Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Riopretosec - Seminário OSSIM

    Enviado por

    PedroFerracini
    7 visualizações11 páginas
    Seminário OSSIM

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Seminário OSSIM

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    7 visualizações11 páginas

    Riopretosec - Seminário OSSIM

    Enviado por

    PedroFerracini
    Seminário OSSIM

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 11

    Pedro H.

    Ferracini de Barros
    Bacharelado em Ciência da Computação
    pedroh@acmesecurity.org
    PA N OR A MA

    VISÃO GERAL

    OSSIM VS. USM

    POSSIBILIDADES DO OSSIM

    O QUE SÃO IDS?

    ALGUNS PLUGINS DISPONÍVEIS

    ÚLTIMOS UPDATES

    DIRETIVAS DE THREAT INTELLIGENCE

    DEMONSTRAÇÃO
    V ISÃO G ERA L

    Basicamente, o OSSIM é uma ferramenta SIEM baseada em Debian.

    Características de uma ferramenta SIEM:

    > Sigla de “Security Information and Event Management”

    > União de SIM e SEM

    > Integração de uma série de ferramentas de segurança

    > Acesso em tempo real

    > Disparo de alertas e notificações automaticamente

    > Correlação de logs


    O SS IM vs U S M

    O SS I M US M

    OP E N SOUR C E F REE AC IMA DE U$ 505 0

    TH R E AT I N TE L L I GENC E CO M T HREAT INT ELLIGEN CE COM


    SUP OR TE COMUNITÁRIO UPDAT ES SEMANAIS OF ICIA IS

    B USCA E MANEJAME NTO D E


    COL E ÇÃO L I M I TADA DE LOGS
    LOGS MAIS AMP LOS

    M A N E JA M E N TO SINGUL AR ADMINIST RAÇÃO


    DE COM P ONENT ES C ENT RALIZADA

    TAB EL A 1 - COM PARATIVO OSSIM / U SM


    P O SS IB IL IDA D E S DO O S S I M

    Varredura de vulnerabilidades de assets (OpenVas)

    Coleta de fluxo da rede (NetFlow)

    Coleta e disposição de logs de assets (Syslog, Snare)

    Varredura de disponibilidade de assets (Nagios3)

    Captura de pacotes de assets (Wireshark)

    Detecções de HIDS e NIDS (OSSEC e Suricata)

    Integração com a OTX


    O Q U E SÃO IDS ?

    Sigla de Sistema de Detecção a Intrusões

    Dividido em HIDS e NIDS

    Utiliza uma série de diretivas para detectar anomalias tais como:

    > Análise de comportamento de usuários, no caso de HIDS

    > Análise de pacotes da rede, no caso de NIDS


    AL G U NS PL U G I NS DI S PO N Í VE I S
    ÚL TIMOS U P DAT E S

    5.0 - Backup and Restore

    5.0.3 - Preferencia do Suricata sobre o Snort

    5.1 - Preferencia do Netflow sobre o ntop

    5.1 - Integração com a OTX

    5.2 - Facilidade na configuração de VPNs

    5.2 - Varredura de vulnerabilidades em paralelo


    D IR ETIVAS D E TH RE AT I N T E L L I G E N C E

    Risk = (priority * reliability * asset_value) / 25

    if Risk >= 1 dispara um alarme

    Priority : Importância do evento

    Reliability: Importância da diretiva

    Asset Value : Importância do host


    D EMONS TR AÇÃO

    IM AG EM 1 - OV ERV IEW OSSIM 5 . x

    Você também pode gostar