Centro IDS / IPS con Prelude SIEM. Parte 7. Instalación y puesta en marcha de prelude-correlator.

Seguimos con la serie de artículos dedicados a Prelude IDS / IPS para la centralización de eventos y alertas provenientes de diferentes sensores y sistemas operativos.

alertas de correlacion con prelude correlator

En esta ocasión vamos a tratar la correlación de eventos, qué es y la instalación de prelude-correlator, registro, puesta en marcha y algunos ejemplos.

Correlación de Eventos.

Antes que nada, brevemente, ¿ qué es la correlación de eventos ?.

Un evento es un mensaje que transmite algo, un suceso, que ha ocurrido y a que fecha y hora.

La correlación de eventos es una característica muy importante en los sistemas IDS / IPS, sobre todo cuando se trata de la gestión y análisis de logs y eventos a través de diferentes herramientas sensores y sistemas operativos diferentes. Cada una de estas herramientas sensores, con independecia del sistema operativo, suelen tener sus propios mecanismos de generación de logs y su propia platafarmoa de gestión / visualización, eso sí, en su inmensa mayoría cumple los estandares como syslog, y otros sistemas integradores de logs como IDMEF. De esta forma es posible la centralización de todos los logs y eventos independientemente de su procedencia, y así se mejora de gran manera la capacidad de relación, análisis y gestión de una gran cantidad de este tipo de información.

Lo podríamos definir como la capacidad de agrupar eventos diferentes y de diferentes fuentes y establecer relaciones lógicas entre ellos. De esta forma podemos generar alertas más complejas y de mayor valor de información en base a estas estas relaciones. Un suceso, evento o alerta de forma individual puede no decir mucho, pero relacionada con otras de diferentes sensores, hosts o sistemas operativos de una determinada red, puede decir mucho sobre una intrusión o poblema de seguridad.

La correlación de eventos es característica importante, comentado más arriba, de los IDS / IPS / HIDS, y más concretamente de los Sistemas SIEM o “Security Information and Event Management”. Prelude es un SIEM.

En Prelude, la capacidad de correlación no está totalmente desarrollada. no hay aún muchos plugins o reglas de correlación. En la mayoría de las veces tendremos que ser nosotros mismos los que tengamos que crear las reglas. Pero sí es una un buen punto de partida para entender la correlación de enventos.

Sobre correlación de eventos podríamos hablar de técnicas de correlación, falsos positivos y negativos, estándares, reglas de correlación, etc. Pero esto es ya otra historia.

De momento pasamos a la parte práctica que es…:

Instalación y registro de prelude-correlator.

Instalamos desde los repositorios:

apt-get install prelude-correlator

tenemos el archivo de configuración en /etc/prelude-correlator/prelude-correlator.conf.

Ahora registramos prelude-correlator para crear el profile o perfil en prelude-manger. En este caso hay un pequeño cambio para el registro respecto a los demas sensores y componentes. Lo resalto:

Se realiza en el mismo server prelude.

Terminal 1.

$ sudo prelude-admin register prelude-correlator “idmef:rw” 127.0.0.1 -uid 0 -gid 0
Generating 2048 bits RSA private key… This might take a very long time.
[Increasing system activity will speed-up the process].
Generation in progress… X….+++++O.+++++O

You now need to start “prelude-admin” registration-server on 127.0.0.1:
example: “prelude-admin registration-server prelude-manager”

Enter the one-shot password provided on 127.0.0.1:
Confirm the one-shot password provided on 127.0.0.1:

Connecting to registration server (127.0.0.1:5553)… Authentication succeeded.
Successful registration to 127.0.0.1:5553.

Terminal 2.

$ sudo prelude-admin registration-server prelude-manager
The “k1xxxgigg” password will be requested by “prelude-admin register”
in order to connect. Please remove the quotes before using it.

Generating 1024 bits Diffie-Hellman key for anonymous authentication…
Waiting for peers install request on 0.0.0.0:5553…

Connection from 127.0.0.1:37115…
Registration request for analyzerID=”3293863261763984″ permission=”idmef:rw”.
Approve registration? [y/n]: y
127.0.0.1:37115 successfully registered
.

Una vez registrado, ejecutamos:

ejecutando prelude-correlator

Usamos los mismos porcedimientos que en anteriores artículos para comprobar que en Prewikka tenemos Online el nuevo agente prelude-correlator.

Probando prelude-correlator.

Acabo de realizar un nmap scan desde una máquina a dos host donde hay sensores prelude / snort / ossec. Vamos a ver la /las alertas de correlación (pinchar para agrandar):

alertas de correlacion con prelude correlator

Si pinchamos en Eventscan > See alert Detail veremos toda la información, más detallada, respecto a la alerta de correlación.

Plugins Prelude-correlator.

En eete momento y configurables a través de /etc/prelude-correlator/prelude-correlator.conf tenemos:

  • BruteForcePlugin
  • BussinessHourPlugin
  • OpenSSHAuthPlugin
  • EventScanPlugin
  • EventStormPlugin
  • EventSweepPlugin
  • WormPlugin
  • DshieldPlugin
  • FirewallPlugin

Que como véis, correlacionan eventos de propagación de gusanos, ataques de fuerza bruta, ataques de descubrimiento por scan de puertos, ataques que no fueron droppeados por un firewall, etc,

En el ejemplo de arriba, tenemos una alerta o evento EventScan.

Los plugins quedarán instalados en:

  • /usr/lib/pymodules/python2.6/PreludeCorrelator/plugins/

===

Y hasta aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en Prelude IDS - IPS, Seguridad y redes. Guarda el enlace permanente.

4 respuestas a Centro IDS / IPS con Prelude SIEM. Parte 7. Instalación y puesta en marcha de prelude-correlator.

  1. Mauricio dijo:

    Hola, esa parte no la vi de los plugins de prelude-correlator.
    Ya lo habilite para darle una chequeada por algunos dias.
    Gracias

  2. Alfon dijo:

    Mauricio, aún nos queda algo más por ver. Mañana nueva entrada sobre prelude-correlator y plugins.
    saludos,

  3. zann dijo:

    Hola Alfon,

    Después de leer lo que está pasando con Prelude (ha cerrado, bancarrota…) qué opinas sobre su supervivencia? Ahora mismo creo que tiraría por OSSIM como SIEM opensource, ¿cómo lo ves?

  4. Jesús Martínez dijo:

    saludos amigo, espero estés bien, tus post me han sido de gran ayuda en un proyecto personal que estoy llevando; una consulta, no logro visualizar ninguno de los sensores en prewikka, solo el prelude-manager el cual me aparece online pero si reviso en la cónsola me aparecen registrados el snort el prelude-lml el prelude-corelator y el suricata más prewikka no me los muestra como agentes; todos los he configurado y he registrado como sensores locales ya que sólo tengo una máquina con todo el IDS; que crees que pueda estar pasando?? gracias de antemano por tu ayuda

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s