Está en la página 1de 9

Capitulo III

SIEM (Security Information and Event Management)


Los sistemas de informacin de seguridad y administracin de eventos
(SIEM), se refiere a las plataformas que permiten centralizar el
almacenamiento,
interpretacin,
correlacin
registros/eventos
y
presentacin de informes sobre la seguridad de un sistema, red, aplicacin o
dispositivo monitorizado; a partir de diferentes fuentes que requieren la
activacin de la funcin auditoria. Son resultado de la combinacin de dos
tipos de servicios de seguridad como son SIM y SEM.

SIM (Security Information Management): el gestor de la informacin


de seguridad recopila registros o eventos a largo plazo en modo fuera
de tiempo, por lo que ofrece consultas y reportes histricos los cuales
pueden ser utilizados con fines forenses.
SEM (security event manager): el gestor de eventos analiza en
tiempo real alertas de seguridad, interpretan registros o eventos
generados por otros programas que se ejecutan en una red y actan
ante estos.

Los SIEM intentan proporcionar una visin completa de la red en una


organizacin, concentrando en una nica plataforma las funciones
esenciales de los SIM y SEM. Este tipo de herramientas con sutiles
variaciones comparten funcionalidades que de manera general segn (SANS
Institute InfoSec Reading Room, 2006) se describen como: Consolidacin de
registros/eventos en un solo servidor, correlacin de alertas, gestin de
incidentes de seguridad que contempla el seguimiento completo de cada
alerta detectada desde la notificacin hasta acciones correctivas tomadas y
la presentacin de informes.
Una de las capacidades mencionadas ms sobresalientes es la correlacin,
que centraliza en un punto todos los eventos y los almacena en un mismo
formato, adems de establecer relaciones entre los registros o eventos
basados en particularidades como direccin origen destino, protocolo, tipo
de eventos entre otros, para facilitar la filtracin de informacin redundante
y/o duplicada, optimizando de esta manera el flujo de eventos prioritarios
con lo el administrador de seguridad e informacin tomar decisiones de
prevencin y defensa.
Ossim
Open Source Security Information Manager ms conocido como OSSIM es un
plataforma tipo SIEM que integra varias herramientas open source
dedicadas al anlisis y monitorizacin de seguridad para una red, y por
consecuencia consolida las alertas de estas en una nica consola altamente
configurable.
OSSIM est basado en Debian y constituye la versin gratuita para
AlienVault Unified SIEM desarrollado por la empresa espaola AlientVault
Siem Technology, cuyo objetivo has sido crear un framework que permita

centralizar, organizar y mejorar las capacidades de deteccin y visibilidad


en la monitorizacin de eventos de seguridad de la organizacin.
Los dispositivos y herramientas externas de seguridad con la que cuente
una red informtica tales como IDS, IPS, Firewall, un sistema operativo entre
otras pueden convertirse en el colector de eventos que OSSIM normaliza
antes de enviarlos al servidor central, en el que se evala el riesgo,
correlaciona y almacena los eventos firmados digitalmente en la base de
datos. Siendo la consola web el medio de acceso a la configuracin y
visualizacin de toda la informacin recogida y generada as como: ver el
estado global, presentacin de informes, mtricas, vulnerabilidades e
informacin en tiempo real de la red. (AlienVault, 2010)

Funcionabilidad
Entre las principales utilidades que estn o se pueden incorporar tenemos:
Detectores de patrones (IDSs)

Cisco IDS: Plataforma de CISCO basado en firmas que puede


tomar respuestas proactivas ante la deteccin de una amenaza
como bloquear la direccin IP comprometida.
Osiris: IDS a nivel de host, busca y detecta anomalas
monitorizando las actividades de una mquina. Gestiona la
integridad de sus archivos.
OSSEC: IDS a nivel de host, gestiona los registros de una
mquina en bsqueda de ataques. Utiliza para ello
herramientas de rootkit las cuales permiten supervisar la
integridad de datos.
Snort: IDS a nivel de red y sniffer de paquetes que se utiliza
para cruzar la correlacin con nessus.

Detectores de anomalas

Arpwatch: Herramienta para la deteccin de anomala de MAC


mediante la utilizacin de tablas MAC/IP.
P0f: Herramienta de identificacin pasiva para la deteccin y
anlisis de los cambios en los sistemas operativos OS.
Pads: Herramienta de deteccin pasiva de activos utilizado
para el servicio de deteccin de anomalas.

Monitores

Ntop: Herramienta de monitoreo de trafico de red utilizado


para la deteccin de comportamiento anormal o malicioso.
Tcptrack: Herramienta para controlar las conexiones de red y
obtener informacin til para el ataque correlacin.
Nagios: Herramienta de monitoreo de dispositivos de red
supervisa la disponibilidad de los equipos.

Scanner

Nessus: Herramienta de deteccin activa que rastrea


vulnerabilidades en los host, adems presenta informes sobre
nivel de riego y las posibles formas de remediacin.
NMap: Herramienta que permite escanear un sistema para
descubrir los mquinas y servidores de red as como los
puertos abiertos y servicios activos.

Gestin de activos

OCS-NG: Cruz-Plataforma que realiza un inventario de los


dispositivos de red e informes.

Funcionabilidad
Para describir la funcionabilidad se debe tomar en cuenta que OSSIM se
divide en tres capas de niveles: bajo, intermedio y avanzado.

Nivel bajo
Est compuesto por los detectores y monitores de seguridad que se
encuentran instalados en cada segmento de red e inspeccionan todo el
trfico sin afectar al rendimiento, detectan comportamiento malicioso,
generan alertas y envan la informacin al servidor de administracin luego
de haberla normalizado. Este conjunto de fases se denomina
preprocesamiento.
Herramientas
Entre los detectores y monitores de red de acuerdo a su funcin:

Detectores de patrones: comnmente los IDSs que por defecto est


integrado en Alient Vault son: Snort, OpenVas. Ossec. Aunque es posible la
correlacin con otros sistemas externos como: dispositivos firewall CISCO,
Alcatel.
Deteccin de anomalas: la capacidad de deteccin es ms compleja e
innovadora que los detectores de patrones porque son capaces de aprender
y reconocer por s solos el comportamiento normal de la red sin necesidad
de definir reglas previas. Su punto fuerte es detectar nuevos ataques para
los que no existen firmas. Entre los OSSIM integra por defecto estn: Spade,
POf, ArpWatch, Pads, Nmap, etc.
Deteccin de vulnerabilidades: descubren e identifican amenazas de red
existentes como puertos abiertos, servicios no utilizados pero habilitados y
pueden dar solucin a estos. Nessus es un ejemplo de este tipo.
Sistemas de inventario: realiza el inventario de los activos (dispositivos)
de red. Un ejemplo de este tipo es OCS-NG:
Fases
Centralizacin y Normalizacin: la normalizacin consiste en traducir los
diferentes tipos de formatos de alertas que generan los detectores,
especialmente los externos, a un formato estndar que OSSIM entender y
unificar en la base de datos llamada EDB. De manera que facilite a los
niveles superiores gestionar, visualizar y almacenar todos los eventos de la
red.
Nivel intermedio
La funcin en este nivel es recolectar los log de todos los dispositivos que
constituyen el nivel bajo para postprocesarlos en un nico punto, lo cual
consiste en analizar, priorizar, correlar y evaluar riesgos de alarmas. El
objetivo es generar una alarma a partir de varias alertas, que cuente con un
mayor grado de fiabilidad reconociendo patrones complejos.
Fases
Anlisis: se centra en el nivel de impacto que produce una alerta en el
sistema, red o aplicacin.
Correlacin: es definido como un algoritmo que relaciona eventos de
diferente ndole en un espacio de tiempo determinado por las reglas de los
sensores que OSSIM combina y cuya ambicin propone: desarrollar patrones
especficos del perfil normal, mejorar la abstraccin enlazando de forma
recursiva los eventos de detectores y monitores, crear patrones concretos
sobre el perfil normal y ambiguos que detecten actividades desconocidas o
no detectables, y crear una visin general de seguridad.
Mtodos de correlacin
Existen dos mtodos de correlacin que son: Mediante secuencia de eventos
que descubre ataques conocidos y mediante algoritmos heursticos que
detecta ataques sin previo conocimiento de sus patrones y
comportamientos

Mediante secuencia de eventos (Correlacin Lgica)

Mediante algoritmos heursticos:


Acumula eventos en un espacio de tiempo determinado para crear una
imagen general del estado de seguridad de la red.

Priorizacin: da preferencia a las alertas de acuerdo a su nivel de peligro y


sobre todo a la topologa y el inventario del sistema que posee la
organizacin.
Evaluacin: que depende de tres factores: medicin del riesgo proporcional
al valor del activo (dispositivo) al que refiere, la amenaza del evento al
activo implicado, la probabilidad de ocurrencia al que se encuentra
expuesto.
Nivel avanzado
Provee el acceso a toda la informacin recogida por los niveles bajo y medio
a travs de un framework que permite la configuracin, definicin de la
topologa, reglas de correlacin, polticas de seguridad y visualizacin.
Arquitectura
OSSIM es distribuida en los siguientes elementos:
Interfaz de usuario:
Motor de correlacion:
Colectos de eventos:
Sensor: recogen la informacin del segmentos de red y lugares remotos

El objetivo del postprocesamiento es generar una alarma a partir de varias


alertas, que cuente con un mayor grado de fiabilidad reconociendo patrones
complejos.

Caractrisitcas

Open Source Security Information Management


Pretende hacer una compilacion de herramientas
Complementar un sistema IDS/IPS
Facilitar la administracion

Aprovechar mejor las features de los sistemas


Ya hemos dicho que una sola herramienta no es la solucion

Requerimientos de hardware.
Los requerimientos mnimos de hardware a tomar en cuenta son:
procesador, memoria y disco duro, ya que en el
servidor se almacenan y se procesan los logs que envan los
agentes, y estos tendrn adems diferentes
procesos corriendo, de acuerdo a las herramientas instaladas en los
mismos.
Para ello, se realiza un anlisis del trfico que genera la red, se
determina la cantidad de equipos y redes que se
van a monitorear, y de acuerdo a estos aspectos se obtienen los
requerimientos mnimos de hardware, tanto
para el servidor como para los agentes que sern incorporados en
la red.
Requerimientos de Software.
Se recomienda el trabajo con la distribucin Debian, ya que existe
mayor soporte para esta
lataforma.
Antes de la instalacin de los paquetes de ossim-server, ossimagent y ossim-framework se comprueba que
existan todas las dependencias requeridas por cada uno de ellos.
Estos pueden ser descargados desde el sitio
oficial de OSSIM
Para disear una adecuada arquitectura de

What is a SIEM and What are the Top Ten SIEM Best Practices
A SIEM is a solution that aggregates, normalizes, filters, correlates and
centrally manages security
and other operational event log data to monitor, alert on, respond to, report,
analyze, audit and
manage security and compliance:relevant information.
Security Information and Event Management or SIEM systems (SIEMs)
provide fundamental security operations
management functionality that, like other product categories, differs by
vendor, functionality and delivery mechanism :
be it software, hardware appliance, virtual appliance or services. The
general purpose of a SIEM is to aggregate and
manage event log3
data and to provide more efficient and useful analysis capabilities for the
information security
professional and IT organization for the purpose of monitoring, incident
response, reporting, investigation and auditing.
SIEMs collect and centrally manage records of network, system, application,
device, security and user activity from
different infrastructure sources or devices. The most common form of
event log3 data is an audit log file generated
by a system that is commonly captured via syslog protocol. This requires
the auditing functions of a given device to be
activated. A device often produces event log data that may be stored in a
log file or transmitted in real:time. Manually
reviewing a large number of diverse log sources, while possible, has been
long proven ineffective, slow, error:prone
and frustrating to security personnel. The multitude of event log data that
exists on each device within an extensive
infrastructure would be cumbersome for organizations to maintain, arduous
to consistently assess, and insurmountable
to analyze by hand. In addition, at some point a given log file may be
overwritten with newer data, whereby prior audit
information will be lost.
Event log data can be obtained using a variety of common and
vendor:specific protocols such as syslog, SNMP, WMI,
network flow, databases and more. Since most event log sources have
unique, vendor:determined event attributes

that are conveyed in non:standard syntax (also called raw event log data),
SIEMs employ normalization techniques to
uniformly format all collected event log data for effective processing.
such, it is important to know what device

As

sources in your operating environment must be supported and how your


environment will support a SIEMs means to receive or pull necessary
event log data. For example, even if a devices event log function is
activated, some SIEMS or
event log sources may require the use of agents or credentialed means of
access to obtain event log data. SIEM
vendors publish the devices they support and provide updates to maintain
and expand device support. Some vendors
also provide means for organizations to incorporate event log data from
custom applications or as yet supported
devices.
SIEMs offer the means to analyze event log data through real:time
correlation and historic analysis. Once normalized,
the event log data can be correlated in near real:time against pre:defined
and custom rules. SIEM rules can serve to
consolidate like events as well as quickly identify potential issues, problems,
attacks and violations for which action may
be required typically called an incident. Incidents are derived from one or
more events that have satisfied a rules
condition; or multiple rules and conditions. A given rule may be unique or
reference an incident class. Rule logic can
identify simple event conditions to complex pattern of events. Rules can also
reference statistically derived event
thresholds (sometimes called behavioral:based or profiling). The capacity
for real:time correlation is often determined
by two factors; (i) the amount of Events per Second (EPS) that the SIEM is
able to sustain processing (normalize and
analyze) and (ii) the breadth of attributes and logic that can be applied by
the SIEMs rule engine.
SIEMs ship with numerous rules out:of:the:box to provide upfront value.
SIEMs offer a variety of means to refine, fully
customize or create rules to help identify company:specific issues or
scenarios of interest, extend operating controls
and convey different level of severity. An event or incident will have a
corresponding severity and notification method

(alert). Incident severity can be related to the severity as reported by the


device within the event log. Severity can also
be automatically adjusted by the SIEM based on the rule, rule logic or rule
customization. Some SIEMS also provide the
means to convey the impact of an incident to IT and business services.
SIEM alert will provide the underlying event

triggers that can be used to understand and further investigate a given


incident. In addition, SIEMs possess different
event

consolidation, alert generation, alert suppression


management capabilities to facilitate incident

and

case

response.

Referencias
AlienVault. (2010). AlienVault Installation Guide.
Ediciones CODA. (Septiembre 2012). Del SIEM al BIG DATA de seguridad.
Revista SIC Seguridad en Informtica y Comunicaciones.
SANS Institute InfoSec Reading Room. (23 de Diciembre de 2006). A
practical application of SIM/SEM/SIEM Automating Theat Identification.