OSSIM

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar

OSSIM (Open Source Security Information Management) es un sistema de gestión de eventos e información de seguridad de código abierto que integra una selección de herramientas diseñadas para ayudar a los administradores de red en la seguridad informática y la detección y prevención de intrusiones.

El proyecto comenzó en 2003 como una colaboración entre Dominique Karg, Julio Casal y, más tarde, Alberto Román. En 2008 se convirtió en la base de su empresa AlienVault. Tras la adquisición de la marca del proyecto Eureka y la finalización de la I+D, AlienVault comenzó a vender un derivado comercial de OSSIM ('AlienVault Unified Security Management'). AlienVault fue adquirida por AT&T Communications y rebautizada como AT&T Cybersecurity en 2019.

OSSIM ha tenido cuatro versiones principales desde su creación y tiene una numeración de versión 5.x.x. Se publicó una visualización de información de las contribuciones al código fuente de OSSIM a los 8 años de OSSIM. El proyecto tiene aproximadamente 7,4 millones de líneas de código. La versión actual de OSSIM es 5.7.5 y se lanzó el 16 de septiembre de 2019. Puede encontrar información sobre esta versión y versiones anteriores aquí

Como sistema SIEM, OSSIM está pensado para ofrecer a los analistas y administradores de seguridad una visión más completa de todos los aspectos relacionados con la seguridad de su sistema, combinando la gestión de registros, que se puede ampliar con complementos, y la gestión y detección de activos con información de controles de seguridad de la información y sistemas de detección dedicados. Esta información se correlaciona luego para crear contextos para la información que no es visible desde una sola pieza. Se proporcionan vistas de alarmas y disponibilidad junto con capacidades de generación de informes para mejorar las capacidades de la herramienta y su utilidad para los ingenieros de seguridad y sistemas.

OSSIM realiza estas funciones utilizando otros componentes de seguridad de software de código abierto conocidos, unificándolos bajo una única interfaz de usuario basada en navegador. La interfaz proporciona herramientas de análisis gráfico para la información recopilada del componente de software de código abierto subyacente (muchas de las cuales son herramientas de línea de comandos únicamente que, de lo contrario, solo se registran en un archivo de texto sin formato) y permite la gestión centralizada de las opciones de configuración.

El software se distribuye libremente bajo la Licencia Pública General de GNU. A diferencia de los componentes individuales que se pueden instalar en un sistema existente, OSSIM se distribuye como una imagen ISO instalable diseñada para implementarse en un host físico o virtual como sistema operativo principal del host. OSSIM se crea utilizando Debian como sistema operativo subyacente. Debido a que esta plataforma principal es abierta, los administradores de seguridad pueden agregar y ampliar capacidades de componentes adicionales utilizando paquetes estándar y scripts según sea necesario.

Componentes

OSSIM cuenta con los siguientes componentes de software:

  • PRADS, utilizado para identificar hosts y servicios monitoreando pasivamente el tráfico de red. Añadido en la liberación v4.0.
  • Snort, utilizado como sistema de detección de intrusiones (IDS), y también utilizado para la correlación cruzada con OpenVAS.
  • Suricata, utilizada como sistema de detección de intrusiones (IDS), a partir de la versión 4.2, es el IDS utilizado en la configuración predeterminada
  • Tcptrack, utilizado para información de datos de sesión que puede otorgar información útil para la correlación de ataque.
  • Munin, para análisis de tráfico y vigilancia de servicios.
  • NFSen/NFDump, utilizado para recopilar y analizar información NetFlow.
  • FProbe, utilizado para generar datos de NetFlow del tráfico capturado.
  • Nagios, utilizado para monitorear los anfitriones y puertos especificados para la disponibilidad de activos, así como el monitoreo completo del sistema local.
  • OpenVas, se utiliza para la evaluación de la vulnerabilidad y se asocia a activos.
  • La OSSIM también incluye herramientas autodesarrolladas, la más importante es un motor de correlación genérico con soporte de directiva lógica e integración de registros con plugins.

Nota: Suricata y Snort no se pueden usar al mismo tiempo. Actualmente, Snort se está reemplazando por Suricata.

Componentes precatados

  • Arpwatch, utilizado para detección de anomalías en la dirección MAC, sustituido por PRADS.
  • P0f, utilizado para la detección pasiva del sistema operativo y el análisis del cambio del sistema operativo, reemplazado por PRADS.
  • PADS, utilizado para la detección de anomalías de servicio, sustituido por PRADS.
  • Ntop, para registrar patrones de tráfico entre grupos anfitriones y anfitriones, y estadísticas sobre el uso del protocolo, deprecated.

Open Threat Exchange

AlienVault mantiene un servicio colaborativo de información de reputación de IP, generado por (y disponible para cualquier persona) con una instalación OSSIM activa. OTX utiliza información tokenizada de las instalaciones OSSIM participantes para identificar direcciones de Internet involucradas en actividades maliciosas y compartir esa información con esas mismas instalaciones OSSIM. Fue lanzado en 2012

Referencias

  1. ^ "Dkarg / Profile".
  2. ^ "Jcasal / Profile".
  3. ^ "Alberto_r / Perfil".
  4. ^ "TablaT Cybersecurity Blog". 3 May 2024.
  5. ^ "TACT Cybersecurity is Born". 10 May 2023.
  6. ^ "AlienVault OSSIM - Examinar archivos en SourceForge.net".
  7. ^ "Libro de parche v4.2.3 - Foros AlienVault". Archivado desde el original el 2013-09-14. Retrieved 2013-06-26.
  8. ^ https://www.ohloh.net/p/alienvault-ossim/analyses/latest/languages_summary
  9. ^ "Home". sectools.org.
  10. ^ AlienVault, "AlienVault OSSIM v4.0 Enhancement Summary", AlienVault OSSIM v4.0 Mejora Resumen, julio de 2012
  11. ^ David Josephsen (27 de marzo de 2013). Nagios: Building Enterprise-Grade Monitoring Infrastructures for Systems and Networks. Prentice Hall. ISBN 978-0-13-313568-8.
  12. ^ AlienVault, "AlienVault v5.0.3 Patch Release", AlienVault v5.0.3 Patch Release, 2 de junio de 2015
  13. ^ AlienVault, "AlienVault v5.0.3 Patch Release", AlienVault v5.0.3 Patch Release, 2 de junio de 2015
  14. ^ "Open Threat Exchange (OTX) пельные ciberseguridad" 10 de mayo de 2023.
  • Sitio oficial
  • Foro oficial
  • Código de fuente oficial
Más resultados...
Te puede interesar
Tamaño del texto:
undoredo
format_boldformat_italicformat_underlinedstrikethrough_ssuperscriptsubscriptlink
save
cancelcheck_circle