Sitio para la difusión de conocimiento informático. 

Twitter RSS

Integrando Cisco Sourcefire Defence Center a Prelude SIEM

Integrando Cisco Sourcefire Defence Center a Prelude SIEM

En esta publicación veremos como en unos simples pasos podemos intergar la reciente solución de detección de intrusos adquirida por Cisco basada en Snort: Sourcefire. Para esto enviaremos los eventos desde la consola Defence Center de Sourcefire mediante Syslog a la consola Prelude donde tenemos instalado el SIM de Prelude: Prelude-lml. Este proceso lee archivos syslog según un formato definido en el archivo de configuración prelude-lml.conf, para así obtener la fecha y hora, nombre del dispositivo que reportó el evento, o número de proceso, etc.
Una vez que procesa los mensajes que llegan al syslog, busca una coincidencia mediante una expresión regular definida en el archivo ruleset/pcre.rules. Encontrada una coincidencia, el mensaje será analizado contra expresiones regulares definidas para este tipo de mensajes syslog, y así dar forma a una alerta que será procesada por Prelude-Manager.

 

1) Para esto debemos configurar la consola Defence Center para enviar las alertas mediante Syslog al SIM prelude-lml:

– Vamos a “Policies -> Intrusion -> Intrusion Policy” y editamos nuestra política de intrución activa. Dentro de nuestra política  veremos la opción “Advanced Settings -> Syslog Alerting”, done configuraremos la dirección de prelude-lml en “Logging Hosts”, Facility “Local7”, y Priority “INFO”. Luego guardamos los cambios y aplicamos la política.

– Vamos a “Health -> Health Monitor Alerts”, y configuramos una nueva. Seleccionamos todas las severidades, seleccionamos los módulos: CPU Usage, Card Reset, Disk Usage, Disk Status, Hardware Alarms, Health Monitor Process, License Monitor, Memory, Usage, Power Supply, y Process Status; y finalmente seleccionamos nuestro Prelude-lml como nuestro destino Syslog de alertas. Si no tenemos uno creado debemos crearlo en “Policies -> Actions -> Alerts”, y agregar el Syslog de Prelude-lml.

 

2) Configuramos nuestro syslog para recibir los mensajes de la consola Defence Center:

– Seguramente utilicemos rsyslog como nuestro servidor de syslog donde tenemos instalado Prelude-lml. Agregamos lo siguiente a nuestro archivo de configuración de rsyslog:
if $rawmsg contains ‘SourceFire’ or $rawmsg contains ‘Sourcefire3D’ or $rawmsg contains ‘SFIMS’ then /var/log/sourcefire.log
&       ~

 

3) Confiugramos Prelude-lml para procesar los mensajes de la consola Defence Center:

– Editamos el archivo de configuración de Prelude-lml /etc/prelude-lml/prelude-lml.conf, y agregamos el formato de Sourcefire:
[format=sourcefire]
time-format = “%b %d %H:%M:%S”
prefix-regex = “^(?P<timestamp>.{15}) (?P<hostname>\S+)”
file = /var/log/sourcefire.log

– Editamos el archvo de configuración de las reglas /etc/prelude-lml/rules/pcre.rules, y agregamos los archivos correspondientes a las reglas de Sourcefire:
regex=(SourceFire|SFIMS|HMNOTIFY)+:; include = cisco-sourcefire.rules;

– Descargamos las reglas de Sourcefire desde aquí:
cd /etc/prelude-lml/rules/
wget http://www.seguridadx.com/archivos/cisco-sourcefire.rules

 

4) Reiniciamos prelude-lml para comenzar a ver eventos de Sourcefire:
/etc/init.d/prelude-lml stop
/etc/init.d/prelude-lml start

 

Vamos a estar recibiendo eventos de Sourcefire en nuestra consola ni bien comiencen a llegar eventos al syslog.

 
Home Linux OS Prelude SIEM Integrando Cisco Sourcefire Defence Center a Prelude SIEM