HERRAMIENTA SIEM DE CÓDIGO ABIERTO PARA LA DETECCIÓN DE AMENAZAS Y RESPUESTA A INCIDENTES: Alien Vault

Alien Vault es una herramienta de gestión de eventos y seguridad informática de código abierto para la detección de hilos en tiempo real. Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, Alien Vault se usa en cientos de organizaciones para monitorear sitios web, bases de datos, centros de datos, servidores, escritorios, aplicaciones y otros dispositivos de información en busca de actividades sospechosas en el entorno en tiempo real.

  • SIEM es una combinación de dos tipos diferentes de tecnologías:
    • Security Information Management (SIM): Recopilación de registros y generación de informes
    • Security Event Manager (SEM): Análisis de evento en tiempo real y correlación de evento
  • Esta aplicación tiene las mejores características como recopilación de eventos, normalización de eventos, correlación de eventos
    • Recopilación de eventos: esta opción se utiliza para recopilar el registro de dispositivos de información como servidores, cortafuegos y enrutadores de nuestro entorno
    • Normalización de eventos: esta opción extraerá todos los archivos de datos de registro y los almacena en carpetas que contienen toda la información como dirección IP, nombre de host, nombres de usuario, puertos, etc.
    • Correlación de eventos: esta opción se utiliza para correlacionar todos los eventos recopilados comúnmente, que recopilamos del entorno

INSTALACIÓN

  • Descargue OSSIM ISO desde aquí
  • Aquí elija OSSIM (Open Source Security Information Management) y presione ENTER
OSSIM Installation Screen 1
  • Elija el idioma preferido y haga clic en continuar
OSSIM Installation Screen 2
  • Elija el país y haga clic en continuar
OSSIM Installation Screen 3
  • Elija el orden del teclado para usar y haga clic en continuar
OSSIM Installation Screen 4
  • Asigne una dirección IP a esta máquina
 OSSIM Installation Screen 5
  • Establezca una contraseña para root. Después de eso, la herramienta comenzará a instalarse, mencionan los expertos en hacking ético
OSSIM Installation Screen 6
  • Si se instala correctamente, podremos ver esta pantalla en nuestra máquina
OSSIM Installation Screen 7
  • Aquí, escriba login como root y contraseña. Luego abra esta URL en el navegador https://<direcciónIP>/ para la interfaz web
OSSIM login screen
  • Ahora, ingrese los pocos detalles para crear una cuenta para acceder a los productos de Alien Vault
OSSIM login screen
  • A continuación, escriba el nombre de usuario y la contraseña para iniciar sesión, luego podremos ver la siguiente pantalla
OSSIM welcome page
  • Sigue los pasos para monitorear la red, descubrir activos y recopilar registros y monitorear activos. Haga clic en la opción de inicio para iniciar Alien Vault OSSIM
OSSIM wizard
  • Siga los pasos que se mencionan en la pantalla y haga clic en registrarse ahora para crear una cuenta para OTX (Open Threat Exchange) e iniciar sesión para ver todas las actividades en nuestra LAN (Red de área local)
  • Aquí, podemos ver todas las actividades

CONCLUSIÓN

Esta herramienta se puede utilizar en su organización para monitorear todos los sitios web, bases de datos, centros de datos, servidores, escritorios, aplicaciones y otros dispositivos de información para la detección de amenazas y la respuesta a incidentes en el entorno en tiempo real, mencionan los expertos en hacking ético.