Eines

Eines #

Observació #

  • Monitoritzar la xarxa per identificar l'ús anomal

SIEM: Log Analysis, Log Management #

Definició #

  • "Wikipedia"

    En el camp de la seguretat informàtica, la informació de seguretat i la gestió d'esdeveniments (SIEM) són productes i serveis de programari que combinen la gestió de la informació de seguretat (SIM) amb la gestió d'esdeveniments de seguretat (SEM). Aquests productes i serveis proporcionen anàlisis en temps real de les alertes de seguretat generades per aplicacions i maquinari de xarxa. Els proveïdors venen els SIEM com a programari, com a dispositius o com a serveis gestionats; aquests productes també s'utilitzen per registrar dades de seguretat i generar informes amb finalitats de compliment.

  • defineix actius i recull informació de tots nivells (logs, events,etc..) i automatitza i correlaciona la informació per determinar i evaluar que està passant al sistema

  • Centralitzar logs

  • facilita tasques de forense (xarxa i logs)

Eines SIEM #

OSSIM #

-​ Open Source Security Information Management

  • Distro amb un conjunt d'eines dedicades a la gestió d'events ( monitors, detectors d'intrussions)
  • eines incloses:
    • OpenVAS (escaneig i gestió de vulnerabilitats)
    • snort (IDS)
    • nagios (monitor)
    • OSSEC (detector d'intrussos)

Intrusion Detection Systems (IDS) #

  • HIDS (Host IDS) , NIDS (Network IDS)
  • Monitoritzar l'activitat (en Hosts (HIDS) o Xarxa (NIDS)basant-se en patrons
  • Eines
    • Snort
    • Suricata
    • BroIDS
    • OSSEC

Netflow Analyzers #

  • Analitzar el tràfic actual en una xarxa
  • eines
    • Ntop
    • NfSen
    • Nfdump

Vulnerability Scanners #

  • Identificar riscos
  • Eines.
    • OpenVAS

Monitors de disponibilitat #

  • Eines
    • Nagios

Proxy #

  • Squid Proxy / squidguard

Evaluar #

  • Evaluar i prioritzar events

Inventariat #

  • Descubriment d'equips i dispositius
  • Eines
    • OCS Inventory

Threat Intelligence Security Research #

  • Anàlisis d'Informació. Inteligència. Indicadors de reputació, etc.
  • Eines
    • AlienVault OTX
    • AlienVault Labs
    • OSSIM (open source security information management)

Decidir #

  • Escollir tàctiques per minimitzar les conseqüències

actuar #

captures forenses #

  • SANS Investigative Forensics Toolkit (SIFT)
  • Sleuthkit
  • LiME

Backups #

System Backup & Recovery Tools

Patch Mgmt. and Other Systems Mgmt

System backup and recovery and patch management tools might be something you’ve already got in place, but it’s important to include them here since an incident is when you’ll likely need them most.

Opsi (Open PC Server Integration)