Você está na página 1de 41

UNIVERSIDADE SALVADOR REDES DE COMPUTADORES

UNIVERSIDADE SALVADOR REDES DE COMPUTADORES FERRAMENTAS DE GERÊNCIA DE REDE Uma abordagem sobre o OSSIM Salvador

FERRAMENTAS DE GERÊNCIA DE REDE Uma abordagem sobre o OSSIM

Salvador 2009

UNIVERSIDADE SALVADOR REDES DE COMPUTADORES

Davi Santos Eduardo Cruz Fernando Cruz Rafael Marconi Bruno Luis Santos

FERRAMENTAS DE GERÊNCIA DE REDE Uma abordagem sobre o OSSIM

Trabalho sobre Ferramentas de Gerência, do curso de Gerência e Administração de Redes, ministrada pelo Professor Christian Guerreiro, da turma do 4o semestre do Curso de Redes de Computadores da UNIFACS, para obtenção da terceira nota.

Salvador 2009

INTRODUÇÃO

No mundo atual, quando se fala em redes de computadores, um dos quesitos onde há uma preocupação imediata, é a segurança da informação. Com o crescimento tecnológico, as empresas cada vez mais concentram suas informações em locais centralizados, por conta de eficiência e simplicidade.

Fato este, que se configura como uma vulnerabilidade um pouco maior, pois caso ocorra um ataque contra a empresa, o invasor pode saber onde especificamente se encontra estas informações.

Uma analogia ao mundo real, seria como uma pessoa entrasse pela porta da frente de um escritório, fosse direto ao setor de arquivos em papel mesmo, abrisse as gavetas, retirasse o que lhe interessava, e fosse embora sem que fosse percebido pelos funcionários, isso porque, tais funcionários estariam tão ocupados com seus trabalhos, que mal perceberiam a presença de um intruso.

No mundo digital, também pode acontecer de forma parecida, algumas ferramentas de monitoração da rede estão tão preocupadas em monitorar determinadas ações, que as vezes se passam na detecção prioritária, ou até mesmo podem criar alarmes falsos, o que chamados de falso positivos, ou então gerar relatórios com falsos negativos.

Por isso, este trabalho vai focar numa ferramenta de gerência completa, onde são definidas prioridades de gerenciamento, bem como análises de falsos positivos e negativos, e visão da rede dos mais variados níveis de gerência.

O QUE É O OSSIM?

O OSSIM (Open Source Security Information Management), ou (Gerenciador de informações de segurança de código aberto) é uma ferramenta de gerenciamento Open Source, que agrega várias ferramentas de gerência de forma integrada, ferramentas estas, que por sua vez são softwares de código aberto. Seu desenvolvimento sempre tenta seguir os padrões do mundo Open Source.

A proposta do OSSIM, não é reinventar a roda, ou seja, com várias ferramentas abertas na internet, não se viu a necessidade de fazer um novo produto. A ideia do projeto na verdade, é a integração dos melhores softwares de gerenciamento que existem hoje, todos é claro, de código aberto.

O OSSIM, tem por objetivo, fornecer uma infra-estrutura de gerenciamento centralizada, onde se pode ter uma visão abstrata do ambiente, bem como melhorar a capacidade de detecção e visibilidade no acompanhamento de eventos de segurança da rede corporativa.

Considerada como uma solução completa, o OSSIM pode fornecer ferramentas que vão desde o acompanhamento dos níveis mais baixos de gerenciamento, como por exemplo, relatórios de IDS (Sistema de detecção de Intrusos) para os técnicos de segurança, como também dos níveis mais altos, direcionados para as pessoas que querem ter uma visão estratégica. Além de controle de inventário e outras ameaças.

Além da visão abstrata, o OSSIM, permite que se tenha um detalhamento de cada dispositivo da rede, como hosts, switches, roteadores, modems, impressoras, dentre outros.

Com foi dito anteriormente, o OSSIM agrega as malhares ferramentas Open Sources de gerenciamento existentes. Dentre elas, podemos citar:

Arpwatch Arpwatch é uma ferramenta que monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet (MAC) e seus respectivos endereços IP. Essa ferramenta tem a capacidade de reportar via email certas mudanças.

P0f

O p0f é uma ferramenta de fingerprinting passivo que obtém informações interessantes de outros sistemas, sem gerar nenhum tráfego na rede.

Nessus

O Nessus é uma ferramenta de auditoria muito usada para detectar e corrigir vulnerabilidade nos PCs da rede local.

Snort

Considerado o melhor dentre os softwares livres utilizados quando se trata de IDS (Intrusion Detection System) ou Sistemas de Detecção de Intrusos.

Tcptrack O tcptrack é um software utilizado para monitorar conexões de rede baseado no tcpdump. Seu uso baseia-se totalmente em linha de comando.

Ntop

O Ntop é um programa que monitora passivamente uma rede, coletando dados sobre os protocolos e sobre os hosts da rede.

Nagios

Sistema que consegue tirar relatórios de acesso, status das

máquinas, problemas que podem estar ocorrendo na sua máquina antes que eles afetem gravemente o sistema, etc.

Osiris

Osiris é um sistema integrado de monitoração

de

hosts

que

periodicamente monitora as alterações em um ou mais hosts.

OCS-NG

É um software, Open Source, que tem a finalidade de fazer o inventário automático das estações de trabalho.

OSSEC

Um Host IDS que monitora eventos e logs de hosts e servidores para detectar atividades suspeitas. Ele aplica análise de assinatura contra múltiplos eventos de log e de comportamento do sistema.

PROCESSOS DO OSSIM

DETECTORES

A definição para detectores no OSSIM, pode ser qualquer software que tem a capacidade de processar informações de baixo nível, como por exemplo, tráfego ou eventos do sistema, e a partir daí, enviar essas informações a um local especificado.

DEFICIÊNCIA DE COLETA DE DADOS.

Apesar das ferramentas de gerência terem ao longo dos anos um desenvolvimento robusto e seguro, ainda podem existir falhas, umas das preocupações do OSSIM, é evitar que seja coletados dados inconsistentes, como exemplificado abaixo:

Falsos positivos: A falta de confiabilidade em detectores, podem fazer com que alguns coletores, relatem alertas falsos sobre determinados eventos.

Falsos negativos: Define que eventos mais graves e mais “espertos”, podem passar despercebidos por estes coletores de dados.

PROCESSO DE DETECÇÃO

O OSSIM, basicamente em sua detecção de eventos ou alertas, é dividido em três fases distintas:

  • 1. Pré processamento: Se trata da detecção em si, onde são apenas gerados os relatórios ou os alertas antes de enviar tais informações

  • 2. Consolidação: Trata-se da fase onde todas as informações são enviadas a um ponto central, que pode ser um servidor, que tomará as decisões a partir da análise dos dados recebidos.

  • 3. Pós processamento: Tendo então os dados, o software central pode então tomar as decisões de tratamento a ser realizado focando nos eventos e alertas.

PROCESSO DE TRATAMENTO.

Uma vez recebidos os alertas, o OSSIM foi desenvolvido com tratamento de três formas diferenciadas.

central trata eventos mais críticos, de forma prioritária.

  • 2. Avaliação de Risco: Cada evento avaliado, será avaliado também seu risco, ou seja, uma proporção entre os ativos onde se aplicam os eventos, bem como as ameaças e a probabilidade de um evento

  • 3. Correlação: Onde se analisa um conjunto de eventos, para se der um valor maior.

ARQUITETURA DO OSSIM

Basicamente, a implementação do OSSIM, é composto por 4 elementos, que são os sensores, servidores de gerenciamento, banco de dados e o Console (Fronted), como mostra a figura abaixo.

ARQUITETURA DO OSSIM Basicamente, a implementação do OSSIM, é composto por 4 elementos, que são os

SENSORES

Os sensores, nada mais são do que dispositivos que podem ficar monitorando as atividades da rede, no qual inclui.

Monitores Passivos: são sensores que apenas escutam o tráfego, analisando e definindo padrões da rede, poderíamos chamar de reconhecimento da rede.

Monitores Ativos: os sensores podem trabalhar ativamente, mandando e recebendo mensagens para avaliar a vulnerabilidade da rede.

Pode incluir além disso, um agente OSSIM que recebe dados de outros equipamentos, como firewalls e roteadores, e passam estes relatórios ao servidor OSSIM.

Um típico sensor OSSIM, tem as seguintes funções/características:

IDS (detector de intruso), utilizado pelo snort.

Analisador de vulnerabilidade, usado pelo Nessus.

Detector de anormalidade, utilizado por ferramentas como: Spade, p0F, arpwatch

Monitoramento da rede e o perfil da rede, trabalho feito pelo Ntop

Coleta de eventos locais de roteadores e firewalls, IDS, etc.

MAGNAMENT SERVER

O Magnament Server, ou simplesmente Server do OSSIM é onde se concentra toda a informação coletada pelos sensores, o server engloba basicamente e principalmente os seguintes componentes:

FrameworkDir: Conjunto de controles das várias partes integradas do OSSIM.

OSSIM Server: Centraliza as informações recebidas pelos sensores.

As principais funções do server OSSIM, são:

As principais funções do server são: padronização, priorização, coleta, análise de risco, etc.

Tarefas de manutenção externa, como backups, backups programados, ativos de inventários, etc.

BANCO DE DADOS

O banco de dados armazena dados recebidos pelos sensores, assim como logs, OSSIM utiliza um banco de dados SQL de código aberto.

CONSOLE

O console, ou Fronted como é chamado pelos desenvolvedores do OSSIM, nada mais é do que o console de gerenciamento do OSSIM para a interação com o administrador da rede.

O console é uma aplicação web,

escrito

em

php

e

feito

em módulos

configuráveis pelo administrador de acordo com suas necessidades.

DETECTORES

Como já foi dito, os detectores podem ser qualquer

programa que tenha a

capacidade de escutar a rede, procurando padrões e eventos de segurança quando

ocorridos.

A funcionalidade mais tradicional de um detector, é baseado em padrões, que temos como exemplo, o IDS do OSSIM, que pode detectar algum tipo de desvio do padrão da rede, para detectar intrusos.

Quase todos os elementos de uma rede, como hosts, firewalls, roteadores, tem a capacidade de detectar padrões de segurança. Estes equipamentos geram logs úteis dos eventos detectados, esses dados são coletados pelos detectores e repassados aos servidores.

Os detectores OSSIM podem ser os de padrões abertos, ou os proprietários, que são classificados como externos.

DETECTORES PADRÕES

O OSSIM possui em seus detectores, padrões nativos, todos de códigos abertos, como por exemplo o Snort NIDS (detecção de intruso na rede).

DETECTORES EXTERNOS

O OSSIM possui um sistema de coleta que permite coletar dados de qualquer dispositivo externo.

Este sistema funciona com a instalação de plugins nos agentes, que daí então permitem a coleta de informações de sistema como: Windows, Linux, Firewalls, roteadores, etc.

PRINCIPAIS FUNCIONALIDADES DO OSSIM

DETECTORES DE ANOMALIAS

A capacidade de detecção de anomalias pelo OSSIM, é um recurso altamente robusto, que visa analisar o comportamento da rede, de acordo com seu padrão de desempenho e configuração.

O sistema aprende, por si só, e alerta quando o comportamento desvia-se de forma significativamente e estatisticamente, baseado no comportamento normal aprendido .

Esta técnica proporciona uma solução bastante eficaz, quando o assunto é segurança, podemos citar por exemplo, o controle de acesso de usuário privilegiado e para detectar ataques internos, como funcionário desleal, onde a política de segurança é violada.

Os detectores de anomalias podem ser muito úteis, como veremos alguns exemplos abaixo:

Como um dos padrões definidos, são de assinaturas de usuários, um novo ataque para qual não exista assinatura, essa identificação pode levar a anomalias evidentes de invasão

A detecção de um worm que foi introduzida na organização.

 

Identificação de malwares e uso de programas P2P que geram muitas conexões anormais da rede, e que são fáceis de identificar.

Uso se serviços de rede fora do normal

 

Utilização de tempo

de conexão que

foge

do padrão para

determinado

usuário Excesso de tráfego ou então de conexões de hosts

 

Mudanças

de

sistemas

operacionais,

endereços

MACs,

endereços

IP,

serviços, dentre outros.

Voltando a frisar, o OSSIM, nada mais é do que o conjunto de várias ferramentas de gerenciamento, logo, as ferramentas mais utilizadas para a detecção dessas anomalias, são principalmente:

Spade

Arpwatch

P0F

Nmap

Ntop

MONITORES

Vejamos os principais monitores do OSSIM, como o monitor de rede, monitor de

disponibilidade .

MONITOR DE REDE

O monitoramento da rede, talvez seja o principal foco dos administradores de rede, e sem ele o responsável pela segurança, talvez nem enxergue quando ocorrerem eventos anômalos, e não consegue distinguir atividades normais das anormais.

O OSSIM possui a capacidade de cruzar dados de diferentes fontes, como os detectores e os monitores, permitindo uma melhor análise dos eventos gerados, para justamente poder dar uma resposta mais sólida, se adequando aquela primeira premissa do objetivo da ferramenta, no qual consegue com mais eficiência, evitar os falsos positivos e os falsos negativos.

ACOMPANHAMENTO DE SESSÃO

O OSSIM tem a capacidade de criar perfil de cada usuário da rede, na utilização web, com as seguintes informações:

uso da rede por aquela máquina, com números em tempo real.

Informações sobre serviços utilizados, como ftp, email, por http.

O acompanhamento da sessão em tempo real fornece um quadro geral do estado das conexões que a máquina está participando.

FLUXOS

Informações

de

fluxo

de

dados

fornece

estatísticas

de

tráfego

de

origem/destino, portas utilizadas, largura de banda consumida, tempo de

conexão, etc.

Tanto o acompanhamento de sessão por máquina e as avaliações de fluxos, são processadas e analisadas pelo Ntop.

MONITORAMENTO DA DISPONIBILIDADE

O monitoramento de disponibilidade das informações pode ser muito importante para detectar algum tipo de ataque, no qual pode identificar que algum serviço não está mais ativo.

Com a ajuda do Nagios, este monitor é capaz de verificar a disponibilidade da rede assim como disponibilidade de equipamentos e serviços.

ANALISADOR DE VULNERABILIDADES

Os analisadores de vulnerabilidade, são importantes, para se ter uma visão de

invasor da rede, para descobrir falhas de segurança e corrigi-las.

O analisador, simula

um

ataque

a

vulnerabilidades por acaso existentes.

rede,

e

tem

por

objetivo,

descobrir

as

Utilizando o Nessus Security Analyzer, o analisador pode ser instalado em cada sensor implantado ou em um servidor central da rede.

Os resultados são colhidos pelo servidor central OSSIM, que mantém uma lista de vulnerabilidades de cada computador da rede, deixando então o administrador da rede ciente da falha de segurança e tomar as medidas necessárias para saná-las.

INVENTÁRIOS

O OSSIM implementa um tipo de inventário automático de forma passiva. O mecanismo de inventário, também pode ser implantado de forma ativa, onde são executados no servidor, utilizando analisadores de rede ativos em equipamentos da rede.

Ambos os métodos alimentam o banco de dados de inventários automaticamente com as seguintes informações:

Tipo de Sistema Operacional e sua versão

Tipo de serviço disponível bem como sua versão

Endereços Ips e endereços Macs. O OSSIM utiliza o recurso de inventário, com as seguintes ferramentas:

Nmap

P0f

Pads Detector

Arpwatch

SCO

RESPOSTA AUTOMÁTICA

Assim que for detectado um alarme de um ataquem em andamento, O OSSIM oferece um mecanismo de reposta automática que será configurado pelo administrador da rede, para cada evento específico.

Podemos destacar alguns mecanismos de resposta automática associada a cada evento:

envio de email para o administrador da rede em alta prioridade

bloqueio da conexão automaticamente através de um firewall

desabilitando uma porta de um determinado switch

Com a adoção desta técnica de resposta automática, os administradores da rede poupam tempo em descobrir o que fazer em um determinado ataque, ou evita que por ausência do administrador, a rede se torne autônoma em resolver certos tipos de problemas.

GERENCIAMENTO DE INCIDENTES

O OSSIM, possui um gerenciador de incidentes, que informa quem é responsável por tomar determinada medida, de acordo com o alerta gerado.

De acordo com as análises feitas pelo OSSIM, ele controla a atribuição de ações que devem ser tomadas.

O OSSIM, permite incorporar ao console de gerenciamento, um tipo de bilhete, painéis de alarmes, métricas de riscos, e outros recursos.

Os administradores podem criar bilhetes, e associar a determinados alertas, cada bilhete guarda informações como: a um determinado evento, ele informa quem é a pessoa responsável, o estado do evento, como também, quais ações devem ser tomadas.

Isso pode ser muito útil, caso a pessoa responsável não esteja presente, outra pessoa capacitada, esteja apta a resolver determinado problema.

GUIA DE INSTALAÇÃO DO OSSIM NO DEBIAN

Veremos nesta sessão, como instalar o OSSIM no Debian, sistema operacional mais

indicado para a instalação da ferramenta.

Configuração do APT

Edita o arquivo no caminho e coloca a lista de repositório que o desenvolvedor informa no site.

Caminho do arquivo a ser editado:

[root@firewall root]# vi /etc/apt/sources.list Repositórios a ser adicionado:

deb http://ftp.debian.org/debian/ etch main contrib non-free

deb http://security.debian.org etch/updates main contrib non- free

deb http://www.ossim.net/download/ debian/

Atualizar a lista de pacotes disponivel no novo repositorio:

[root@firewall root]# apt-get update

Instalando a base de dados do OSSIM

[root@firewall root]# apt-get install mysql-ossim

Configurando a senha do banco de dados:

[root@firewall root]#mysqladmin-u root password novasenha

Reiniciando o banco de dados:

[root@firewall root]# /etc/init.d/mysql reload [root@firewall root]#mysql-u root-p mysql> create database ossim; mysql> create database ossim_acl; mysql> create database snort; mysql> create database osvdb; mysql> exit;

Um show databases no mysql mostrando todos os banco de dados que o OSSIM era usar:

Criar as tabelas nos banco de dados: Dentro do diretório /home/ossim/dist fica vários scripts, que vamos

Criar as tabelas nos banco de dados:

Dentro do diretório /home/ossim/dist fica vários scripts, que vamos utilizar para a criação das tabelas.

Criar as tabelas nos banco de dados: Dentro do diretório /home/ossim/dist fica vários scripts, que vamos

Um desses scripts sendo editado:

Usando estes scripts para a criação das tabelas: [root@firewall root]cat /home/ossim/dist/ossim.orig.sql | mysql ossim -u root

Usando estes scripts para a criação das tabelas:

[root@firewall root]cat /home/ossim/dist/ossim.orig.sql | mysql ossim -u root -p

Instalando os pacotes necessários:

Para instalar e configurar o OSSIM SERVER:

Instalando:

[root@firewall root] apt-get install OSSIM-server

Configurando:

[root@firewall root] dpkg-reconfigure ossim-server

Por favor, digite o nome do seu servidor OSSIM: OSSIM (não importa se você usar

um servidor, mas você precisa digitar um nome diferente para cada servidor instalado em ambientes de
um servidor,
mas você
precisa
digitar um nome diferente
para cada servidor
instalado
em
ambientes
de
vários
servidores)

2 - Por favor, indique o endereço IP do seu servidor OSSIM será a escutar: 0.0.0.0 (irá escutar todos os endereços IP)

um servidor, mas você precisa digitar um nome diferente para cada servidor instalado em ambientes de

3 - Por favor, digite o nome do seu Framework OSSIM: OSSIM (o Framework será instalado mais tarde)

4 - Por favor, indique o endereço IP do seu OSSIM Framework: 127.0.0.1 (Se você instalar
  • 4 - Por favor, indique o endereço IP do seu OSSIM Framework: 127.0.0.1 (Se você instalar o enquadramento em um servidor diferente, você precisará colocar um

endereço IP diferente. Nesse exemplo, corremos o quadro no mesmo host.)

4 - Por favor, indique o endereço IP do seu OSSIM Framework: 127.0.0.1 (Se você instalar

escutar:

escutar: 6 - OSSIM configuração do banco de dados: OSSIM (ou se você usou um nome
  • 6 - OSSIM configuração do banco de dados: OSSIM (ou se você usou um nome diferente acima, insira-o.)

escutar: 6 - OSSIM configuração do banco de dados: OSSIM (ou se você usou um nome

executado em um host diferente, digite o endereço IP do host)

executado em um host diferente, digite o endereço IP do host) 8 - Usuário de banco
  • 8 - Usuário de banco de dados que irá se conectar ao banco de dados OSSIM: root (ou o nome que você configurou para se conectar ao banco de dados)

executado em um host diferente, digite o endereço IP do host) 8 - Usuário de banco

para configurar o usuário para o banco de dados OSSIM.

para configurar o usuário para o banco de dados OSSIM. 10 - Snort nome do banco:
  • 10 - Snort nome do banco: snort (ou digite o nome do banco de dados você está

usando para o snort)

para configurar o usuário para o banco de dados OSSIM. 10 - Snort nome do banco:

máquina que tem o banco de dados snort)

máquina que tem o banco de dados snort) 12 - Usuário de banco de dados que
  • 12 - Usuário de banco de dados que irá se conectar ao banco de dados snort: root

(ou o nome que você configurado para se conectar ao banco de dados snort).

máquina que tem o banco de dados snort) 12 - Usuário de banco de dados que

usou para configurar o usuário para o banco de dados SNORT.

usou para configurar o usuário para o banco de dados SNORT. 14 - OSVDB (ou digite
  • 14 - OSVDB (ou digite o nome do banco de dados você está usando para OSVDB.

usou para configurar o usuário para o banco de dados SNORT. 14 - OSVDB (ou digite

máquina que tem o banco de dados OSDVB)

máquina que tem o banco de dados OSDVB) 16 - Usuário de banco de dados que

16 - Usuário de banco de dados que irá se conectar ao banco de dados OSVDB:

root (ou o nome que você configurado para se conectar ao banco de dados OSVDB).

máquina que tem o banco de dados OSDVB) 16 - Usuário de banco de dados que

17 - Por favor, digite a senha para a conexão do banco: digite a senha que você usou para configurar o usuário para o banco de dados OSVDB.

17 - Por favor, digite a senha para a conexão do banco: digite a senha que

Para instalar o OSSIM AGENT e configurar:

[root@firewall root] apt-get install OSSIM-agent

[root@firewall root] apt-get install OSSIM-agent Veja o diretorio do arquivo de configuração [root@firewall root] cd /etc/ossim/agent

Veja o diretorio do arquivo de configuração

[root@firewall root]cd /etc/ossim/agent

Modifica os parâmetros ip colocando o ip do servidor, senha do banco de dados e portas:

[root@firewall root]vi /etc/ossim/agent/config.cfg

RESULTADOS OBTIDOS

Depois de uma apresentação do OSSIM e uma descrição do que ele é capaz de fazer, agora serão apresentadas de forma prática algumas dessas funcionalidades.

A documentação oferecida pelo sistema é muito completa, onde, em cada funcionalidade temos um help que contem todo passo a passo de como visualizar ou configurar as funcionalidades do OSSIM, assim sendo, vamos descrever de forma breve algumas características do sistema.

Como foi falado anteriormente, o OSSIM oferece uma visão técnica e uma visão estratégica, onde as informações são mostradas de forma sintética em gráficos e relatórios.

Ao logar no sistema, a visão que se tem é justamente essa, focando mostrar de imediato, gráficos que apresentam o estado do ambiente monitorado.

DashBoards:

RESULTADOS OBTIDOS Depois de uma apresentação do OSSIM e uma descrição do que ele é capaz

De forma simples o administrador navega no sistema através das abas e visualiza gráficos específicos, e esses gráficos podem ser ordenados da forma que o administrar queira, apenas arrastando os gráficos. Vejamos alguns exemplos:

Security(Segurança):

Security(Segurança): Network(Rede):

Network(Rede):

Security(Segurança): Network(Rede):

As informações podem ser analisadas na forma de gráficos ou se for necessário uma analise mais detalhada, podemos clicar no gráfico e assim visualizar as informações puras, como no exemplo abaixo, onde ao clicar no gráfico Internal network 12h traffic(Trafego da rede interna em 12h) nos é apresentada a seguinte tela:

As informações podem ser analisadas na forma de gráficos ou se for necessário uma analise mais

Assim o administrador pode analisar ou apresentar informações de forma micro ou macro. O que comprova o que foi dito anteriormente sobre a visão técnica e estratégica que o OSSIM oferece.

Incidents(Incidentes):

Nessa página são visualizados e gerenciados os incidentes no ambiente monitorado. São mostrados os incidentes detectados automaticamente e os inseridos manualmente.

Podem ser adicionadas informações no incidente, direcioná-lo a alguém, alterar seu status, titulo, prioridade, entre outras informações.

Incidents(Incidentes): Nessa página são visualizados e gerenciados os incidentes no ambiente monitorado. São mostrados os incidentes

Também é possível visualizar em forma de gráfico os incidentes:

E editar o modelo de email para incidentes:

Events(Eventos): Nessa sessão pode-se visualizar os eventos do ambiente, sejam, vulnerabilidades, anomalias. Uma funcionalidade interessante fica

Events(Eventos):

Nessa sessão pode-se visualizar os eventos do ambiente, sejam, vulnerabilidades, anomalias. Uma funcionalidade interessante fica em, SIM events na aba Real Time. Onde é possível visualizar os eventos que estão ocorrendo em tempo real.

Ou então aplicar filtros para buscar um evento mais especifico em CUSTOMIZED VIEW. Sendo possível filtrar

Ou então aplicar filtros para buscar um evento mais especifico em CUSTOMIZED VIEW. Sendo possível filtrar por Firewalls, Anomalies, Windows Events, Unix Events ou de um host especifico em um determinado período ou simplesmente visualizar a aba Statistics, onde, são mostrados gráficos ..

O guia de anomalias mostra quatro tipos de anomalias RRD (anomalias de comportamento aberrante, tanto por

O guia de anomalias mostra quatro tipos de anomalias RRD (anomalias de comportamento aberrante, tanto por hospedeiro e nível mundial), mudanças no sistema operacional, alterações de endereço MAC, alteração de versão de serviço.

O guia de anomalias mostra quatro tipos de anomalias RRD (anomalias de comportamento aberrante, tanto por

Monitors(monitores):

Usage & Profile

Na sessão de monitores, pode-se visualizar informações da rede obtidas com o NTOP, como trafego e protocolos usados na rede. Também são visualizadas as sessões de cada host e as comunicações entre si.

Availability Outra possibilidade oferecida nessa sessão é o monitoramento de disponibilidade com informações obtidas através do

Availability

Outra possibilidade oferecida nessa sessão é o monitoramento de disponibilidade com

informações obtidas através do nagios.

Reports(Relatórios): Nessa sessão pode-se visualizar alguns relatórios, tais como: Host Reports:

Reports(Relatórios):

Nessa sessão pode-se visualizar alguns relatórios, tais como:

Host Reports:

Security Report: Alem de poder gerar relatórios em PDF. Policy(Política): Boa parte das configurações do OSSIM

Security Report:

Security Report: Alem de poder gerar relatórios em PDF. Policy(Política): Boa parte das configurações do OSSIM

Alem de poder gerar relatórios em PDF.

Policy(Política):

Boa parte das configurações do OSSIM são feitas nessa sessão. Políticas de host, network, network groups, Sensors, Servers, portas, Plugin group. Aqui são inseridas dados de host, rede, etc e informar como vão ser monitoradas. E na aba Actions (ações), são definas ações a serem executadas ao detectar um evento. Essa ação pode ser o envio de uma mensagem ou a execução automática de um comando ou programa.

Correlation(Corelação):
Correlation(Corelação):

Directives(diretivas), são um mecanismo do OSSIM para gerar alarmes. Ao coletar a mensagem a mesma é relacionada a uma diretiva para a geração do alerta de uma forma mais clara. Cross Correlation é a capacidade de relacionar através de 2 plugins diferentes. Tornando a informação mais solida.

Configuration (Configuração):

A página principal da seção de configuração permite definir configurações gerais do

sistema(language, OSSIM Server, etc).

Configuration (Configuração): A página principal da seção de configuração permite definir configurações gerais do sistema(language, OSSIM

Em users é possível fazer a administração dos usuários, modificando, adicionando ou removendo usuários com suas permissões.

Configuration (Configuração): A página principal da seção de configuração permite definir configurações gerais do sistema(language, OSSIM