydíaNetflow PASIVA 12
  • 13. OCS Gestión de inventario http://www.ocsinventory-ng.org Mediante un sistema de agentesdistribuidos, se recogeinformaciónpara el inventario de cadamáquina OCS requiere de un agenteinstalado en cadamáquina a inventariar Utilidad en OSSIM Gestión de inventario (Software y Hardware) Gestión de vulnerabilidades Violaciones de política Control del hardware ACTIVA (AGENTES) 13
  • 15. Nagios Monitor de disponibilidad http://www.nagios.org Nagiosmonitoriza la disponibilidad de los activosyservicios Podemosmonitorizar un servicio de diferentesmodos (Ejemplo: Servidor MySQL) Comprobarque el equipoestálevantado Comprobarque el puerto de MySQL estálevantado Comprobarsi en el puertorealmenteescucha un servidor MySQL Realizarunaconsulta al servidorycomprobar el resultado ACTIVA 15
  • 16. Nagios Utilidad en OSSIM: Disponibilidad de los activos Nagiospuederealizarcomprobaciones en remotoodisponiendo de un agente en la máquinamonitorizada Nagiosdispone de un grannúmero de plugins paradiferentesentornosyherramientas ACTIVA 16
  • 17. OpenVas Escaneo de vulnerabilidades http://www.openvas.org OpenVasrealizaescaneos de vulnerabilidades en utilizandounaserie de firmas Utilidad en OSSIM Prevención de ataques (Sabemosquees vulnerable) ¿Se cumple la política de la organización? ACTIVA 17
  • 18. OpenVas Algunasvulnerabilidadessólopueden ser probadasexplotando la vulnerabilidad (Ej: DOS) OpenVaspermitedefinir la agresividad de los escaneosquerealiza Un escaneo mal configuradopuedeacarrearcaidas en servicios de nuestra red. Los primerosescaneossiempredeberánsupervisarse con atención. ACTIVA 18
  • 19. OpenVas OpenVastiene la capacidad de realizarescaneos en remotoconectándose a la máquinaescanedasi le facilitamoslascredencialesparaello. De estemodoOpenVasconoceexactamente el software instalado en cadamáquinaysiestetienealgunavulnerabilidado no OpenVasdispone de un lenguajepropio de escritura de firmas ACTIVA 19
  • 20. OSVDB Base de datos de vulnerabilidades http://www.osvdb.org OSVDB esuna base recopilainformaciónsobrelasvulnerabilidades. Utilidad en OSSIM Creación de reglas de correlación Relacionaidentificadores de cadavulnerabilidad Complementa la informaciónofrecidaporOpenVas 20
  • 21. OSVDB Descripción de la vulnerabilidad: Referenciaseidentificadores: 21
  • 22. OSVDB Relaciones entre herramientas: Puntuación CVSSv2 (Common Vulnerability Scoring System): 22
  • 23. OSSEC HIDS (IDS a nivel de host) http://www.ossec.org OSSEC requiere de un agenteinstalado en cadamáquina a monitorizar. (Exceptosistemas UNIX) OSSEC realiza análisis de logs, comprueba la integridad del sistema, monitoriza el registro de Windows e incluye un sistema de detección de sistemas rootkit. ACTIVA (AGENTES) 23
  • 24. OSSEC OSSEC utilizaunaarquitecturaagentes -> servidor, en OSSIM recogeremos los eventosrecolectados en el servidor de OSSEC. OSSEC dispone de supropiosistema de plugins paraanalizar los eventos de herramientas en Windows y UNIX Utilidad en OSSIM: Recogida de eventos de sistemas Windows y UNIX Recogida de eventos de aplicaciones Monitorizaciónficheros, carpetasyregistro (DLP) ACTIVA (AGENTES) 24
  • 25. Kismet Sniffer y detector de intrusos en redes Wireless http://www.kismetwireless.net Kismet requiere de unatarjetawifiquesoporte el modo de monitorización raw y puede rastrear tráfico 802.11b, 802.11a y 802.11g Utilidad en OSSIM: Securización de redesinalámbricas Detectión de rogue AP Cumplimiento de normativa (PCI) PASIVA 25
  • 26. Nmap Escaner de puertos http://www.insecure.org Nmapescanearedesyequiposmediante un escaneo configurable (Precisión, velocidad, grado de intrusión…) Utilidad en OSSIM: Descubrimiento de activos Identifica puertosabiertos Determina qué servicios se están ejecutando Determinar qué sistema operativo y versión se utiliza Obtiene algunas características del hardware de red de los activos escaneados ACTIVA 26
  • 27. P0f Detección de anomalías en sistemaoperativo http://lcamtuf.coredump.cx/p0f.shtml A partir del análisis del tráficogeneradopor los activos de la red, P0f identifica el sistemaoperativoqueestánutilizando. Utilidad en OSSIM: Cambios de sistemaoperativo Gestión del inventario Accesos no autorizados a la red PASIVA 27
  • 28. Pads Deteccción de anomalías en servicios http://passive.sourceforge.net/ A partir del análisis del tráficogeneradopor los activos de la red, Pads identifica los serviciosqueestáejecutandocadaactivo. Utilidad en OSSIM: Gestión del inventario Cambios en los servicios Violaciones de política Correlación de inventario PASIVA 28
  • 29. Arpwatch Deteccción de anomalías en lasdirecciones MAC http://ee.lbl.gov/ A partir del análisis del tráficogeneradopor los activos de la red, Arpwatchidentificacambios en lasdirecciones MAC asociadas a cadadirección IP. Utilidad en OSSIM: Gestión del inventario Cambios de dirección IP ARPSpoofing PASIVA 29
  • 30. Tcptrack Monitor de sesiones (red) http://www.rhythm.cx/~steve/devel/tcptrack/ Tcptrackmuestrainformaciónacerca de lasconexiones TCP activas en la red (Duración, datostransferidos…) Utilidad en OSSIM: Información de sesionesdurante la correlación PASIVA 30
  • 31. Nepenthes Honeypot http://nepenthes.mwcollect.org Nepenthes emula servicios y vulnerabilidades conocidas con el objeto de recoger información de los atacantes (Patrones de ataque, ficheros…) Utilidad en OSSIM Conocer que equipos están infectados (Atacan al honeypot) Creación de firmas y directivas en base a los ataques identificados Colección de malware PASIVA 31
  • 32. About this document This Document is part of the OCSA Training Material (OSSIM Certified Security Analyst) Author: Juan Manuel Lorenzo (jmlorenzo@alienvault.com) Copyright © Alienvault 2010 All rights reserved. No part of this work may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording, or by any information storage or retrieval system, without the prior written permission of the copyright owner and publisher. Any trademarks referenced herein are the property of their respectiveholders. 32