Diferencia entre revisiones de «Comandos frecuentes OSSIM»
| Línea 122: | Línea 122: | ||
Pero puede ser que alguna otra cosa te mal, y es peferible reinstalar | Pero puede ser que alguna otra cosa te mal, y es peferible reinstalar | ||
| − | |||
== Info == | == Info == | ||
Revisión actual del 21:54 19 jul 2020
Comandos frecuentes OSSIM
cambiar IP de un “todo en uno” en OSSIM editar el archivo
/etc/network/interfaces
-- Archivo de configuración
/etc/ossim/ossim_setup.conf
-- Modificar tarjeta en modo promiscuo o tarjeta donde escucha snort cambiar en el parámetro
[sensor] interfaces=eth1
-- Cambiar IP, default gateway, netmask, etc.
/etc/network/interfaces /etc/ossim/ossim_setup.conf usar ossim-reconfig al final
-- Default usuario para la página Web admin/admin
-- Actualizar OSSIM
ossim-update
-- Plugins /etc/ossim/agent/plugins
-- Alias
vi /etc/ossim/agent/aliases.cfg
-- Reiniciar el agente
/etc/init.d/ossim-agent restart
-- Quitar plugins -- Para buscar los pluing IDs que queremos quitar
/usr/share/doc/ossim-mysql/contrib/plugins zcat *.sql.gz | grep DELETE | ossim-db ossim
-- Reiniciar server en modo debug
vim /etc/default/ossim-server
Cambiar la linea OPTS="-c /etc/ossim/server/config.xml"
OPTS="-c /etc/ossim/server/config.xml -D6"
-- actualizar del CVS apt-get install cvs cvs -d:ext:juanmals@os-sim.cvs.sourceforge.net:/cvsroot/os-sim co os-sim
cvs update -dP usuario y password
-- Agrega carpetas y borra las capetas eliminadas
-- verificar diferencia de configuracion cvs diff configure.ac
-- Reglas de snort
/etc/snort/rules/emerging-policy.rules
-- Ignorar un host desde snort vim /etc/default/snort PARAMS="-m 027 -D -d host not 192.168.0.16"
-- bajar capturas https://www.evilfingers.com/
-- backups /var/lib/ossim/backup
-- respaldar etc var configuracion de red y ossim setup ossim-reconfig
-- logrotate
-- Archivo de logs
/var/logs
-- Log para ver lo que esta pasando, mensajes de error programas, etc
/var/logs/syslog
-- Para ver los últimos 100 mensajes generados usar tail, ejemplo:
tail -n 100 /var/logs/syslog
Syslog en OSSIM
-- 1. Los logs se reciben por syslog (puedes hacer reglas para separarlos) y puedes checar los logs con el comando
tail -f /var/log/syslog
-- 2. Los logs son atrapados por los plug-ins y enviados al agente.
tail -f /var/log/ossim/agent.log
-- 3. El agente envia los logs al servidor
tail -f /var/log/ossim/server.log
Resource Center http://www.alienvault.com/company/news/resource-center/index.html
ERRORES frecuentes
Starting Network Intrusion Detection System snort_eth1 fail!
Revisar en el archivo de log /var/log/syslog los mensajes que envia por ejemplo uno puede ser que se dejó un espacio en la variable HOME_NET, como a continuación: var HOME_NET [192.168.1.0/24, 172.16.1.0/24] en lugar de: var HOME_NET [192.168.1.0/24,172.16.1.0/24] Y este pequeño espacio estaba causando el problema
-- ntop no inicia envia un mensaje que dice “plugin not available” crear el folder de mrtg para ntop pueda crear sus gráficas con el comando: mkdir -p /var/www/mrtg
-- Fake start-stop-daemon called, doing nothing La instalación no terminó correctamente es necesario reinstalar OSSIM, hay forma de corregirlo con el siguiente comando:
mv /sbin/start-stop-daemon.REAL /sbin/start-stop-daemon
Pero puede ser que alguna otra cosa te mal, y es peferible reinstalar
Info
OSSIM: http://communities.alienvault.com/
AV-OTX: http://www.alienvault.com/open-threat-exchange
USM: http://www.alienvault.com/products-solutions/compare-ossim-to-alienvault-usm
OSSIM ISO: http://www.alienvault.com/free-downloads-services
AlienVault appliance: http://www.alienvault.com/docs/AlienVault-Datasheet-Appliances.pdf
OSSIM documentation: http://www.alienvault.com/resource-center/product-documentation
AlienVault Repository of Knowledge: https://alienvault.bloomfire.com/
OSSIM setup tutorial videos: http://www.alienvault.com/open-threat-exchange/learning-center
OSSIM/AlienVault on YouTube: http://www.youtube.com/user/alienvaulttv
OSSIM community forum: http://forums.alienvault.com/
OSSIM source code repository: https://www.assembla.com/code/os-sim/git-2/nodes
OSSIM installer download: http://downloads.alienvault.com/c/download?version=current_ossim_iso
http://www.admin-magazine.com/Archive/2014/20/Open-Source-Security-Information-and-Event-Management-system
