Integrando Cisco Sourcefire Defence Center a Prelude SIEM
Integrando Cisco Sourcefire Defence Center a Prelude SIEM
En esta publicación veremos como en unos simples pasos podemos intergar la reciente solución de detección de intrusos adquirida por Cisco basada en Snort: Sourcefire. Para esto enviaremos los eventos desde la consola Defence Center de Sourcefire mediante Syslog a la consola Prelude donde tenemos instalado el SIM de Prelude: Prelude-lml. Este proceso lee archivos syslog según un formato definido en el archivo de configuración prelude-lml.conf, para así obtener la fecha y hora, nombre del dispositivo que reportó el evento, o número de proceso, etc.
Una vez que procesa los mensajes que llegan al syslog, busca una coincidencia mediante una expresión regular definida en el archivo ruleset/pcre.rules. Encontrada una coincidencia, el mensaje será analizado contra expresiones regulares definidas para este tipo de mensajes syslog, y así dar forma a una alerta que será procesada por Prelude-Manager.
Integrando Snort a Prelude SIEM (debian/ubuntu)
Integrando Snort a Prelude SIEM (debian/ubuntu)
La versión de Snort 2.9.1.2 es la última versión de Snort que podemos compilar con la opción “–enable-prelude”, con el fin de habilitar el plugin que integra nativamente Snort a Prelude-Manager. En esta publicación mostraremos como integrar las siguientes versiónes de Snort a Prelude-Manager utilizando el plugin de syslog y csv de Snort para que la herramienta SIM de prelude, Prelude-lml, pueda analizar dichos archivos y enviar los eventos a Prelude-Manager.
1) Instalar Snort
2) Configurar Snort
3) Instalar Prelude-lml
4) Configurar Prelude-lml
5) Configurar Snort para que actualice las reglas automáticamente
Integrando Dispositivos de Red a Prelude SIEM
Integrando Dispositivos de Red a Prelude SIEM
En esta publicación veremos un resumen sobre como debemos agregar un nuevo dispositivo de red a Prelude.
Prelude utiliza el agente Prelude-LML para recibir eventos. Este proceso lee archivos syslog según un formato definido en el archivo de configuración prelude-lml.conf, para así obtener la fecha y hora, nombre del dispositivo que reportó el evento, o número de proceso, etc.
Una vez que lee los mensajes que llegan al syslog, se procede a buscar una coincidencia mediante una expresión regular definida en el archivo ruleset/pcre.rules. Encontrada una coincidencia, el mensaje será analizado contra expresiones regulares definidas para este tipo de mensajes syslog y determinar si es necesario generar una alerta. Ej. de esta forma los mensajes que correspondan a un firewall cisco serán analizados con las reglas defindas en ruleset/cisco-asa.rules.
Índice
1.1 – Definir un nuevo formato Syslog.
2.1 – Definir nuevas reglas en pcre.rules.
3.1 – Crear nuevas reglas para generar alertas.
4.1 – Ejemplo Cisco ASA
5.1 – Ejemplo Fortigate
6.1 – Ejemplo IBM DataPower xG45
Actualizando Prelude SIEM
Actualización de Prelude SIEM
Agregando el repositorio de Prelude:
Prelude SIEM ha agregado el soporte para RedHat RHEL6 instalando el paquete “prelude-ids-rhel-2-1.noarch.rpm”:
– Ingresamos a la siguiente URL y descargamos el paquete mencionado: https://www.prelude-ids.org/projects/prelude/files
– rpm -ivh prelude-ids-rhel-2-1.noarch.rpm
Esto no agregará el repositorio de Prleude para RHEL y CentOS, para poder actualizar los paquetes de Prelude mediante YUM.
Actualización Manual:
Prelude SIEM en RedHat RHEL
Instalando Prelude SIEM en RedHat RHEL
En internet hay varios ejemplos de como llevar a cabo la instalación de Prelude y sus plug-in. Este es solo un ejemplo más en el cual se muestra una instalación completa de Prelude. En este ejemplo se asume que ya se encuentra configurado y colectando información el proceso Syslog-ng o rSyslog, y SNMPtrapd (más adelante publicaremos posts para indicar como configurar el servicio syslog, y snmptrapd).
.
Indice
.
1.1 Preparamos el Sistema Op. en el que instalaremos Prelude
1.2 Descargamos Prelude
1.3 Instalamos Prelude
1.4 Configurar Mysql
1.5 Configuramos Prewikka
1.6 Configuración de Prelude-Manager
1.7 Configuración de Prelude-lml
1.8 Configuración de Prelude-Correlator
2.1 Finalizando la Instalación
Continue Reading
