SlideShare uma empresa Scribd logo

Análise de eventos de segurança com OSSIM

Miky Mikusher Raymond
Miky Mikusher Raymond

Este documento resume uma dissertação de mestrado sobre análise de eventos de segurança usando a ferramenta OSSIM. O trabalho configurou o OSSIM para monitorar uma rede experimental e avaliou os resultados, procurando soluções para diminuir falsos positivos, como ativar plugins relevantes e calibrar correlações de eventos. Após as melhorias, os alarmes verdadeiros aumentaram e os eventos e alarmes totais diminuíram, demonstrando que o OSSIM pode fornecer análise de segurança eficiente quando devidamente configurado.

Educação
1 de 15
Baixar para ler offline
Análise de eventos de segurança: baseado no OSSIM Orientador: Professor Doutor Henrique Manuel Denis Santos Mestrando: Luís Amílcar Dias Neves Tavares UNIVERSIDADE DO MINHO ESCOLA DE ENGENHARIA DISSERTAÇÃO DE MESTRADO EM ENGENHARIA INFORMATICA Braga, Dezembro de 2015
Introdução  Por mais que consideremos um ambiente seguro os utilizadores acabam por ser sempre a maior vulnerabilidade da rede;  Cada vez mais são usadas ferramentas e aplicações que possibilitam uma melhor gestão da rede, criando regras de permissões, acesso e uso do sistema;  Sistemas com boa gestão e sem falhas internas estão sujeitos a sofrer falhas provocadas por agentes externos, que podem ser devastadoras;
Motivação  Segurança em Redes de computadores tem sido cada vez mais exigida pelo facto da rápida evolução da tecnologia, que além de trazer melhorias traz também diversos problemas.  Ferramentas de gestão de redes têm sido uma das soluções para resolver tais problemas. Só que nada é totalmente satisfatório para sanar os problemas que vão ocorrendo com o tempo.  É relevante explorar as potencialidades, capacidades e limitações dos gestores de redes, para dar continuidade a melhor e maior garantia em monitorização de rede;  Interesse e curiosidade pessoal na segurança em redes.
Objetivos  Usar a ferramenta de gestão de eventos de segurança OSSIM;  Estudar e avaliar os logs de eventos e alertas gerados pelo OSSIM;  Configurar o OSSIM na tentativa de apresentar somente eventos desejados;  Otimizar a análise de resultados obtidos com o OSSIM, nomeadamente no que respeita aos falsos positivos.
Problema OSSIM pode gerar milhares de eventos, dependendo da rede onde estiver instalado; e nesses eventos o numero de falsos positivos é normalmente elevado. Como podemos diminuir esse numero aumentando a eficiência deste controlo de segurança?
Enquadramento Teórico  Questões:  Como avaliar o nível de risco a que estamos exposto?  Que ferramentas promovem a gestão de segurança, sem comprometer os objetivos do negocio?  A que tipo de ataques somos vulneráveis?  Ferramentas Distintas:  Autenticação de utilizadores;  Antivírus;  Firewall;  Métodos de prevenção de ataques;  IDS (Host e Network).  Solução:  Security Information and Event Managment (SIEM)
Enquadramento Teórico  Líder do Mercado  IBM Security  HP/ArcSight  Splunk  Visionário  AlienVault  USM  OSSIM Magic Quadrant for SIEM (Gartner, Junho 2014)  OSSIM – Open Source Security Information Managment  Solução gratuita para gestão de eventos de segurança;  Inteligência para classificar riscos de eventos e ativos;  Gestão de incidentes de segurança, tudo integrado em uma única plataforma;  Elevado desempenho no tratamento de dados;  Componentes  Sensor  Servidor de gestão  Base de dados  Frontend
Metodologia  Topologia da Rede  Interfaces da rede (5):  Router  OSSIM (com todos os componentes)  Servidor Web  Máquina com Windows XP
Metodologia  Ataque a rede (LabOSSIM)  Construída em três etapas – baseado em Attack Tree  Coleta de informações  Scanner de vulnerabilidade  Pós Exploração
Testes/Resultados  Relatório dos resultados iniciais  Plugins ativos no teste  5 Monitorização  tcptrack-monitor  ossim-monitor  nmap-monitor  nessus-monitor  opennms-monitor  11 Gestão de dados  sudo  ossim-agente  snort-syslog  snortunified  ossec-idm-singleline  ossec-singleline  nagios  snare  nessus  prads  pam_unix  OSSIM v4.13 (default)  183 gestão  12 monitorização  Eventos e Alarmes  2 dias  159.515 eventos  46 alarmes  Alarmes – Falso Positivo  Nagios: hard critical/down (serviço ou host indisponível)  WebServer Attack – XXS (correlação de eventos sucessivo, scanner OSSIM)  WebServer Attack – SQL Injection (log com linhas de query suspeita)
Procura de soluções que ajudem a diminuir o numero de falsos positivos.  Soluções:  Ativar plugins existentes e logs de ativos necessário da rede;  Criar plugins que satisfaçam a necessidade e vão ao encontro da estrutura de rede;  “Calibrar” a correlação entre os eventos, de acordo com as atividades da rede;  Reformular as regras, além de desativar as que sejam obsoletas;  Otimizar as diretivas de alarmes existentes;  Lista base de plugins, levando em conta os mais populares em função de:  Deteção e prevenção de Intrusões;  Monitorização da rede e gestão de segurança;  Servidor Web;  Scanner de Vulnerabilidade;  Serviço de inteligência a ameaça. Soluções a considerar
Resultados após melhorias Resultado com o OSSIM, após aplicar as soluções propostas. OSSIM Dia Ativo Eventos Alarmes Default 1 159.515 46 Melhorias 2 120.337 2  Alarmes – Verdadeiro Positivo  2 – Brute force autentication  Ataque usando medusa (dias diferentes)
Conclusão  A segurança é fundamental, nos sistemas de hoje, assim como a compreensão e uso das ferramentas SIEM.  OSSIM:  Código livre,  Poderoso, robusto e bem estruturado;  Instalação escalonada (web, BD, servidor, sensor)  Inúmeras possibilidades de configurações;  Fácil configurar as ferramentas (ex: Snort, Nessus, OSSEC);  Inúmeras possibilidade de correlação de eventos e criação de regras.  Frontend muito intuitivo e com usabilidade elevada (eventos e relatórios)
Analise critica / Trabalhos futuros Análise Crítica  Falta de documentação atualizada e oficial sobre OSSIM;  Falta de recursos (hardware);  Maioria de Plugins existentes encontra-se desatualizado;  Inconsistência entre as release (erros ao reconhecer hardware). Trabalhos Futuros  Plugins, para plataformas web.  Monitorizar redes com dispositivos móveis.  Conformidade da segurança de informação, norma PCIDSS e ISO 27001  Alternativas de alertas – usar python e representar dados em tabelas.
Obrigado pela atenção.

Recomendados

Soluções de segurança Cibernética
Soluções de segurança CibernéticaSoluções de segurança Cibernética
Soluções de segurança CibernéticaCisco do Brasil
 
CyberGuard_leaflet_2016_Portuguese
CyberGuard_leaflet_2016_PortugueseCyberGuard_leaflet_2016_Portuguese
CyberGuard_leaflet_2016_PortugueseJavier Macineiras
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geração3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geraçãoCisco do Brasil
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeVirtù Tecnológica
 
Next gen antivirus_cylance
Next gen antivirus_cylanceNext gen antivirus_cylance
Next gen antivirus_cylanceaassenato
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec Brasil
 

Recomendados

Soluções de segurança Cibernética
Soluções de segurança CibernéticaSoluções de segurança Cibernética
Soluções de segurança CibernéticaCisco do Brasil
 
CyberGuard_leaflet_2016_Portuguese
CyberGuard_leaflet_2016_PortugueseCyberGuard_leaflet_2016_Portuguese
CyberGuard_leaflet_2016_PortugueseJavier Macineiras
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geração3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geraçãoCisco do Brasil
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeVirtù Tecnológica
 
Next gen antivirus_cylance
Next gen antivirus_cylanceNext gen antivirus_cylance
Next gen antivirus_cylanceaassenato
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec Brasil
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaSymantec Brasil
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Brasil
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Oficina do Texto Assessoria de Comunicação
 
Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Daniel Checchia
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10Carlos Serrao
 
Symantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec Brasil
 
Apresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesApresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesPetter Lopes
 
Auditoria e Análise de Vulnerabilidades em Sistemas WEB
Auditoria e Análise de Vulnerabilidades em Sistemas WEBAuditoria e Análise de Vulnerabilidades em Sistemas WEB
Auditoria e Análise de Vulnerabilidades em Sistemas WEBPetter Lopes
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Sophos Endpoint - GVTech
Sophos Endpoint - GVTechSophos Endpoint - GVTech
Sophos Endpoint - GVTechDeServ - Tecnologia e Servços
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Robson Silva Espig
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 

Mais conteúdo relacionado

Mais procurados

Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaSymantec Brasil
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Brasil
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Daniel Checchia
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Symantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec Brasil
 
Apresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesApresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesPetter Lopes
 
Auditoria e Análise de Vulnerabilidades em Sistemas WEB
Auditoria e Análise de Vulnerabilidades em Sistemas WEBAuditoria e Análise de Vulnerabilidades em Sistemas WEB
Auditoria e Análise de Vulnerabilidades em Sistemas WEBPetter Lopes
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 

Mais procurados (20)

Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec Cynic
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 
Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
 
Symantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: EndpointSymantec™ Advanced Threat Protection: Endpoint
Symantec™ Advanced Threat Protection: Endpoint
 
Apresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de VulnerabilidadesApresentação Workshop - Análise de Vulnerabilidades
Apresentação Workshop - Análise de Vulnerabilidades
 
Auditoria e Análise de Vulnerabilidades em Sistemas WEB
Auditoria e Análise de Vulnerabilidades em Sistemas WEBAuditoria e Análise de Vulnerabilidades em Sistemas WEB
Auditoria e Análise de Vulnerabilidades em Sistemas WEB
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
 
Sophos Endpoint - GVTech
Sophos Endpoint - GVTechSophos Endpoint - GVTech
Sophos Endpoint - GVTech
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 

Semelhante a Análise de eventos de segurança com OSSIM

Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresBruno Dos Anjos Silveira
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Symantec Brasil
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes TI Safe
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeSymantec Brasil
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Symantec Brasil
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Ameaças e vulnerabilidades - Material Comercial Unbroken
Ameaças e vulnerabilidades - Material Comercial UnbrokenAmeaças e vulnerabilidades - Material Comercial Unbroken
Ameaças e vulnerabilidades - Material Comercial Unbrokenunbrokensecurity
 

Semelhante a Análise de eventos de segurança com OSSIM (20)

Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico
 
Segurança em Rede.pptx
Segurança em Rede.pptxSegurança em Rede.pptx
Segurança em Rede.pptx
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
 
Palestra
PalestraPalestra
Palestra
 
2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança
 
Java security
Java securityJava security
Java security
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud Computing
 
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
Ameaças e vulnerabilidades - Material Comercial Unbroken
Ameaças e vulnerabilidades - Material Comercial UnbrokenAmeaças e vulnerabilidades - Material Comercial Unbroken
Ameaças e vulnerabilidades - Material Comercial Unbroken
 

Último

A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesMary Alvarenga
 
ANATOMIA-EM-RADIOLOGIA_light.plçkjkjiptx
ANATOMIA-EM-RADIOLOGIA_light.plçkjkjiptxANATOMIA-EM-RADIOLOGIA_light.plçkjkjiptx
ANATOMIA-EM-RADIOLOGIA_light.plçkjkjiptxlvaroSantos51
 
Manual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManuais Formação
 
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresLilianPiola
 
VARIEDADES LINGUÍSTICAS - 1. pptx
VARIEDADES LINGUÍSTICAS - 1. pptxVARIEDADES LINGUÍSTICAS - 1. pptx
VARIEDADES LINGUÍSTICAS - 1. pptxMarlene Cunhada
 
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxSlides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxLuizHenriquedeAlmeid6
 
A poesia - Definições e Característicass
A poesia - Definições e CaracterísticassA poesia - Definições e Característicass
A poesia - Definições e CaracterísticassAugusto Costa
 
Rotas Transaarianas como o desrto prouz riqueza
Rotas Transaarianas como o desrto prouz riquezaRotas Transaarianas como o desrto prouz riqueza
Rotas Transaarianas como o desrto prouz riquezaronaldojacademico
 
CLASSE DE PALAVRAS completo para b .pptx
CLASSE DE PALAVRAS completo para b .pptxCLASSE DE PALAVRAS completo para b .pptx
CLASSE DE PALAVRAS completo para b .pptxFranciely Carvalho
 
SEMINÁRIO QUIMICA AMBIENTAL - PPGEEA - FINAL.pptx
SEMINÁRIO QUIMICA AMBIENTAL - PPGEEA - FINAL.pptxSEMINÁRIO QUIMICA AMBIENTAL - PPGEEA - FINAL.pptx
SEMINÁRIO QUIMICA AMBIENTAL - PPGEEA - FINAL.pptxCompartilhadoFACSUFA
 
Pedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptxPedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptxleandropereira983288
 
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxD9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxRonys4
 
A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.silves15
 
Mapa mental - Classificação dos seres vivos .docx
Mapa mental - Classificação dos seres vivos .docxMapa mental - Classificação dos seres vivos .docx
Mapa mental - Classificação dos seres vivos .docxBeatrizLittig1
 
E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?Rosalina Simão Nunes
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBAline Santana
 
PROGRAMA DE AÇÃO 2024 - MARIANA DA SILVA MORAES.pdf
PROGRAMA DE AÇÃO 2024 - MARIANA DA SILVA MORAES.pdfPROGRAMA DE AÇÃO 2024 - MARIANA DA SILVA MORAES.pdf
PROGRAMA DE AÇÃO 2024 - MARIANA DA SILVA MORAES.pdfMarianaMoraesMathias
 
interfaces entre psicologia e neurologia.pdf
interfaces entre psicologia e neurologia.pdfinterfaces entre psicologia e neurologia.pdf
interfaces entre psicologia e neurologia.pdfIvoneSantos45
 
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOactivIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOcarolinacespedes23
 

Último (20)

A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das Mães
 
ANATOMIA-EM-RADIOLOGIA_light.plçkjkjiptx
ANATOMIA-EM-RADIOLOGIA_light.plçkjkjiptxANATOMIA-EM-RADIOLOGIA_light.plçkjkjiptx
ANATOMIA-EM-RADIOLOGIA_light.plçkjkjiptx
 
Manual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envio
 
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
 
VARIEDADES LINGUÍSTICAS - 1. pptx
VARIEDADES LINGUÍSTICAS - 1. pptxVARIEDADES LINGUÍSTICAS - 1. pptx
VARIEDADES LINGUÍSTICAS - 1. pptx
 
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptxSlides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
Slides Lição 04, Central Gospel, O Tribunal De Cristo, 1Tr24.pptx
 
A poesia - Definições e Característicass
A poesia - Definições e CaracterísticassA poesia - Definições e Característicass
A poesia - Definições e Característicass
 
Rotas Transaarianas como o desrto prouz riqueza
Rotas Transaarianas como o desrto prouz riquezaRotas Transaarianas como o desrto prouz riqueza
Rotas Transaarianas como o desrto prouz riqueza
 
CLASSE DE PALAVRAS completo para b .pptx
CLASSE DE PALAVRAS completo para b .pptxCLASSE DE PALAVRAS completo para b .pptx
CLASSE DE PALAVRAS completo para b .pptx
 
SEMINÁRIO QUIMICA AMBIENTAL - PPGEEA - FINAL.pptx
SEMINÁRIO QUIMICA AMBIENTAL - PPGEEA - FINAL.pptxSEMINÁRIO QUIMICA AMBIENTAL - PPGEEA - FINAL.pptx
SEMINÁRIO QUIMICA AMBIENTAL - PPGEEA - FINAL.pptx
 
Pedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptxPedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptx
 
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxD9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
 
A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.
 
Mapa mental - Classificação dos seres vivos .docx
Mapa mental - Classificação dos seres vivos .docxMapa mental - Classificação dos seres vivos .docx
Mapa mental - Classificação dos seres vivos .docx
 
E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?
 
CINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULACINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULA
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
 
PROGRAMA DE AÇÃO 2024 - MARIANA DA SILVA MORAES.pdf
PROGRAMA DE AÇÃO 2024 - MARIANA DA SILVA MORAES.pdfPROGRAMA DE AÇÃO 2024 - MARIANA DA SILVA MORAES.pdf
PROGRAMA DE AÇÃO 2024 - MARIANA DA SILVA MORAES.pdf
 
interfaces entre psicologia e neurologia.pdf
interfaces entre psicologia e neurologia.pdfinterfaces entre psicologia e neurologia.pdf
interfaces entre psicologia e neurologia.pdf
 
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOactivIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
 

Análise de eventos de segurança com OSSIM

  • 1. Análise de eventos de segurança: baseado no OSSIM Orientador: Professor Doutor Henrique Manuel Denis Santos Mestrando: Luís Amílcar Dias Neves Tavares UNIVERSIDADE DO MINHO ESCOLA DE ENGENHARIA DISSERTAÇÃO DE MESTRADO EM ENGENHARIA INFORMATICA Braga, Dezembro de 2015
  • 2. Introdução  Por mais que consideremos um ambiente seguro os utilizadores acabam por ser sempre a maior vulnerabilidade da rede;  Cada vez mais são usadas ferramentas e aplicações que possibilitam uma melhor gestão da rede, criando regras de permissões, acesso e uso do sistema;  Sistemas com boa gestão e sem falhas internas estão sujeitos a sofrer falhas provocadas por agentes externos, que podem ser devastadoras;
  • 3. Motivação  Segurança em Redes de computadores tem sido cada vez mais exigida pelo facto da rápida evolução da tecnologia, que além de trazer melhorias traz também diversos problemas.  Ferramentas de gestão de redes têm sido uma das soluções para resolver tais problemas. Só que nada é totalmente satisfatório para sanar os problemas que vão ocorrendo com o tempo.  É relevante explorar as potencialidades, capacidades e limitações dos gestores de redes, para dar continuidade a melhor e maior garantia em monitorização de rede;  Interesse e curiosidade pessoal na segurança em redes.
  • 4. Objetivos  Usar a ferramenta de gestão de eventos de segurança OSSIM;  Estudar e avaliar os logs de eventos e alertas gerados pelo OSSIM;  Configurar o OSSIM na tentativa de apresentar somente eventos desejados;  Otimizar a análise de resultados obtidos com o OSSIM, nomeadamente no que respeita aos falsos positivos.
  • 5. Problema OSSIM pode gerar milhares de eventos, dependendo da rede onde estiver instalado; e nesses eventos o numero de falsos positivos é normalmente elevado. Como podemos diminuir esse numero aumentando a eficiência deste controlo de segurança?
  • 6. Enquadramento Teórico  Questões:  Como avaliar o nível de risco a que estamos exposto?  Que ferramentas promovem a gestão de segurança, sem comprometer os objetivos do negocio?  A que tipo de ataques somos vulneráveis?  Ferramentas Distintas:  Autenticação de utilizadores;  Antivírus;  Firewall;  Métodos de prevenção de ataques;  IDS (Host e Network).  Solução:  Security Information and Event Managment (SIEM)
  • 7. Enquadramento Teórico  Líder do Mercado  IBM Security  HP/ArcSight  Splunk  Visionário  AlienVault  USM  OSSIM Magic Quadrant for SIEM (Gartner, Junho 2014)  OSSIM – Open Source Security Information Managment  Solução gratuita para gestão de eventos de segurança;  Inteligência para classificar riscos de eventos e ativos;  Gestão de incidentes de segurança, tudo integrado em uma única plataforma;  Elevado desempenho no tratamento de dados;  Componentes  Sensor  Servidor de gestão  Base de dados  Frontend
  • 8. Metodologia  Topologia da Rede  Interfaces da rede (5):  Router  OSSIM (com todos os componentes)  Servidor Web  Máquina com Windows XP
  • 9. Metodologia  Ataque a rede (LabOSSIM)  Construída em três etapas – baseado em Attack Tree  Coleta de informações  Scanner de vulnerabilidade  Pós Exploração
  • 10. Testes/Resultados  Relatório dos resultados iniciais  Plugins ativos no teste  5 Monitorização  tcptrack-monitor  ossim-monitor  nmap-monitor  nessus-monitor  opennms-monitor  11 Gestão de dados  sudo  ossim-agente  snort-syslog  snortunified  ossec-idm-singleline  ossec-singleline  nagios  snare  nessus  prads  pam_unix  OSSIM v4.13 (default)  183 gestão  12 monitorização  Eventos e Alarmes  2 dias  159.515 eventos  46 alarmes  Alarmes – Falso Positivo  Nagios: hard critical/down (serviço ou host indisponível)  WebServer Attack – XXS (correlação de eventos sucessivo, scanner OSSIM)  WebServer Attack – SQL Injection (log com linhas de query suspeita)
  • 11. Procura de soluções que ajudem a diminuir o numero de falsos positivos.  Soluções:  Ativar plugins existentes e logs de ativos necessário da rede;  Criar plugins que satisfaçam a necessidade e vão ao encontro da estrutura de rede;  “Calibrar” a correlação entre os eventos, de acordo com as atividades da rede;  Reformular as regras, além de desativar as que sejam obsoletas;  Otimizar as diretivas de alarmes existentes;  Lista base de plugins, levando em conta os mais populares em função de:  Deteção e prevenção de Intrusões;  Monitorização da rede e gestão de segurança;  Servidor Web;  Scanner de Vulnerabilidade;  Serviço de inteligência a ameaça. Soluções a considerar
  • 12. Resultados após melhorias Resultado com o OSSIM, após aplicar as soluções propostas. OSSIM Dia Ativo Eventos Alarmes Default 1 159.515 46 Melhorias 2 120.337 2  Alarmes – Verdadeiro Positivo  2 – Brute force autentication  Ataque usando medusa (dias diferentes)
  • 13. Conclusão  A segurança é fundamental, nos sistemas de hoje, assim como a compreensão e uso das ferramentas SIEM.  OSSIM:  Código livre,  Poderoso, robusto e bem estruturado;  Instalação escalonada (web, BD, servidor, sensor)  Inúmeras possibilidades de configurações;  Fácil configurar as ferramentas (ex: Snort, Nessus, OSSEC);  Inúmeras possibilidade de correlação de eventos e criação de regras.  Frontend muito intuitivo e com usabilidade elevada (eventos e relatórios)
  • 14. Analise critica / Trabalhos futuros Análise Crítica  Falta de documentação atualizada e oficial sobre OSSIM;  Falta de recursos (hardware);  Maioria de Plugins existentes encontra-se desatualizado;  Inconsistência entre as release (erros ao reconhecer hardware). Trabalhos Futuros  Plugins, para plataformas web.  Monitorizar redes com dispositivos móveis.  Conformidade da segurança de informação, norma PCIDSS e ISO 27001  Alternativas de alertas – usar python e representar dados em tabelas.