Академический Документы
Профессиональный Документы
Культура Документы
instalacin,
configuracin y
herramientas de
Alienvault OSSIM
v4.8
ndice Alienvault
Introduccin
1
Concepto
Objetivo
Divisin Abstracta
Aplicacin Cliente
Requerimientos de instalacin
Hardware
Red
Instalacin
Instalacin paso a paso
Instalacin de sensor
Configuracin de proxy
Configuracin de rango de redes
Configuracin de base de datos
Configuracin de monitores netflow
Activacin de plugins
Instalacin y configuracin de Nagios en sensores
Cuadros de mando
Informacin general
Real Time Copy
Security
Taxonomy
Estado despliegue
Cuadro de mando
Avisos y errores
Mapa de riesgos
Informacin general
OTX
Datos de reputacin
Anlisis
Alarmas
Eventos SIEM
SIEM
Tiempo real
Tickets
Entorno
Activos
Descubrimiento de activos
Grupos y redes
Vulnerabilidades
Perfiles
Netflow
Captura de trfico
Disponibilidad
Monitorizando
Informes
Deteccin
2
2
3
3
4
4
5
11
14
16
17
19
21
22
24
25
25
26
26
27
27
28
28
29
30
30
31
31
32
32
33
33
34
34
35
35
Informes
Informacin general
Configuracin
Administracin
Usuarios
Principal
Copia de seguridad
Despliegue
Componentes
Alienvault Center
Sensores
Servidores
Programador
Ubicaciones
Info. Sobre amenazas
Polticas
Acciones
Puertos
Directivas
Cumplimiento de normativa
Correlacin Cruzada
Origen de datos
Taxonoma
Base de conocimiento
Configuraciones
Mi perfil
Sesiones actuales
Actividad de usuarios
Soporte
Ayuda
Descargas
Actualizacin a 4.8.0
Resumen de mejoramiento de actualizacin
Vulnerabilidades resueltas con la actualizacin
36
37
37
38
38
39
39
40
40
41
41
42
42
43
44
45
45
46
47
48
49
50
51
52
53
54
Introduccin.
OSSIM ofrece todas las caractersticas que un sistema profesional necesita de una oferta
SIEM, recopilacin de eventos, de normalizacin y de correlacin. Establecido y puesto en
marcha por los ingenieros de seguridad por necesidad, OSSIM se crea con una
comprensin de la realidad, muchos profesionales de la seguridad se enfrentan: a SIEM
es intil sin los controles bsicos de seguridad necesaria para la visibilidad de la
seguridad.
Alienvault provee desarrollo continuo para OSSIM porque todos deben tener acceso a las
tecnologas de seguridad ms sofisticados, lo que incluye a los investigadores que
necesitan una plataforma para la experimentacin, y los hroes annimos que no pueden
convencer a sus empresas que la seguridad es un problema.
Concepto.
Alienvault OSSIM es una herramienta de software cuyo principal objetivo es la seguridad
dentro de una red. OSSIM se presenta como una distribucin de Linux que compila varias
herramientas necesarias para el control y manejo de una red computacional. Presenta
varias ventajas, entre ellas la centralizacin, soporte de auditora legal y correlacin entre
herramientas involucradas. Una de las caractersticas ms importantes de OSSIM es
SIEM. SIEM es la parte inteligente de OSSIM, permite el aprendizaje a travs del uso de
la red y de tcnicas de minera de datos.
OSSIM, es un sistema de soporte a la gerencia de seguridad informtica. Se categoriza a
OSSIM dentro de las herramientas SIEM (Security and Event Management). Asegura un
seguimiento centralizado de los procesos en la red de una organizacin. Sus principales
funcionalidades son de IDS e IPS, su pblico objetivo son los administradores de red.
Entre sus caractersticas ms importantes encontramos:
Auditora de red.
Reportes ejecutivos.
Objetivo.
Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de
deteccin y visibilidad en la monitorizacin de eventos de seguridad de la organizacin.
Adems de obtener las mejores herramientas de cdigo abierto.
En OSSIM destacan dos funciones:
Correlacin.
Valoracin de riesgos.
Divisin Abstracta.
Desde una perspectiva abstracta, podemos dividir a OSSIM en dos secciones. A
continuacin se presenta la descripcin de ambas partes.
Software Servidor.
Es una distribucin del sistema operativo Linux que necesita estar conectado a la red que
se va a monitorear. Adems necesita una IP fija para poder acceder a su informacin.
Como parte de la distribucin estndar de OSSIM, se instala una serie de programas para
configurar, monitorear y responder ante ataques sobre la red. A continuacin se menciona
las herramientas incluidas en esta seccin.
P0f. Es una herramienta para realizar TCP/IP fingerprint, proceso que permite
obtener daos de la capa de transporte, entre ellos el sistema operativo, medio de
conexin, uptime.
Spade. Preprocesador para el snort, que permite enviar alertas cuando un paquete
con contenido anmalo llega a la red. Utiliza tcnicas de deteccin estadsticas
mediante el aprendizaje a la red.
Aplicacin de Cliente.
Es un sistema basado en web que permite conectarse al servidor OSSIM para acceder a
la informacin en tiempo real de la red. Desde la interfaz tambin se pueden hacer
cambios a la configuracin de algunas de las herramientas de OSSIM, generar reportes,
manejar usuarios y tickets, y configurar las respuestas. Los tickets son solicitudes de
revisin/reparacin/aseguramiento de la calidad, generados por algunos de los usuarios
de OSSIM o por los mismos programas de monitoreo instalados.
Requerimientos de instalacin.
Hardware.
Red.
Para poder llevar a cabo un buen despliegue de Alienvault es importante conocer bien la
electrnica de red de la que disponemos para poder configurar un port mirroring en los
dispositivos de red que lo soporten. Hay que tener un especial cuidado a la hora de
configurar el port mirroring para evitar principalmente dos cosas:
Adems del port mirroring, es necesario preparar con anterioridad las diferentes
direcciones IP que vamos asignar a los componentes de Alienvault, teniendo en cuenta
que muchos de estos componentes debern tener acceso a la red que estn
monitorizando.
Instalacin.
3. A continuacin pide que se seleccione la ubicacin para poder fijar una zona
horaria. Se selecciona la opcin que corresponda.
5. Una vez seleccionado la configuracin del teclado y haber hecho enter en aceptar,
comienza a cargar los componentes de instalacin.
11. Una vez particionado el disco, contina la instalacin del sistema base.
Simplemente se deja que contine el proceso.
13. Una vez que haya terminado la instalacin, aparece una pantalla en negro que
muestra los complementos que se estn instalando en el sistema, solo debemos
de esperar a que carguen correctamente.
14. Ya cargado todos los archivos necesarios para el OSSIM, se ensea la pantalla
principal de la consola en la cual pide que se introduzca el nombre de usuario y
posteriormente la contrasea.
10
11
Los dems puntos de la instalacin son similares al del servidor, se configura el idioma, la
ubicacin, la configuracin del teclado, la direccin IP (que pertenezca a la misma red en
la que se encuentra el servidor), la mscara de la red, el encaminador, usuario,
contrasea y la zona horaria.
La configuracin de la red del sensor es un punto clave para el servidor Alienvault, ya que
la direccin que se le asigne al sensor ser dada de alta en el servidor para que ste
pueda empezar a recibir datos del sensor.
12
Una vez terminada la instalacin del sensor es necesario ingresar el usuario y contrasea
en la pantalla de bienvenida del sensor despus se desplegara el men, con esto el
sensor se autentificar al servidor de manera automtica y podemos comprobarlo en el
Framework.
13
Cuando se agregue el sensor solo es necesario recargar la pgina y verificar que los
cambios ya se aplicaron correctamente.
14
15
Una vez que se le asign el modo manual se le pondrn los datos que pida como: Enter
proxy user name, enter proxy password, proxy port, proxy DNS.
Cuando se concluya con la actualizacin de los datos es necesario regresar a la ventana
principal y darle a Apply changes para guardar los cambios y actualizarlos.
Otra forma de cambiar el proxy es en modo consola entrando del men grfico hacia
jailbreak this Appliance, una vez dentro de consola se editar el archivo
/etc/ossim/ossim.conf, identificando la lnea de [update], aqu se encontrarn los
parmetros del proxy, solo es necesario editarlo a los parmetros deseados. Una vez
editados es necesario guardar y salir. Regresando a la consola del jailbreak se debe de
escribir ossim-reconfig y darle enter para que los cambios se guarden y actualicen.
16
17
18
Como se requiere direccionar la base de datos de los sensores hacia el servidor Alienvault
es necesario tomar de l la direccin IP, la contrasea y el usuario de la base de datos,
para ver los datos del servidor entraremos a la ruta etc/ossim/ossim_setup.conf una vez
dentro se observarn los mismos tres puntos que se muestran el sensor. La direccin
ip_db muestra una direccin local, en el pass del servidor ya cuenta con una contrasea
establecida por el servidor y el user que es root, estos datos vienen de manera
predeterminada al instalar el servidor.
19
Una vez adentro ejecutaremos el comando ossim-db lo cual dar el acceso a la base de
datos de nuestro Alienvault y con esto poder ver cul es el identificador uuid que ser
necesario para darle de alta al sensor en el Netflow.
Se copiar el identificador uuid que corresponde al nuevo sensor (xxxxxxxx-xxxx-xxxxxxxx-xxxxxxxxxxxx), una vez obtenido este dato regresaremos al modo consola del
Alienvault para agregar el uuid del sensor. Editando la configuracin del netflow en
/etc/nfsen/nfsen.conf.
20
Se buscar la lnea % sources, aqu se observar que ya se cuenta con un sensor dado
de alta que corresponde a Alienvault el cual tiene asignado su propio uuid, port, col, type.
Tambin se encontrar los mismos parmetros pero en este caso no cuenta con uuid pero
los otros parmetros son asignados de manera default cuando detecta que se ha
configurado un nuevo sensor para darle de alta al sensor, ser necesario ponerle el uuid
que le corresponde al sensor que queremos agregar, escribimos nuestro uuid el cual se
obtuvo de la base de datos en la lnea de %sources.
21
Una vez dentro del sensor Alienvault se seleccionar la opcin Select Data Sources.
Ya estando dentro del men Data Sources se desplegar un men con todos los plugins
que tiene instalado el Alienvault, para seleccionarlo es necesario ponerse sobre el plugin
deseado y presionar espacio del teclado, cuando concluya con la seleccin de plugins se
selecciona Aceptar.
22
changes.
la
http-servers
HTTP
check_http
generic-service
0 ; set > 0 if you want to be renotified
ssh-servers
SSH
check_ssh
generic-service
0 ; set > 0 if you want to be renotified
ping-servers
PING
check_ping
generic-service
0 ; set > 0 if you want to be renotified
smtp-servers
SMTP
check_smtp
generic-service
0 ; set > 0 if you want to be renotified
dns-servers
DNS
check_dns
generic-service
0 ; set > 0 if you want to be renotified
23
Una vez ingresado estas lneas es necesario guardar y salir para despus restablecer los
valores del Nagios con la instruccin /etc/init.d/nagios3 restart.
24
Esta es la seccin principal al abrir la interfaz del Alienvault OSSIM, el cual muestra la
informacin general sobre los eventos SIEM, las alarmas y el tipo de nivel de riesgo en la
red, todo esto en forma de grficas. Dentro de esta opcin se puede seleccionar el tipo de
vista que se desea, se da la opcin de visin executive, tickets, security, taxonomy,
network, vulnerabilities y real time.
Cabe mencionar que en este apartado tambin se tiene la opcin de ordenar a gusto la
visin de las grficas. En este apartado, son solo con fines informativos y no se puede
modificar el contenido de alguna grfica, son solo para fines informativos.
25
En esta pestaa muestra informacin acerca de eventos que suceden en la red en tiempo
real, en el cual dice la fecha en que ocurre un evento, el nombre de un evento, el rango de
riesgo, la IP de origen y el IP de destino. Estos eventos se actualizan cada 5 segundos y
muestran informacin importante.
26
27
En esta seccin se muestran los avisos y errores que podra haber dentro de la red en los
que se encuentran los sensores. Por el momento no existen estos avisos o errores en el
sistema.
28
En este aparatado se muestra un mapa del mundo el cual dice las IP maliciosas que se
encuentran alrededor del planeta y los principales pases con mayor riesgo de IP. De igual
manera se pueden encontrar eventos SIEM en diferentes partes del mapa.
Anlisis>Alarmas.
En esta seccin, se encuentran en forma de grficas las alarmas generadas por el
sistema el cual nos dice si existe algn sistema comprometido, si existe algn ataque en
la red, si existe algn descubrimiento de alguna debilidad en el sistema entre otros.
Tambin muestra en tiempo real las alarmas que se clasifican por estado, propsito y
estrategia, el tipo de riesgo, el origen y el destino de la alarma.
Anlisis>Eventos SIEM>SIEM
29
En esta pestaa se muestran los eventos SIEM (Security Information and Event
Management) el cual muestran eventos en la red ya sea por ltimo da, la ltima semana,
el ltimo mes o por un rango de fechas que especifiquemos. Se puede buscar eventos por
SIEM, payload, IP origen o destino, IP origen, IP destino, equipo origen o destino, equipo
origen, equipo destino. Se puede hacer adems de las anteriores mencionadas otros
filtros las cuales son por origen de datos, taxonoma tipos de productos, por actividad de
reputacin IP, por riesgo, taxonoma categora del evento y por severidad reputacin IP.
En la parte inferior de esta misma pestaa, se puede observar los tipos de eventos que se
manifiestan en la red, las cuales se describen por evento, la fecha en que ocurri el
evento, el sensor que detect el evento, origen del evento, el destino del evento, el activo
y el riesgo del evento.
Anlisis>Eventos SIEM>Tiempo-real.
30
Anlisis>Tickets.
En este apartado, se encuentran los tickets generados por el sistema los cuales se
encuentran en una tabla con el cdigo del ticket, el ttulo, la prioridad, la fecha en que fue
creado, el tiempo de vida, el encargado del ticket, el tipo y el estado.
Entorno>Activos.
31
En esta pestaa se localizan todos los activos escaneados por los sensores que se
encuentran de las diferentes redes. Los activos son los equipos que se encuentran en
ciertas secciones de la red en donde se localizan los sensores y se colocan en una tabla
con el nombre del equipo, la IP del equipo, el alias del equipo, las alarmas, los eventos,
las vulnerabilidades y detalles de cada equipo. Estos activos se pueden clasificar o
encontrar por medio de filtros, los cuales se pueden clasificar por activos que tengan
alarmas, activos que tengan eventos, activos que cuenten con vulnerabilidades; o tambin
se pueden clasificar los activos por el momento que fueron descubiertos, los cuales se
clasifican por activos aadidos el ltimo da, la ltima semana, el ltimo mes o por un
rango de fechas especficas o se pueden buscar especficamente asignado la IP del activo
a buscar en el recuadro de search y dar enter.
Entorno>Activos>Descubrimiento de activos.
En esta seccin se encuentra la seccin de descubrimiento de activos, la cual se
descubren a travs de un escaneo donde se asigna el rango de IPs que se desea a
escanear, los sensores que se harn cargo del escaneo, el tipo de escaneo que se desea
y tiempo que se desea utilizar para el escaneo. Al insertar estos datos le damos clic en el
botn de iniciar y automticamente empezar el escaneo. El tiempo del escaneo tambin
depender del rango de red que se asign. Una vez finalizado el escaneo se sugiere
agrupar los activos descubiertos y darlos de alta en los activos.
Entorno>Grupos y redes.
32
Esta seccin se encuentra divida en tres parte. Grupos, redes y grupos de redes. En la
seccin de grupos, se encuentran almacenados los grupos de hosts que se han
escaneado y que se han agrupado para tener un mejor control y tener un inventario de los
equipos que se encuentran en cierta seccin de la red, se agrupan los hosts y se le
asigna un nombre al grupo, se pueden modificar los hosts y eliminarlos si se requiere.
En la seccin de redes, se encuentran todas las redes escaneadas por el servicio de
Alienvault y el cual, adems de su descubrimiento por el escaneo, se pueden crear las
redes y determinar sus caractersticas.
En la seccin de grupos de redes, su caso es similar al de grupos, pues en esta seccin
se encuentran las redes que han sido agrupadas para un mayor control y administracin.
De igual forma que el grupo de hosts, estos se pueden modificar, crear y eliminar, segn
sean las necesidades del administrador de la red.
Entorno>Vulnerabilidades.
En esta seccin se muestra informacin general acerca del sistema como por ejemplo un
top 10 de hosts por gravedad, top 10 de redes, servicios top 10, trabajos de escaneos,
base de datos de amenazas, entre otros.
Entorno>Perfiles.
33
En esta seccin se puede definir en varias secciones, las cuales comprenden los
servicios, global, rendimiento y matriz. En el apartado de servicios nos muestra una
grfica con el trfico global del sensor seleccionado. En la imagen que se muestra a
continuacin, se muestra una grfica en la cual se da a conocer el servicio de netflow en
el sensor principal (servidor) en el cual se muestra el trfico que pasa a travs de l.
Entorno>Netflow.
En la pestaa de Netflow, se encuentran unas grficas que ensean el trafico TCP, el
trfico UDP, el ICMP, entre otros protocolos de Internet que pasan por los diferentes
sensores de la red.
Entorno>Captura de Trfico.
34
Entorno>Disponibilidad>Monitorizando
En esta pestaa, muestra segn el sensor seleccionado los activos disponibles al
momento el cual se pueden utilizar filtros como detalles del equipo, detalles de servicio,
descripcin de estado, malla de estado, mapa de estado, problemas de servicio,
problemas de equipo, interrupciones en la red, entre otros.
Entorno>Disponibilidad>Informes.
35
Entorno>Deteccin.
En esta seccin se encuentra con la deteccin de tipo HIDS (deteccin de intrusos en el
host) la cual muestra informacin general, agentes, agentless, la edicin de reglas, la
configuracin y el control de ossec. En la parte inferior se encuentra informacin acerca
del agente, tendencia de eventos OSSEC y origen de datos OSSEC.
Informes>Informacin general.
36
Esta seccin se genera reportes de todo tipo de acciones. En la parte inferior se menciona
el reporte de alarmas, detalles de activos, informe de disponibilidad, reporte bussiness &
compliance ISO PCI, informe geogrfico, informe de mtricas, eventos SIEM, amenazas
y base de datos de vulnerabilidades, estado de tickets, informe de tickets, informe de
actividad de usuarios e informe de vulnerabilidades; todos estos informes se pueden
generar ya sea por un documento PDF, o enviar un correo electrnico con los datos del
informe.
Configuracin>Administracin>Usuarios
37
En esta seccin del Alienvault OSSIM, se encuentra la parte administrativa del programa,
pues aqu se contempla la administracin de usuarios, es decir, la creacin de usuarios
normales, usuarios administrativos, modificar usuarios y tambin eliminar usuarios,
aunque esta ltima opcin solo es posible si es el administrador del sistema. Tambin se
puede ver la actividad de cada uno de los usuarios registrados en el sistema.
Configuracin>Administracin>Principal.
En esta seccin se pueden realizar copias de seguridad del sistema, modificacin de
tickets, mtodos/opciones de login, mtricas, intercambio de amenazas, modificar el
framework de OSSIM, modificar polticas de contraseas, las actividades de los usuarios y
modificar el escner de vulnerabilidades.
Configuracin>Administracin>Copia de seguridad.
38
Configuracin>Despliegue>Componentes>Alienvault Center
En esta seccin se encuentra toda la informacin de los componentes, tanto como
sensores y servidores. Nos muestran los datos de estos como son el nombre, la IP, el
estado, el uso de la RAM, uso del SWAP, uso de la CPU, nuevas actualizaciones.
Configuraciones>Despliege >Componentes>Sensores.
39
Como su nombre lo indica, aqu se encuentran todos los sensores que estn dados de
alta en el sistema, de igual manera se encuentran datos como nombre, IP, puerto,
prioridad, estado y descripcin.
Configuraciones>Despliege >Componentes>Servidores.
Al igual que en la seccin anterior, aqu se contemplan los nombres, direcciones IP,
puertos, estados y descripcin de los servidores utilizados en el Alienvault.
Configuracin>Despliege>Programador
40
Configuracin>Despliegue>Ubicaciones.
En este aparatado se contemplan las ubicaciones en donde se encuentra instalado el
OSSIM. Se puede asignar el nombre de la ubicacin, una descripcin, la localizacin, la
latitud y la longitud. De igual manera se pueden crear, modificar o eliminar las ubicaciones
en cualquier momento que sea necesario.
41
En esta seccin se le pueden asignar las polticas que uno necesite a los diferentes
grupos que se encuentran dentro de los que es el sistema de Alienvault. Se pueden
asignar condiciones tanto al origen de una mquina como a su destino al igual que a los
puertos de origen, puertos de destino y tipos de eventos. Tambin se pueden asignar
consecuencias a acciones, eventos SIEM, logger y reenvo de eventos. Y de similar forma
se pueden asignar condiciones a cada poltica que se desee implementar.
42
En esta seccin se encuentran descritos los puertos, los protocolos de cada puerto, el tipo
de servicio que se utiliza y la descripcin del puerto. Se pueden tener una vista individual
por puerto o se pueden visualizar por grupos de puertos. De igual manera se pueden
crear nuevos puertos, modificar puertos y eliminar puertos.
43
La correlacin cruzada permite priorizar o depreciar eventos a los que sabemos que
somos vulnerables mediante el cruce de informacin proveniente de detectores y
analizadores de vulnerabilidades. La correlacin cruzada depende de la base de datos de
vulnerabilidades especficas y tablas de correlacin cruzada para cada detector.
En esta seccin se pueden ver los tipos de correlaciones que existen. Se aprecian en una
tabla donde se describe el nombre de origen de datos, el tipo de evento, el nombre de
referencia, el nombre referencia SID. Al igual que en secciones anteriores, se pueden
crear nuevas correlaciones, modificar correlaciones y eliminar correlaciones.
44
45
En este apartado se contemplan todas las categoras que se tiene acerca de los orgenes
de datos que se encuentran en la taxonoma del sistema. Dentro de cada categora se
puede editar los orgenes de datos, administrar referencia de eventos, restaurar plugins y
crear nuevos orgenes de datos.
Al hacer clic en cualquier evento de la base de conocimiento nos abrir una ventana con
ms detalles sobre el asunto, donde tambin se puede editar el evento.
46
Configuraciones>Mi perfil.
En esta parte se encuentra en la parte superior derecha del OSSIM, donde se pueden ver
las configuraciones del perfil de su propio usuario, donde notamos el login del usuario, el
nombre de usuario, correo del usuario, el lenguaje del usuario, la zona horaria, entre
otros. Se pueden editar estos campos y al final solo hay que asignar la contrasea actual
y dar en el botn de guardar.
47
Configuraciones>Sesiones actuales.
En esta seccin se pueden apreciar las sesiones de los usuarios que en este preciso
momento estn activos. Nos muestra en una tabla el nombre del usuario, su direccin IP,
el nombre del equipo, el agente, la ID de sesin, la fecha de inicio de sesin, ltima
actividad y las acciones de este. Si se es un usuario administrador, se pueden sacar a los
dems usuarios.
48
Configuraciones>Actividad de usuarios.
49
En esta pestaa se pueden observar toda la actividad de los usuarios con el sistema. Se
muestran desde la actividad ms reciente hasta el inicio del da, sin embargo, se pueden
establecer fechas determinadas dando clic en el botn de calendario y eligiendo la fecha
que quiera.
Soporte>Ayuda
50
Esta seccin se encuentra en la parte superior derecha de la interfaz del Alienvault el cual
se muestra las opciones de ayuda y descargas, la cual, en la seccin de ayuda, nos
muestra una serie de enlaces que nos direccionan a las diferentes documentaciones de
las diferentes versiones del Alienvault, existe documentacin de la versin 4.0 a la 4.7.0;
solo basta hacer clic en alguno de ellos y nos enviar a la pgina de internet oficial de
Alienvault donde encontraremos soporte.
Soporte>Descargas
51
En esta seccin encontramos una serie de programas que nos ayudaran a completar
acciones que requiera el Alienvault. Encontramos herramientas tanto para Windows como
para Linux, programas como Putty, el cual es un programa que funciona con el ssh para la
conexin remota al servidor del Alienvault por medio de un host de Windows, programas
como OSC para Windows y Linux el cual es una aplicacin diseada para administracin
de red y sistemas para la configuracin e instalacin de software en la red; entre otros.
52
todos los clientes nuevos y existentes. Alienvault anima o recomienda a los usuarios
aplicar primero la actualizacin a un sistema de prueba para comprender y aprender la
nueva funcionalidad antes de actualizar los sistemas de produccin.
Informacin importante de actualizacin.
La nueva versin del Alienvault incluye actualizaciones para el servidor web Apache, por
lo cual, a partir de la actualizacin de la interfaz web de usuario, har que esta interfaz
deje de estar disponible hasta que se complete la actualizacin (10-15 minutos aprox.).
Cuando la actualizacin est completa, la conexin a la interfaz web se restaurar.
Notas de la versin.
RN1. Adiccin de sistemas remotos ahora requiere autenticacin.
Todos los sistemas Alienvault ahora requieren autenticacin para que puedan
comunicarse. Los usuarios se autentican a un sistema remoto utilizando la contrasea de
root del dispositivo para distribuir las claves y los certificados pblicos SSH para sistemas
Alienvault conectados.
RN2. La configuracin de reenvo de alarmas/ eventos se han cambiado.
Antes de la versin 4.8 los usuarios tendran que aadir un nuevo servidor para el reenvo
de alarmas/eventos agregando el servidor principal en el servidor nio. En la versin 4.8
esto ha sido cambiado. Los usuarios necesitan agregar el servidor nio en el servidor
principal. La configuracin del reenvo de eventos todava se realiza en el servidor
secundario.
RN3. Autenticacin requerida para sistemas remotos existentes.
El trabajo realizado para resolver las vulnerabilidades corregidos en esta versin cambia
la forma en sensores y servidores, tienen que autentificarse entre s. Despus de
actualizar a v4.8 de la recopilacin de datos y otras acciones de sensores continuarn
trabajando como se ha configurado. Para gestionar los dispositivos ya configurados en la
implementacin tendr que volver a establecer la conectividad entre los sistemas
mediante la autenticacin con la contrasea de root. Esto llevar a cabo la llave SSH
necesario intercambio/certificado y permitir gestionar los dispositivos. Para apoyar a los
usuarios con este proceso de re-autenticacin, un nuevo monitor de estado de la
implementacin fue implementado en esta versin. El monitor informar sobre hosts
autenticados en el despliegue y ofrecer una sugerencia para proporcionar la contrasea
de root para el intercambio de claves y certificados.
RN4. Actualizacin de inteligencia ahora incluye a OpenVas.
Antes de la versin 4.8, OpenVas se tena que actualizar por separador de Threat
Intelligence Alienvault. Los usuarios podran actualizar el feed OpenVas desde la seccin
de vulnerabilidades de la interfaz web. A partir de la versin 4.8 del feed OpenVas ya est
actualizado como parte de la actualizacin de inteligencia de amenaza Alienvault. Los
usuarios pueden observar un impacto en el tiempo requerido para finalizar el proceso de
actualizacin para la alimentacin Threat Intelligence Alienvault.
Resumen de mejoramiento de actualizacin v4.8
53
Nueva imagen VMware virtual disponible para el sensor estndar con interfaces de
red 6X1GB. Los clientes que hayan adquirido este dispositivo virtual puede
contactar support@alienvault.com una copia del archivo de imagen.
Se ha aadido una descripcin con las instrucciones para ayudar a los usuarios a
entender cmo los parmetros lgicos trabajan en el tablero de instrumentos de
bsqueda SIEM.
El paso a unir OTX, fue actualizado para incluir una muestra de los datos enviados
por Alienvault a OTX para ayudar a los usuarios a entender los datos y el
anonimato.
54
55
56