Seguimos con la serie de artículos dedicados a Prelude IDS / IPS para la centralización de eventos y alertas provenientes de diferentes sensores y sistemas operativos.
En esta ocasión vamos a tratar la correlación de eventos, qué es y la instalación de prelude-correlator, registro, puesta en marcha y algunos ejemplos.
Correlación de Eventos.
Antes que nada, brevemente, ¿ qué es la correlación de eventos ?.
Un evento es un mensaje que transmite algo, un suceso, que ha ocurrido y a que fecha y hora.
La correlación de eventos es una característica muy importante en los sistemas IDS / IPS, sobre todo cuando se trata de la gestión y análisis de logs y eventos a través de diferentes herramientas sensores y sistemas operativos diferentes. Cada una de estas herramientas sensores, con independecia del sistema operativo, suelen tener sus propios mecanismos de generación de logs y su propia platafarmoa de gestión / visualización, eso sí, en su inmensa mayoría cumple los estandares como syslog, y otros sistemas integradores de logs como IDMEF. De esta forma es posible la centralización de todos los logs y eventos independientemente de su procedencia, y así se mejora de gran manera la capacidad de relación, análisis y gestión de una gran cantidad de este tipo de información.
Lo podríamos definir como la capacidad de agrupar eventos diferentes y de diferentes fuentes y establecer relaciones lógicas entre ellos. De esta forma podemos generar alertas más complejas y de mayor valor de información en base a estas estas relaciones. Un suceso, evento o alerta de forma individual puede no decir mucho, pero relacionada con otras de diferentes sensores, hosts o sistemas operativos de una determinada red, puede decir mucho sobre una intrusión o poblema de seguridad.
La correlación de eventos es característica importante, comentado más arriba, de los IDS / IPS / HIDS, y más concretamente de los Sistemas SIEM o «Security Information and Event Management». Prelude es un SIEM.
En Prelude, la capacidad de correlación no está totalmente desarrollada. no hay aún muchos plugins o reglas de correlación. En la mayoría de las veces tendremos que ser nosotros mismos los que tengamos que crear las reglas. Pero sí es una un buen punto de partida para entender la correlación de enventos.
Sobre correlación de eventos podríamos hablar de técnicas de correlación, falsos positivos y negativos, estándares, reglas de correlación, etc. Pero esto es ya otra historia.
De momento pasamos a la parte práctica que es…:
Instalación y registro de prelude-correlator.
Instalamos desde los repositorios:
apt-get install prelude-correlator
tenemos el archivo de configuración en /etc/prelude-correlator/prelude-correlator.conf.
Ahora registramos prelude-correlator para crear el profile o perfil en prelude-manger. En este caso hay un pequeño cambio para el registro respecto a los demas sensores y componentes. Lo resalto:
Se realiza en el mismo server prelude.
Terminal 1.
$ sudo prelude-admin register prelude-correlator «idmef:rw» 127.0.0.1 -uid 0 -gid 0
Generating 2048 bits RSA private key… This might take a very long time.
[Increasing system activity will speed-up the process].
Generation in progress… X….+++++O.+++++O
You now need to start «prelude-admin» registration-server on 127.0.0.1:
example: «prelude-admin registration-server prelude-manager»
Enter the one-shot password provided on 127.0.0.1:
Confirm the one-shot password provided on 127.0.0.1:
Connecting to registration server (127.0.0.1:5553)… Authentication succeeded.
Successful registration to 127.0.0.1:5553.
Terminal 2.
$ sudo prelude-admin registration-server prelude-manager
The «k1xxxgigg» password will be requested by «prelude-admin register»
in order to connect. Please remove the quotes before using it.
Generating 1024 bits Diffie-Hellman key for anonymous authentication…
Waiting for peers install request on 0.0.0.0:5553…
Connection from 127.0.0.1:37115…
Registration request for analyzerID=»3293863261763984″ permission=»idmef:rw».
Approve registration? [y/n]: y
127.0.0.1:37115 successfully registered.
Una vez registrado, ejecutamos:
Usamos los mismos porcedimientos que en anteriores artículos para comprobar que en Prewikka tenemos Online el nuevo agente prelude-correlator.
Probando prelude-correlator.
Acabo de realizar un nmap scan desde una máquina a dos host donde hay sensores prelude / snort / ossec. Vamos a ver la /las alertas de correlación (pinchar para agrandar):
Si pinchamos en Eventscan > See alert Detail veremos toda la información, más detallada, respecto a la alerta de correlación.
Plugins Prelude-correlator.
En eete momento y configurables a través de /etc/prelude-correlator/prelude-correlator.conf tenemos:
- BruteForcePlugin
- BussinessHourPlugin
- OpenSSHAuthPlugin
- EventScanPlugin
- EventStormPlugin
- EventSweepPlugin
- WormPlugin
- DshieldPlugin
- FirewallPlugin
Que como véis, correlacionan eventos de propagación de gusanos, ataques de fuerza bruta, ataques de descubrimiento por scan de puertos, ataques que no fueron droppeados por un firewall, etc,
En el ejemplo de arriba, tenemos una alerta o evento EventScan.
Los plugins quedarán instalados en:
- /usr/lib/pymodules/python2.6/PreludeCorrelator/plugins/
===
Y hasta aquí por hoy. Hasta la próxima.
Seguridad y Redes 
Hola, esa parte no la vi de los plugins de prelude-correlator.
Ya lo habilite para darle una chequeada por algunos dias.
Gracias
Mauricio, aún nos queda algo más por ver. Mañana nueva entrada sobre prelude-correlator y plugins.
saludos,
Hola Alfon,
Después de leer lo que está pasando con Prelude (ha cerrado, bancarrota…) qué opinas sobre su supervivencia? Ahora mismo creo que tiraría por OSSIM como SIEM opensource, ¿cómo lo ves?
saludos amigo, espero estés bien, tus post me han sido de gran ayuda en un proyecto personal que estoy llevando; una consulta, no logro visualizar ninguno de los sensores en prewikka, solo el prelude-manager el cual me aparece online pero si reviso en la cónsola me aparecen registrados el snort el prelude-lml el prelude-corelator y el suricata más prewikka no me los muestra como agentes; todos los he configurado y he registrado como sensores locales ya que sólo tengo una máquina con todo el IDS; que crees que pueda estar pasando?? gracias de antemano por tu ayuda