Manual de Registro de equipos

Linux-Centos y Windows en el
SIEM
 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

1 Tabla de contenido

1. OBJETIVO............................................................................................................................................... 5
2. ALCANCE ............................................................................................................................................... 5
3. DEFINICIONES........................................................................................................................................ 5
4. REQUERIMIENTOS TÉCNICOS................................................................................................................ 5
5. REQUERIMIENTOS DE SOFTWARE ........................................................................................................ 5
6. CONDICIONES DE USO .......................................................................................................................... 5
7. GUIA DE USUARIO ................................................................................................................................. 5
7.1. Ingreso a la consola de administración del ESM. .............................................................................. 5
7.2. Configuración en el Sistema de logs y Correlación de Eventos-SIEM ............................................... 7
7.3. Creación de un nuevo “Data Source” para registrar un dispositivo en el SIEM. .............................. 7
7.4. Registro de un servidor Linux-Centos. .............................................................................................. 9
7.4.1. Registro del “Data Source” para Linux-Centos. ............................................................................ 9
7.4.2. Configuración en el servidor Linux.............................................................................................. 10
7.4.3. Verificar el envío y recepción de logs. ........................................................................................ 13
7.5. Registro de un servidor Windows ................................................................................................... 14
7.5.1. Registro del “Data Source” para Windows. ................................................................................ 14
7.5.2. Configuración de reglas del firewall en el servidor Windows..................................................... 16
7.5.3. Comprobar conexión satisfactoria, en el envío y recepción de logs. ......................................... 20
Referencias.
 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

NIVELES DE RESPONSABILIDAD

Actividad Nombre Cargo Firma Fecha

Ing. Juan Carlos Proaño Especialista TICs 3
Elaboración 29/07/2020
Ing. Patricio Guerrero Especialista TICs 3

Revisión Ing. Liliana Córdova Especialista TICs 3

Director de Gestión
Aprobación Ing. Juan Pablo Ponce de la Información y
Procesos
 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

CONTROL DE CAMBIOS

Razones del
Versión Realizado por Firma Fecha
Cambio
Ing. Juan Carlos Proaño
1.0 Inicial Ing. Patricio Guerrero 29/07/2020
 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

1. OBJETIVO
Presentar una guía para el registro de equipos con sistema operativo Linux-Centos y Windows en el
Sistema Institucional SIEM.

2. ALCANCE
El presente documento se aplicará en la Escuela Politécnica Nacional, el servicio prestado es destinado
para gestionar el registro de nuevos equipos en el SIEM con sistema operativo Linux-Centos.

3. DEFINICIONES
• CSIRT-EPN: Centro de Respuestas a Incidentes de seguridad Informática.
• OSI: Oficial de seguridad informática
• Software: Programas de computadora (que se almacenan y se ejecutan en el hardware de la
computadora) y datos asociados (que también se almacenan en el hardware) que se pueden
escribir o modificar dinámicamente durante la ejecución.
• ESM: Enterprise Security Manager (Administrador de Seguridad)
• ELM: Enterprise Log Manager (Administrador de Logs)
• SIEM: Gestiòn de Eventos e Información de Seguridad.
• VPN: Virtual Private Network (Red Privada virtual)

4. REQUERIMIENTOS TÉCNICOS
Se requiere acceso al servidor SIEM.

5. REQUERIMIENTOS DE SOFTWARE
En el área de la red Institucional de la E.P.N se requiere acceso al ESM a través de un explorador web
y para acceso desde fuera de la red Institucional de la EPN, es necesario acceder previamente a la
VPN-EPN.

6. CONDICIONES DE USO
El uso está limitado solamente a un OSI del CSIRT-EPN.

7. GUIA DE USUARIO

7.1. Ingreso a la consola de administración del ESM.

En un explorador web, digitar la UR: https://siem.epn.edu.ec.

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

Imagen No.1. Credenciales de acceso al ESM.

Las credenciales de acceso se encuentran en la bitácora del CSIRT /INFRAESTRUTURA hoja de Excel
/Bitacora_Servidores_CSIRT.

Considerar, que la versión actual de la consola de administración del SIEM, requiere para su operación
habilitar Flash Player.

La versión del ESM es: McAfee ESM Version 11.3.0 Build 20191109004423 Machine ID: FF6E:E8AE.

Imagen No.2 Consola de Administración del ESM.

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

7.2. Configuración en el Sistema de logs y Correlación de Eventos-SIEM

La operación del registro de un nuevo dispositvo en el SIEM, debe ser coordinada entre un OSI del CSIRT-
EPN y el usuario que gestiona el equipo. El registro requiere de la configuración tanto el SIEM como en el
dispositivo a registrar.

7.3. Creación de un nuevo “Data Source” para registrar un dispositivo

en el SIEM.

Los “Data Source” (fuentes de datos) se asocian con cada dispositivo registrado en el ELM y es donde se
configura los diferentes parámetros de conexión para la recepción de logs en el SIEM desde el nuevo
dispositivo.

El OSI, dentro de la consola de operación del ESM debe seguir el siguiente procedimiento:

1. Clic en botón para desplegar el Menu principal.

Imagen No.3 Menú principal ESM.

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

2. En el área de Investigation Tools, seleccionar la opción ELM Search.

3. Seleccionar vista de Physical Display.

Imagen No.4. Añadir un nuevo “data source”

4. Clic en Local Receiver ELM.

5. Clic en el icono con el signo de “+”, para añadir un nuevo “Data source” para un dispositivo.

Imagen No.5. Ventana “Add Data Source”

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

En este punto, se deben registrar los parámetros de conexión dependiendo si es un servidor Windows o
Linux-Centos.

7.4. Registro de un servidor Linux-Centos.

Para el registro de un servidor Linux-Centos, de forma general se debe considerar:

• Registro del “Data Source” para Linux-Centos.

• Configuración en el Servidor Linux.
• Verificar el envío y recepción de logs.

7.4.1. Registro del “Data Source” para Linux-Centos.

1. En la ventana “Add Data Source”, se deben registrar los parámetros de conexión. A continuación
se muestra un ejemplo de un “Data Source” para un servidor Linux-Centos.

Imagen No.6. Registrar Data Source Linux/Unix

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

Los valores que se deben registrar son:

• Data source vendor: UNIX

• Data source Model: Linux
• Data Format: Default
• Dara Retrieval: SYSLOG (Default)
• Enabled: marcar Parsing y ELM
• Name: nombre del dispositivo dentro del SIEM
• IP Address: dirección IP del nuevo dispositivo a registrar
• Host Name: nombre del dispositivo en el DNS
• Mask: se coloca el número de bits que indica que se trata de un host, se coloca 32 bis que
corresponde a la IP de un Host.
• Port: 514 (por default)
• Dejar los demás campos, con los valores que se muestran automáticamente.

2. Con los parámteros establecidos, clic en botón “OK”, para grabar “Data Source”. Se muestra una
ventana de mensaje para actualizar la nueva configuración en el ELM, dar clic en “YES”.

Imagen No.7. Actualizar la nueva configuración del “Data source”

3. Finalmente, se muestra una nueva ventana de mensaje en la que indica que el nuevo “Data
Source” ha sido creado y registrado, clic en botón Close.

7.4.2. Configuración en el servidor Linux.

1. Acceda al servidor Linux a través de un cliente SSH o vía consola.
2. Acceda como root.
3. Realizar una copia del archivo /etc/rsyslog.conf.

o Aplicar comando: cp /etc/rsyslog.conf /etc/rsyslog.conf.original

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

Imagen No.8. Respaldar archivo rsyslog.conf.

4. Editar el archivo: /etc/rsyslog.conf (Editor vi o vim)

5. Añadir al final del archivo, las siguientes líneas:

o *.* @172.31.4.108
o *.* @@172.31.4.108

Observación: Debe existir un espacio luego de *.*, y el símbolo de @, seguido de la dirección IP

del servidor SIEM, sin dejar ningún espacio. En este caso la IP:172.31.4.108 corresponde al
Sistema SIEM que recibe los logs del equipo.

Imagen No.9. Modificar archivo “rsyslog.conf”

6. Comprobar si el puerto 514 para transmisión de Logs está abierto, imagen No.10

• Aplicar comando: firewall -cmd --list-all

Imagen No.10. Comprobar puerto 514 abierto

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

• En la imagen No.10, se puede observar que únicamente están abiertos los puertos 80 y 443.
Para habilitar el puerto 514, se debe ejecutar los comandos:

• firewall-cmd --zone=public --add-port=514/tcp –permanent

Imagen No.11. Habilitar Puerto 514.

7. Reiniciar el servicio de firewall y nuevamente listar los puertos habilitados en donde ya se presente
el puerto 514.

Imagen No.12. Verificar puerto 514 habilitado.

8. Reinicialice el servicio “rsyslog”, aplicar comandos:

• systemctl restart rsyslog (para Centos 7, 8)

• /etc/init.d/rsyslog restart ó service rsyslog restart (para Centos 6)

Imagen No.13. Reiniciar servicio “rsyslog”

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

• Verificar puerto 514, aplicar comando:

• netstat -an | grep 514

Imagen No.14. Operación Puerto 514.

7.4.3. Verificar el envío y recepción de logs.

1. Desde el lado del servidor Linux-Centos, aplicar el comando:
• tcpdump -i eth0 source 172.31.4.108

Imagen No.15. Verificar envío de paquetes al servidor SIEM.

• Desde el ESM, se verifica que el equipo Linux incluido en el SIEM, ya registra logs.

Imagen No.16. Verificación de eventos en el ESM.

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

7.5. Registro de un servidor Windows

Para el registro de un servidor Windows, se debe considerar:

• Registro del “Data Source” para Windows.

• Configuración de reglas del firewall en el servidor Windows, para el caso de tenerlo activo.
• Comprobar conexión satisfactoria, en el envío y recepción de logs.

7.5.1. Registro del “Data Source” para Windows.

4. En la ventana “Add Data Source”, se deben registrar los parámetros de conexión. A continuación,
se muestra un ejemplo de un “Data Source” para un servidor Windows.

Imagen No.17. Ejemplo Data Source para equipos Windows

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

Los valores que se deben registrar son:

• Data source vendor: Microsoft

• Data source Model: Windows Event Log -WMI
• Data Format: Default
• Dara Retrieval: WMI (Default)
• Enabled: marcar Parsing y ELM
• Name: nombre del dispositivo dentro del SIEM
• IP Address: dirección IP del nuevo dispositivo a registrar
• Host Name: nombre del dispositivo en el DNS
• Username y Password ,para estos campos, se requiere las credenciales del usuario
Administrador del equipo Windows. Por esta razón, es necesario que el OSI coordine con el
usuario que gestiona el equipo Windows una sesión de trabajo en la aplicación Teams, para
que se encargue de digitar directamente las credenciales del servidor bajo esta aplicación.
• Get Logs (Registros de eventos), de forma predeterminada, el receptor recopilará registros
de seguridad, administración y eventos. Es posible ingresar directamente en el campo, otros
archivos de registro de logs, como Directory Service o Exchange si el servidor Windows ejecuta
esos servicios. Si se ingresan registros adicionales, asegúrese de que no haya espacios entre
los nombres de registro.

• También puede seleccionar de la lista de default, solo aquellos registros que usted considera
necesarios.

Imagen No.18. Selección de eventos para registro de Logs.

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

o El campo Interval (intervalo), determina la frecuencia con la que el receptor de logs

comprobará registros de Windows para nuevos eventos. Generalmente, 10 minutos es
una buena regla general para servidores Windows

7.5.2. Configuración de reglas del firewall en el servidor Windows

Se pueden presentar los siguientes casos:

a) Si el firewall del equipo Windows no está habilitado

En este caso, es posible pasar directamente a comprobar una conexión satisfactoria, en el
envío y recepción de logs, ya que las reglas del firewall no están activas. De ser el caso
podemos continuar en el numeral 1.1.3.

b) Firewall del equipo Windows habilitado.

En este caso, es necesario realizar una verificación conjunta, entre el OSI y el usuario que
gestiona el equipo, de las reglas salientes y entrantes del firewall del servidor Windows, para
que el servicio WMI pueda transferir los logs al servidor SIEM.

Desde el servidor Windows activar la consola de Windows Defense Firewall y revisar las reglas
del firewall para habilitar el servicio WMI. Cada servidor Windows. puede constituir un caso
particular dependiendo de la versión del sistema y su configuración. Se debe estar atento en
no afectar otras reglas ya establecidas en el firewall.

En la consola de Windows Defense Firewall, tanto en las “Reglas de Entrada” como en las
“Reglas de Salida”, dentro de las “Acciones” seleccionar “Filtrar por grupo”.

Como ejemplo se muestra la selección para las “Reglas de Entrada”.

Imagen No.19. Filtro de reglas de entrada en el firewall de Windows.

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

y en la lista seleccionar “Filtrar por Instrumental de administración de Windows (WMI).

Imagen No.20. Filtro regla Instrumental de administración WMI

Se muestran las reglas filtradas de las “Reglas de Entrada”, y en las mismas es necesario el
trabajo conjunto para la revisión y configuración para habilitar DCOM y WMI.

Imagen No.21. Reglas de entrada para DCOM y WMI

El mismo procedimiento se debe seguir para las “Reglas de Salida”, y al final se muestran las
siguientes reglas:

Imagen No.22. Reglas de Salida firewall de Windows

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

Ejecutar comando “wmimgmt.msc”, para acceder a la “Consola WMI (Local)”, para

realizar acciones adicionales. Seleccionar “Control WMI(Local)“, dar clic derecho y
seleccionar “Propiedades”.

Imagen No.23. Consola WMI (local)

Seleccionar pestaña de Seguridad y luego WMI , y dar clic en el botón “Seguridad”, se

muestra la ventana “Seguridad para Root” y habilitar los permisos necesarios.

Imagen No.24. Reglas

Para probar que el servicio WMI en Windows se encuentre activo, podemos aplicar desde la
ventana de comandos de windows “cmd”, los comandos:
 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

o >net user administrator /active:yes

o >wbemtest

Imagen No.25. Comandos CMD para probar servicio WMI

Si el servicio WMI está funcionando correctamente, aparece la ventana “Herramientas de

comprobación del instrumental de administración de Windows”, donde podemos comprobar que
el servicio WMI está operativo.

Imagen No.26. Herramientas de comprobación del instrumental

de administración de Windows
 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

• Comprobar conexión satisfactoria, en el envío y recepción de logs.

7.5.3. Comprobar conexión satisfactoria, en el envío y recepción de

logs.

1. Para probar la conexión desde el SIEM al equipo Windows, se debe dar click en el botón
“Connect” y enseguida aparece una ventana con el mensaje “WMI Event Log test conecction
successful”, de esta manera la conexión es satisfactoria y el SIEM recibirá los logs del equipo
Windows.

Imagen No.27. Probar conexión del Data Source

2. Para grabar toda la configuración del “Data Source”, click en el botón “OK”, y se muestra una
ventana de mensaje para actualizar la nueva configuración en el ELM, dar click en “YES”.

Imagen No.28. Actualizar la nueva configuración del “Data source”

 Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023

3. Finalmente, se muestra una nueva ventana de mensaje en la que indica que el nuevo “Data
Source” ha sido creado y registrado, click en el botón Close.
4. Los eventos registrados pueden ser visualizados en la Consola del ESM.

.Referencias

• Mcafee- Biblioteca de Recursos

https://www.mcafee.com/enterprise/es-es/search.html?q=Siem

• Monitorear y administrar Windows con WMI

https://axence.net/help/nVision/es/index.html?req_monitoring_and_managing_window.htm

• ¿Qué permisos / derechos necesita un usuario para tener acceso WMI en máquinas remotas?
https://www.enmimaquinafunciona.com/pregunta/1809/que-permisos-y-derechos-un-usuario-
necesita-tener-acceso-wmi-en-maquinas-remotas

• ¿Qué permisos / derechos necesita un usuario para tener acceso WMI en máquinas remotas?
https://www.it-swarm.dev/es/windows/que-permisos-derechos-necesita-un-usuario-para-
tener-acceso-wmi-en-maquinas-remotas/957079652/