Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Linux-Centos y Windows en el
SIEM
Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023
1 Tabla de contenido
1. OBJETIVO............................................................................................................................................... 5
2. ALCANCE ............................................................................................................................................... 5
3. DEFINICIONES........................................................................................................................................ 5
4. REQUERIMIENTOS TÉCNICOS................................................................................................................ 5
5. REQUERIMIENTOS DE SOFTWARE ........................................................................................................ 5
6. CONDICIONES DE USO .......................................................................................................................... 5
7. GUIA DE USUARIO ................................................................................................................................. 5
7.1. Ingreso a la consola de administración del ESM. .............................................................................. 5
7.2. Configuración en el Sistema de logs y Correlación de Eventos-SIEM ............................................... 7
7.3. Creación de un nuevo “Data Source” para registrar un dispositivo en el SIEM. .............................. 7
7.4. Registro de un servidor Linux-Centos. .............................................................................................. 9
7.4.1. Registro del “Data Source” para Linux-Centos. ............................................................................ 9
7.4.2. Configuración en el servidor Linux.............................................................................................. 10
7.4.3. Verificar el envío y recepción de logs. ........................................................................................ 13
7.5. Registro de un servidor Windows ................................................................................................... 14
7.5.1. Registro del “Data Source” para Windows. ................................................................................ 14
7.5.2. Configuración de reglas del firewall en el servidor Windows..................................................... 16
7.5.3. Comprobar conexión satisfactoria, en el envío y recepción de logs. ......................................... 20
Referencias.
Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023
NIVELES DE RESPONSABILIDAD
Director de Gestión
Aprobación Ing. Juan Pablo Ponce de la Información y
Procesos
Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023
CONTROL DE CAMBIOS
Razones del
Versión Realizado por Firma Fecha
Cambio
Ing. Juan Carlos Proaño
1.0 Inicial Ing. Patricio Guerrero 29/07/2020
Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023
1. OBJETIVO
Presentar una guía para el registro de equipos con sistema operativo Linux-Centos y Windows en el
Sistema Institucional SIEM.
2. ALCANCE
El presente documento se aplicará en la Escuela Politécnica Nacional, el servicio prestado es destinado
para gestionar el registro de nuevos equipos en el SIEM con sistema operativo Linux-Centos.
3. DEFINICIONES
• CSIRT-EPN: Centro de Respuestas a Incidentes de seguridad Informática.
• OSI: Oficial de seguridad informática
• Software: Programas de computadora (que se almacenan y se ejecutan en el hardware de la
computadora) y datos asociados (que también se almacenan en el hardware) que se pueden
escribir o modificar dinámicamente durante la ejecución.
• ESM: Enterprise Security Manager (Administrador de Seguridad)
• ELM: Enterprise Log Manager (Administrador de Logs)
• SIEM: Gestiòn de Eventos e Información de Seguridad.
• VPN: Virtual Private Network (Red Privada virtual)
4. REQUERIMIENTOS TÉCNICOS
Se requiere acceso al servidor SIEM.
5. REQUERIMIENTOS DE SOFTWARE
En el área de la red Institucional de la E.P.N se requiere acceso al ESM a través de un explorador web
y para acceso desde fuera de la red Institucional de la EPN, es necesario acceder previamente a la
VPN-EPN.
6. CONDICIONES DE USO
El uso está limitado solamente a un OSI del CSIRT-EPN.
7. GUIA DE USUARIO
Las credenciales de acceso se encuentran en la bitácora del CSIRT /INFRAESTRUTURA hoja de Excel
/Bitacora_Servidores_CSIRT.
Considerar, que la versión actual de la consola de administración del SIEM, requiere para su operación
habilitar Flash Player.
La versión del ESM es: McAfee ESM Version 11.3.0 Build 20191109004423 Machine ID: FF6E:E8AE.
Los “Data Source” (fuentes de datos) se asocian con cada dispositivo registrado en el ELM y es donde se
configura los diferentes parámetros de conexión para la recepción de logs en el SIEM desde el nuevo
dispositivo.
El OSI, dentro de la consola de operación del ESM debe seguir el siguiente procedimiento:
5. Clic en el icono con el signo de “+”, para añadir un nuevo “Data source” para un dispositivo.
En este punto, se deben registrar los parámetros de conexión dependiendo si es un servidor Windows o
Linux-Centos.
2. Con los parámteros establecidos, clic en botón “OK”, para grabar “Data Source”. Se muestra una
ventana de mensaje para actualizar la nueva configuración en el ELM, dar clic en “YES”.
3. Finalmente, se muestra una nueva ventana de mensaje en la que indica que el nuevo “Data
Source” ha sido creado y registrado, clic en botón Close.
o *.* @172.31.4.108
o *.* @@172.31.4.108
6. Comprobar si el puerto 514 para transmisión de Logs está abierto, imagen No.10
• En la imagen No.10, se puede observar que únicamente están abiertos los puertos 80 y 443.
Para habilitar el puerto 514, se debe ejecutar los comandos:
7. Reiniciar el servicio de firewall y nuevamente listar los puertos habilitados en donde ya se presente
el puerto 514.
• Desde el ESM, se verifica que el equipo Linux incluido en el SIEM, ya registra logs.
4. En la ventana “Add Data Source”, se deben registrar los parámetros de conexión. A continuación,
se muestra un ejemplo de un “Data Source” para un servidor Windows.
• También puede seleccionar de la lista de default, solo aquellos registros que usted considera
necesarios.
Desde el servidor Windows activar la consola de Windows Defense Firewall y revisar las reglas
del firewall para habilitar el servicio WMI. Cada servidor Windows. puede constituir un caso
particular dependiendo de la versión del sistema y su configuración. Se debe estar atento en
no afectar otras reglas ya establecidas en el firewall.
En la consola de Windows Defense Firewall, tanto en las “Reglas de Entrada” como en las
“Reglas de Salida”, dentro de las “Acciones” seleccionar “Filtrar por grupo”.
Se muestran las reglas filtradas de las “Reglas de Entrada”, y en las mismas es necesario el
trabajo conjunto para la revisión y configuración para habilitar DCOM y WMI.
El mismo procedimiento se debe seguir para las “Reglas de Salida”, y al final se muestran las
siguientes reglas:
Para probar que el servicio WMI en Windows se encuentre activo, podemos aplicar desde la
ventana de comandos de windows “cmd”, los comandos:
Código: EPN-DGIP-CSIRT-MU-01
Versión:001
MANUAL DE USUARIO Elaborado: 15/05/2020
Vigencia: 31/12/2023
1. Para probar la conexión desde el SIEM al equipo Windows, se debe dar click en el botón
“Connect” y enseguida aparece una ventana con el mensaje “WMI Event Log test conecction
successful”, de esta manera la conexión es satisfactoria y el SIEM recibirá los logs del equipo
Windows.
2. Para grabar toda la configuración del “Data Source”, click en el botón “OK”, y se muestra una
ventana de mensaje para actualizar la nueva configuración en el ELM, dar click en “YES”.
3. Finalmente, se muestra una nueva ventana de mensaje en la que indica que el nuevo “Data
Source” ha sido creado y registrado, click en el botón Close.
4. Los eventos registrados pueden ser visualizados en la Consola del ESM.
.Referencias
• ¿Qué permisos / derechos necesita un usuario para tener acceso WMI en máquinas remotas?
https://www.enmimaquinafunciona.com/pregunta/1809/que-permisos-y-derechos-un-usuario-
necesita-tener-acceso-wmi-en-maquinas-remotas
• ¿Qué permisos / derechos necesita un usuario para tener acceso WMI en máquinas remotas?
https://www.it-swarm.dev/es/windows/que-permisos-derechos-necesita-un-usuario-para-
tener-acceso-wmi-en-maquinas-remotas/957079652/