Capitulo III

SIEM (Security Information and Event Management)Los sistemas de informacin de seguridad y administracin de eventos (SIEM), se refiere a las plataformas que permiten centralizar el almacenamiento, interpretacin, correlacin registros/eventos y presentacin de informes sobre la seguridad de un sistema, red, aplicacin o dispositivo monitorizado; a partir de diferentes fuentes que requieren la activacin de la funcin auditoria. Son resultado de la combinacin de dos tipos de servicios de seguridad como son SIM y SEM. SIM (Security Information Management): el gestor de la informacin de seguridad recopila registros o eventos a largo plazo en modo fuera de tiempo, por lo que ofrece consultas y reportes histricos los cuales pueden ser utilizados con fines forenses. SEM (security event manager): el gestor de eventos analiza en tiempo real alertas de seguridad, interpretan registros o eventos generados por otros programas que se ejecutan en una red y actan ante estos.Los SIEM intentan proporcionar una visin completa de la red en una organizacin, concentrando en una nica plataforma las funciones esenciales de los SIM y SEM. Este tipo de herramientas con sutiles variaciones comparten funcionalidades que de manera general segn (SANS Institute InfoSec Reading Room, 2006) se describen como: Consolidacin de registros/eventos en un solo servidor, correlacin de alertas, gestin de incidentes de seguridad que contempla el seguimiento completo de cada alerta detectada desde la notificacin hasta acciones correctivas tomadas y la presentacin de informes. Una de las capacidades mencionadas ms sobresalientes es la correlacin, que centraliza en un punto todos los eventos y los almacena en un mismo formato, adems de establecer relaciones entre los registros o eventos basados en particularidades como direccin origen destino, protocolo, tipo de eventos entre otros, para facilitar la filtracin de informacin redundante y/o duplicada, optimizando de esta manera el flujo de eventos prioritarios con lo el administrador de seguridad e informacin tomar decisiones de prevencin y defensa.Ossim Open Source Security Information Manager ms conocido como OSSIM es un plataforma tipo SIEM que integra varias herramientas open source dedicadas al anlisis y monitorizacin de seguridad para una red, y por consecuencia consolida las alertas de estas en una nica consola altamente configurable. OSSIM est basado en Debian y constituye la versin gratuita para AlienVault Unified SIEM desarrollado por la empresa espaola AlientVault Siem Technology, cuyo objetivo has sido crear un framework que permita centralizar, organizar y mejorar las capacidades de deteccin y visibilidad en la monitorizacin de eventos de seguridad de la organizacin.Los dispositivos y herramientas externas de seguridad con la que cuente una red informtica tales como IDS, IPS, Firewall, un sistema operativo entre otras pueden convertirse en el colector de eventos que OSSIM normaliza antes de enviarlos al servidor central, en el que se evala el riesgo, correlaciona y almacena los eventos firmados digitalmente en la base de datos. Siendo la consola web el medio de acceso a la configuracin y visualizacin de toda la informacin recogida y generada as como: ver el estado global, presentacin de informes, mtricas, vulnerabilidades e informacin en tiempo real de la red. (AlienVault, 2010)

Funcionabilidad Entre las principales utilidades que estn o se pueden incorporar tenemos:Detectores de patrones (IDSs) Cisco IDS: Plataforma de CISCO basado en firmas que puede tomar respuestas proactivas ante la deteccin de una amenaza como bloquear la direccin IP comprometida. Osiris: IDS a nivel de host, busca y detecta anomalas monitorizando las actividades de una mquina. Gestiona la integridad de sus archivos. OSSEC: IDS a nivel de host, gestiona los registros de una mquina en bsqueda de ataques. Utiliza para ello herramientas de rootkit las cuales permiten supervisar la integridad de datos. Snort: IDS a nivel de red y sniffer de paquetes que se utiliza para cruzar la correlacin con nessus. Detectores de anomalas Arpwatch: Herramienta para la deteccin de anomala de MAC mediante la utilizacin de tablas MAC/IP. P0f: Herramienta de identificacin pasiva para la deteccin y anlisis de los cambios en los sistemas operativos OS. Pads: Herramienta de deteccin pasiva de activos utilizado para el servicio de deteccin de anomalas.Monitores Ntop: Herramienta de monitoreo de trafico de red utilizado para la deteccin de comportamiento anormal o malicioso. Tcptrack: Herramienta para controlar las conexiones de red y obtener informacin til para el ataque correlacin. Nagios: Herramienta de monitoreo de dispositivos de red supervisa la disponibilidad de los equipos. Scanner Nessus: Herramienta de deteccin activa que rastrea vulnerabilidades en los host, adems presenta informes sobre nivel de riego y las posibles formas de remediacin. NMap: Herramienta que permite escanear un sistema para descubrir los mquinas y servidores de red as como los puertos abiertos y servicios activos.Gestin de activos OCS-NG: Cruz-Plataforma que realiza un inventario de los dispositivos de red e informes.

Funcionabilidad Para describir la funcionabilidad se debe tomar en cuenta que OSSIM se divide en tres capas de niveles: bajo, intermedio y avanzado.

Nivel bajoEst compuesto por los detectores y monitores de seguridad que se encuentran instalados en cada segmento de red e inspeccionan todo el trfico sin afectar al rendimiento, detectan comportamiento malicioso, generan alertas y envan la informacin al servidor de administracin luego de haberla normalizado. Este conjunto de fases se denomina preprocesamiento.Herramientas Entre los detectores y monitores de red de acuerdo a su funcin:Detectores de patrones: comnmente los IDSs que por defecto est integrado en Alient Vault son: Snort, OpenVas. Ossec. Aunque es posible la correlacin con otros sistemas externos como: dispositivos firewall CISCO, Alcatel. Deteccin de anomalas: la capacidad de deteccin es ms compleja e innovadora que los detectores de patrones porque son capaces de aprender y reconocer por s solos el comportamiento normal de la red sin necesidad de definir reglas previas. Su punto fuerte es detectar nuevos ataques para los que no existen firmas. Entre los OSSIM integra por defecto estn: Spade, POf, ArpWatch, Pads, Nmap, etc.Deteccin de vulnerabilidades: descubren e identifican amenazas de red existentes como puertos abiertos, servicios no utilizados pero habilitados y pueden dar solucin a estos. Nessus es un ejemplo de este tipo.Sistemas de inventario: realiza el inventario de los activos (dispositivos) de red. Un ejemplo de este tipo es OCS-NG:FasesCentralizacin y Normalizacin: la normalizacin consiste en traducir los diferentes tipos de formatos de alertas que generan los detectores, especialmente los externos, a un formato estndar que OSSIM entender y unificar en la base de datos llamada EDB. De manera que facilite a los niveles superiores gestionar, visualizar y almacenar todos los eventos de la red.Nivel intermedioLa funcin en este nivel es recolectar los log de todos los dispositivos que constituyen el nivel bajo para postprocesarlos en un nico punto, lo cual consiste en analizar, priorizar, correlar y evaluar riesgos de alarmas. El objetivo es generar una alarma a partir de varias alertas, que cuente con un mayor grado de fiabilidad reconociendo patrones complejos. FasesAnlisis: se centra en el nivel de impacto que produce una alerta en el sistema, red o aplicacin. Correlacin: es definido como un algoritmo que relaciona eventos de diferente ndole en un espacio de tiempo determinado por las reglas de los sensores que OSSIM combina y cuya ambicin propone: desarrollar patrones especficos del perfil normal, mejorar la abstraccin enlazando de forma recursiva los eventos de detectores y monitores, crear patrones concretos sobre el perfil normal y ambiguos que detecten actividades desconocidas o no detectables, y crear una visin general de seguridad.Mtodos de correlacin Existen dos mtodos de correlacin que son: Mediante secuencia de eventos que descubre ataques conocidos y mediante algoritmos heursticos que detecta ataques sin previo conocimiento de sus patrones y comportamientos Mediante secuencia de eventos (Correlacin Lgica)

Mediante algoritmos heursticos:Acumula eventos en un espacio de tiempo determinado para crear una imagen general del estado de seguridad de la red.

Priorizacin: da preferencia a las alertas de acuerdo a su nivel de peligro y sobre todo a la topologa y el inventario del sistema que posee la organizacin.Evaluacin: que depende de tres factores: medicin del riesgo proporcional al valor del activo (dispositivo) al que refiere, la amenaza del evento al activo implicado, la probabilidad de ocurrencia al que se encuentra expuesto.Nivel avanzadoProvee el acceso a toda la informacin recogida por los niveles bajo y medio a travs de un framework que permite la configuracin, definicin de la topologa, reglas de correlacin, polticas de seguridad y visualizacin.Arquitectura OSSIM es distribuida en los siguientes elementos:Interfaz de usuario:Motor de correlacion:Colectos de eventos:Sensor: recogen la informacin del segmentos de red y lugares remotos

El objetivo del postprocesamiento es generar una alarma a partir de varias alertas, que cuente con un mayor grado de fiabilidad reconociendo patrones complejos.

Caractrisitcas

Open Source Security Information ManagementPretende hacer una compilacion de herramientasComplementar un sistema IDS/IPSFacilitar la administracionAprovechar mejor las features de los sistemasYa hemos dicho que una sola herramienta no es la solucion

Requerimientos de hardware.Los requerimientos mnimos de hardware a tomar en cuenta son: procesador, memoria y disco duro, ya que en el servidor se almacenan y se procesan los logs que envan los agentes, y estos tendrn adems diferentes procesos corriendo, de acuerdo a las herramientas instaladas en los mismos.Para ello, se realiza un anlisis del trfico que genera la red, se determina la cantidad de equipos y redes que se van a monitorear, y de acuerdo a estos aspectos se obtienen los requerimientos mnimos de hardware, tanto para el servidor como para los agentes que sern incorporados en la red.Requerimientos de Software.Se recomienda el trabajo con la distribucin Debian, ya que existe mayor soporte para esta lataforma. Antes de la instalacin de los paquetes de ossim-server, ossim-agent y ossim-framework se comprueba que existan todas las dependencias requeridas por cada uno de ellos. Estos pueden ser descargados desde el sitio oficial de OSSIM Para disear una adecuada arquitectura de

What is a SIEM and What are the Top Ten SIEM Best PracticesA SIEM is a solution that aggregates, normalizes, filters, correlates and centrally manages security and other operational event log data to monitor, alert on, respond to, report, analyze, audit and manage security and compliance:relevant information.Security Information and Event Management or SIEM systems (SIEMs) provide fundamental security operations management functionality that, like other product categories, differs by vendor, functionality and delivery mechanism :be it software, hardware appliance, virtual appliance or services. The general purpose of a SIEM is to aggregate and manage event log3 data and to provide more efficient and useful analysis capabilities for the information security professional and IT organization for the purpose of monitoring, incident response, reporting, investigation and auditing. SIEMs collect and centrally manage records of network, system, application, device, security and user activity from different infrastructure sources or devices. The most common form of event log3 data is an audit log file generated by a system that is commonly captured via syslog protocol. This requires the auditing functions of a given device to be activated. A device often produces event log data that may be stored in a log file or transmitted in real:time. Manually reviewing a large number of diverse log sources, while possible, has been long proven ineffective, slow, error:prone and frustrating to security personnel. The multitude of event log data that exists on each device within an extensive infrastructure would be cumbersome for organizations to maintain, arduous to consistently assess, and insurmountable to analyze by hand. In addition, at some point a given log file may be overwritten with newer data, whereby prior audit information will be lost. Event log data can be obtained using a variety of common and vendor:specific protocols such as syslog, SNMP, WMI, network flow, databases and more. Since most event log sources have unique, vendor:determined event attributes that are conveyed in non:standard syntax (also called raw event log data), SIEMs employ normalization techniques to uniformly format all collected event log data for effective processing. As such, it is important to know what device sources in your operating environment must be supported and how your environment will support a SIEMs means to receive or pull necessary event log data. For example, even if a devices event log function is activated, some SIEMS or event log sources may require the use of agents or credentialed means of access to obtain event log data. SIEM vendors publish the devices they support and provide updates to maintain and expand device support. Some vendors also provide means for organizations to incorporate event log data from custom applications or as yet supported devices.SIEMs offer the means to analyze event log data through real:time correlation and historic analysis. Once normalized, the event log data can be correlated in near real:time against pre:defined and custom rules. SIEM rules can serve to consolidate like events as well as quickly identify potential issues, problems, attacks and violations for which action may be required typically called an incident. Incidents are derived from one or more events that have satisfied a rules condition; or multiple rules and conditions. A given rule may be unique or reference an incident class. Rule logic can identify simple event conditions to complex pattern of events. Rules can also reference statistically derived event thresholds (sometimes called behavioral:based or profiling). The capacity for real:time correlation is often determined by two factors; (i) the amount of Events per Second (EPS) that the SIEM is able to sustain processing (normalize and analyze) and (ii) the breadth of attributes and logic that can be applied by the SIEMs rule engine. SIEMs ship with numerous rules out:of:the:box to provide upfront value. SIEMs offer a variety of means to refine, fully customize or create rules to help identify company:specific issues or scenarios of interest, extend operating controlsand convey different level of severity. An event or incident will have a corresponding severity and notification method (alert). Incident severity can be related to the severity as reported by the device within the event log. Severity can also be automatically adjusted by the SIEM based on the rule, rule logic or rule customization. Some SIEMS also provide the means to convey the impact of an incident to IT and business services. A SIEM alert will provide the underlying event triggers that can be used to understand and further investigate a given incident. In addition, SIEMs possess different event consolidation, alert generation, alert suppression and case management capabilities to facilitate incident response.ReferenciasAlienVault. (2010). AlienVault Installation Guide.Ediciones CODA. (Septiembre 2012). Del SIEM al BIG DATA de seguridad. Revista SIC Seguridad en Informtica y Comunicaciones.SANS Institute InfoSec Reading Room. (23 de Diciembre de 2006). A practical application of SIM/SEM/SIEM Automating Theat Identification.