Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Deber Teccion Intrusos Maquina
Deber Teccion Intrusos Maquina
Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
clara y útil para la toma de decisiones.
Funcionalidades Splunk
Las búsquedas de correlación
personalizadas y listas ayudan a
encontrar amenazas, determinar la
postura de seguridad y el cumplimiento
a través del monitoreo de seguridad
continuo de entidades críticas.
Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
clara y útil para la toma de decisiones.
Funcionalidades Splunk
Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
clara y útil para la toma de decisiones.
Funcionalidades Splunk
Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
clara y útil para la toma de decisiones.
Funcionalidades Splunk
Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
clara y útil para la toma de decisiones.
Funcionalidades Splunk
Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
clara y útil para la toma de decisiones.
Funcionalidades Splunk
Automatización de
acciones en una variedad
de herramientas de
seguridad.
Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
clara y útil para la toma de decisiones.
Funcionalidades Splunk
Identifica actividad
fraudulenta
Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
clara y útil para la toma de decisiones.
Arquitectura Splunk
Arquitectura Splunk
Recursos Mínimos Splunk
Nota: Todo depende del uso que se le de, puede ser incluso mucho menos.
Ventajas de usar Splunk
Dentro de los beneficios que provee Splunk se encuentran:
✗ Rápida y fácil implementación.
✗ Solución con capacidad del manejo de big data (manejo de volúmenes elevados de información,
variedad, variabilidad y velocidad.
✗ Creación de reglas o correlación de búsquedas para la investigación de forense.
✗ Soporte a ambientes híbridos (en sitio o en la nube).
✗ Soporte nativo para: XML, JSON, Syslog, WMI, Files, Structured Data, Unstructured Data, identificación
automática de información.
✗ Soporte a SDKs y APIs.
✗ Capacidad de envío de scripts de forma nativa.
Desventajas de usar Splunk
Dentro de los beneficios que provee Splunk se encuentran:
✗ Se necesita un servidor potente.
✗ La configuración de alarmas en tiempo real sobrecargan el servidor.
✗ Ofrece vistas de los usuarios, todos pueden ver todo.
✗ Es de Pago.
Forma de Instalación Splunk
Tripwire es un programa de computador basado en Open Source consistente en una herramienta de seguridad e
integridad de datos.
Que hace Tripwire
Funciona cotejando la firma digital de archivos y directorios contra una base de datos de los mismos en
un instante previo.
1. En otras distribuciones diferentes de Debian, descargue la versión open source de Tripwire del site
www.tripwire.org.
2. En Ubuntu y Distribuciones basadas en Debian 6 o superior:
sudo apt update
sudo apt install tripwire
Antes de Usar Tripwire
Otras características:
Ventajas:
1. Métodos mas precisos (mitiga la posibilidad falsos positivos)
2. Registra actividades, no patrones de comportamiento.
3. Menos ajustes, con una configuración mínima se pueden lograr grandes cosas a nivel de
protección, menor posibilidad de truncaciones.
Inconvenientes:
1. Mantenimiento muy complejo
2. Alerta tras ataque (no predice, mas bine avisa del problema que YA existe.)
3. Consume mas memoria frente a otros IDS.
Comparativa de Rendimiento
TRIPWIRE OSSEC
Cantidad de memoria
326.38 MB 227.45MB
consumida
OSSEC
OSSEC es un proyecto open source de gestión de Logs, que monitoriza una máquina, y que detecta las
anomalías que puedan producirse en ella. Para hacer esto utiliza herramientas para la detección de rootkits,
para revisar la integridad de ficheros y ejecutables del sistema, y por último un potente sistema para analizar
logs.
Arquitectura
Esta basado en un modelo de cliente-servidor, con lo cual tendremos un servidor centralizado que se
encarga de recibir y actuar en base a la información que reciba de los agentes que, en definitiva, son
las máquinas que están siendo monitorizadas y atacadas. La forma de actuar del servidor es, por
una parte, enviando notificaciones, y por otro lado, si así se configura, generando reglas firewall que
se ejecutarán en los propios agentes.
Arquitectura
Funciona en la mayoría de sistemas operativos, incluyendo Linux, OpenBSD, FreeBSD, MacOS, Solaris
y Windows.
Instalación
# Server
sudo apt-get install ossec-hids-server
# Agent
sudo apt-get install ossec-hids-agent
Ventajas de usar OSSEC
1. Cumplimiento de Requisitos: ayuda a los clientes satisfacer las necesidades específicas de
cumplimiento que permite a los clientes detectar y alertar sobre las modificaciones no autorizadas
del sistema de archivos y comportamientos maliciosos incrustados en los archivos de registro de
productos COTS, así como aplicaciones personalizadas.
2. Multiplataforma: permite a los clientes implementar una serie completa base del sistema de
detección de intrusos a través de múltiples plataformas, como Linux, Solaris, AIX, HP-UX, BSD,
Windows, Mac y VMware ESX.
3. Alertas en tiempo real y configurable: permite a los clientes configurar los incidentes que se desea
recibir una alerta en la que les permite centrarse en el aumento de la prioridad de los incidentes
críticos sobre el ruido normal en cualquier sistema. Integración con el SMTP, SMS y syslog permite a
los clientes a estar en la cima de alertas mediante el envío de estos a correo
electrónico y dispositivos portátiles como teléfonos celulares y buscapersonas.
4. Gestión centralizada: proporciona un servidor simplificado de gestión centralizada para administrar
las políticas en múltiples sistemas operativos.
5. Agente y la supervisión sin agente: ofrece la flexibilidad de control basado en agentes y sin
agentes de los sistemas y componentes de red tales como routers y firewalls.
AIDE IDS
● Algoritmos de resumen de mensajes compatibles: md5, sha1, rmd160, tiger, crc32, sha256,
sha512, whirlpool (además con libmhash: gost, haval, crc32b)
● atributos de archivo admitidos: tipo de archivo, permisos, Inode, Uid, Gid, nombre del enlace,
tamaño, número de bloques, número de enlaces, Mtime, Ctime y Atime
● soporte para Posix ACL, SELinux, XAttrs y atributos extendidos del sistema de archivos si el
soporte está compilado en archivos de configuración de texto sin formato y base de datos
para simplificar
● potente compatibilidad con expresiones regulares para incluir o excluir de forma selectiva
archivos y directorios a supervisar
● Compresión de base de datos gzip si el soporte de zlib está compilado en binario estático
independiente para configuraciones sencillas de monitoreo cliente / servidor y muchos más.
SAMHAIN
Samhain es una aplicación multiplataforma de código abierto para sistemas POSIX (Unix, Linux,
Cygwin / Windows).
Características SAMHAIN
Samhain ha sido diseñado para monitorear múltiples hosts con sistemas operativos potencialmente
diferentes, proporcionando registro y mantenimiento centralizados , aunque también se puede usar
como aplicación independiente en un solo host.
✗ CONSOLA DE GESTIÓN BASADA EN WEB.- La consola Beltane basada en la web , disponible como
paquete separado, permite monitorear la actividad del servidor y del cliente, ver informes de los
clientes y actualizar las bases de datos de referencia.
✗ REGISTRO FLEXIBLE.- Samhain admite múltiples funciones de registro, cada una de las cuales se
puede configurar individualmente.
Linux x x x x
Windows
MACOS
Multiplataforma x x
Compara firma de los archivos x x x x
Cliente servidor x x x
Detección en tiempo real x x x
UniAgent x
Cumplimiento normativo x x
Comprueba integridad de los archivos x x x x
Gestión de logs x x x
Supervisión sin agente x x
Gestiona expresiones regulares x x x
Monitoreo centralizado x x x x x
Gestión basada en la web x x x x
Open Source x x x
Fuentes bibliográficas
✗ https://es.slideshare.net/CSUC_info/1506-tecniris-splunk
✗ https://www.incibe.es/protege-tu-empresa/catalogo-de-ciberseguridad/listado-soluciones/splunk-0
✗ https://medium.com/@Inuki/splunk-b%C3%A1sico-setup-ad18e96ed49
✗ https://core.ac.uk/download/pdf/29404111.pdf
✗ https://aide.github.io/
✗ https://www.ecured.cu/Ossec#/media/File:Ossec-archit.jpg
✗ https://www.ossec.net/downloads/
✗ https://www.dragonjar.org/ossec.xhtml
✗ https://obsbusiness.school/es/blog-investigacion/propiedad-intelectual-y-seguridad-de-la-informacion/10-
amenazas-informaticas-en-el-punto-de-mira
✗ download/una-fuente-de-informacion-que-proporciona-eventos-del-sistema-o-red-informatica
✗ https://dgonzalez.net/papers/ids/html/cap06
✗ http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/9019/T005.8%20R618.pdf?
sequence=1&isAllowed=y
✗ https://es.slideshare.net/rcarhuatocto/ids-v12
✗ https://www.tripwire.com/
✗ https://es.linux-console.net/?p=436
✗ www.tripwire.org.
✗ https://www.tripwire.com/state-of-security/spanish/que-es-fim-monitoreo-de-integridad-de-archivos/