Professional Documents
Culture Documents
Índice
Introducción 4
Capítulo 1 – Infraestructura de red 7
1.1 – Nuestra infraestructura de correlacionador de eventos 7
1.2 – Arquitectura de red 10
1.3 – Herramientas de Hardware 12
1.3.1 – Máquina Física del IDS (Smoothsec) 12
1.3.2 – Máquina Física del Firewall (Pfsense) 13
1.3.3 – Máquina Física de Ubuntu Mate 13
1.3.4 – Máquina Física Kali Linux 2.0 14
1.3.5 – Maquina Física de Windows Server y Active Directory 14
1.3.6 – Maquina Física del Correlacionador OSSIM 14
1.4 – Herramientas de Software 15
1.4.1 – SmoothSec 15
1.4.2 – Pfsense 15
1.4.3 – Windows Active Directory 16
1.4.4 – OwnCloud 16
1.4.5 – ModSecurity 17
1.4.6 – Kali Linux 2.0 17
1.4.7 – Apache 17
1.4.8 – MySQL 18
1.4.9 – OSSIM 18
2
4.1 – Inventario de activos 91
4.2 – Identificación de vulnerabilidades 91
4.3 – Categorización de incidentes 91
4.4 – Criticidad de incidentes 92
4.5 – Importancia de los recursos afectados 93
4.6 – Determinación del impacto de un incidente 93
Conclusiones 108
Bibliografía 109
3
Introducción
Hoy en día, organizaciones con distintos fines operativos cuentan como mínimo
con un sistema de redes interno, así sea solo una computadora con acceso a
internet. Estos equipos pueden contar con información valiosa o con un servicio
valioso para la organización
Los eventos que pueden ocurrir varían entre el tipo de acción que se deba aplicar
al activo. Por ejemplo un virus informático puede estar recorriendo la red,
esperando que un equipo con información valiosa se conecte a red y así pueda
hacer diferentes cosas que tiene como objetivo tal virus. Otros ejemplos son las
notificaciones por actualización, puertos abiertos, contraseñas débiles, etc.
4
Capítulo 4: en esta sección está dedicada a los activos de la red, que aunque este
algo limitada, tiene los servicios de active directory y owncloud. Veremos algunos
diagramas de la criticidad de estos y las pérdidas que podrían significar estas de
forma ficticia ya que nuestra red es propiamente experimental.
5
Infraestructura de
Red 1
6
1
En el día a día de las empresas muchas de estas en especial las pequeñas
empresas no tienen idea de que sus equipos están siendo explotados por
numerosos factores o amenazas que pueden tener diversos orígenes. Por
ejemplo en una red empresarial puede está circulando Virus, pueden estar puertos
abiertos del firewall, pueden haber aplicaciones desactualizadas. Todos
elementos que permiten romper el triángulo de la seguridad informática
(disponibilidad, confidencialidad, Integridad).
Poder monitorear y tener conocimiento de las amenazas que circulan por nuestros
sistemas de redes es algo que puede marcar una diferencia entre la continuidad
del negocio y el desastre tecnológico. Por ello es recomendable armarse de
herramientas para asegurar que el flujo de información del sistema viaje protegido
por todas las protecciones de seguridad que vayamos a implementar y por medio
del monitoreo aprender los elementos que requieren mejora.
7
como Firewall Lógico.
Las subredes que interactuaban en ese proyecto son la WAN, LAN y DMZ;
Pfsense se encarga de administrar la comunicación entre estas redes, decidir qué
servicios, puertos y aplicaciones están disponibles entre las subredes. Hay que
agregar que este Firewall Lógico es de extrema utilidad puesto que guarda LOGS
de actividades que ocurren en la red exclusivamente las que pasan por sus
puertos de entrada y salida de subredes.
Otro elemento de gran importancia y control con el que contamos es el IPS, que
usa Smoothsec, un sistema operativo basado en Debian y que usa el motor Snort
y la base de datos de las reglas de emergingthreats.net. Smoothsec cuenta con
una interface web en el cual se plasma todo el monitoreo y clasifica el tráfico en
categorías: critica, media y baja. Esto lo hace por medio de sus sensores y la
base de datos de conocimientos mencionada anteriormente.
Estos son los elementos más importantes que mencionamos ya que contamos con
ellos en el presente proyecto. Pero, hay una novedad en nuestra implementación
que es el correlacionador de eventos OSSIM, el cual cuenta con censores de
monitoreo. Este elemento no está a full capacidad ya que la implementación
completa de monitorización de eventos requiere al menos 2 máquinas corriendo
OSSIM sobre una subred de la infraestructura.
Esto quiere decir que para implementar la monitorización en la redes LAN y DMZ
requiere al menos 4 máquinas corriendo OSSIM, lo cual puede resultar muy
costoso ya que OSSIM pide muchos requerimientos de hardware para poder
operar sin inconvenientes.
Tipos de equipos que podemos usar para esta implementación serian servidores
ya que las laptops actuales hasta con 12 GB de RAM les cuesta el arranque y
poder mantenerse andando por mucho tiempo. Un equipo ideal sería el de la
imagen que vemos a continuación.
8
Figura #1.1 – Servidor DELL
A continuación presentamos el diagrama de la infraestructura de red utilizadas en
la implementación del correlacionador de eventos en el proyecto.
9
su funcionamiento y aplicaciones más adelante, pero primero veamos para que
sirve lo que estamos construyendo.
Para mencionarlo de una forma fácil, resumimos que tenemos 2 utilidades de gran
beneficio para los usuarios de nuestra red, que serían las siguientes:
Lo que queda por hacer luego de implementar estas nuevas ventajas para
nuestros usuarios de la organización y clientes, es vigilar, mantener el control y
verificar los puntos que sean vulnerable para añadirlo, como medida a verificar en
nuestra red.
10
A continuación presentamos el diagrama que contempla este proyecto y con ello
podrá ver una comparativa de lo implementado con lo que sería ideal. Claro que
por temas de practicidad y recursos disponibles esta fue la opción indicada ya que
es funcional para pruebas.
11
conjunto de máquinas virtuales entre las que podríamos clasificar como:
Los equipos físicos son más estables que los virtuales además que la contención
de servicios virtuales en una sola maquina física es un riesgo ya que la emulación
de estas se puede ver afectada por algún evento que ocurra en el sistema físico.
12
Elementos principales de la máquina del IPS
Elemento Característica
Procesador 2.4 GHz 4 core
RAM 6 GB
HDD 750 GB
Equipo físico Laptop Acer Aspire
Es la máquina física que corre el sistema Operativo PFsense y que posee las
siguientes características físicas de hardware.
13
cuenta con las especificaciones necesarias para ponerlo a andar. Sus
características son las siguientes.
14
1.4 – Herramientas Software
La mayoría del software que se utilizó en este proyecto es OpenSource y se
decide que sea de esta manera para la exploración de nuevas posibilidades y
soluciones, contra el día a día de ataques que recibimos desde la red Global. Por
parte del software privativo tenemos Windows Server 2008 y su servicio Active
directory con detalles que veremos más adelante.
1.4.1 – SmoothSec
Es un sistema operativo basado en Debian, que tiene embebido el IPS, que
conjunto con Snort, Sagan y los HIDS son una barrera protectora contra ataques
externos. Este software protegerá el Router y a través de su monitor podemos
verificar el tráfico y las amenazas que este detecta.
1.4.2 – Pfsense
Es un sistema operativo también, que está basado en FreeBSD, y que posee una
amplia gama de funcionalidades que se pueden configurar. Se pueden descargar
paquetes que ayudan a la monitorización de múltiples elementos en el tráfico entre
las diferentes interfaces que este sistema puede manejar. Entre los más
destacados están el filtro de contenido, el control de acceso entre las subnets,
filtro de puertos, OpenVPN, el portal cautivo y el radius.
15
Figura #1.5 – Pfsense logo
1.4.4 – Owncloud
16
security. Estos 3 elementos son instalados y configurados dentro del servidor del
servicio web (owncloud en nuestro caso), para actuar con WAF (Web Application
Firewall)
1.4.7 – Apache
17
Figura #1.10 – Apache HTTP Server
1.4.8 – MySql
1.4.9 – Ossim
18
Por parte del software estos serían el conjunto de software utilizados durante la
construcción e implementación del proyecto. Se destaca que la mayoría
presentada es Open Source incluyendo el correlacionador OSSIM.
19
Instalación y
configuración de
Activos
2
20
2
2.1 – Instalación IPS
Los pasos de instalación son parecidos a los de la instalación del sistema operati-
vo Debian. A continuación se aprecia dicho procedimiento:
21
Figura #2.3 - Selección de la Región
22
C. Selección del mapa del teclado
23
2.2 - Configuración del IPS
Como primer paso, accedemos a la cuenta de superusuario. Para esto, hacemos
login con root y el password toor. Luego, ejecutamos el script que nos
ayudará a establecer las configuraciones iniciales smothsec.first.setup,
seleccionando el deployment ips-standard.
24
Figura #2.8.2 - Configuración del modo INLINE (B)
En este caso utilizaremos como usuario seguridad2 y contraseña 123456.
25
Figura #2.9 - Configuración de las Interfaces de Red
C. Como mostraremos en la siguiente imagen, se podrá apreciar todas las confi-
guraciones mencionadas en el punto anterior. Según nuestro entorno de labo-
ratorio se hace uso de la red 192.168.1.0/24 y con Gateway 192.168.1.1,
además, nuestra interfaz de mantenimiento eth2: 192.168.1.180.
26
cual es un monitor de suceso que utiliza Smoothsec. Luego de la instalación,
reiniciamos el equipo.
27
Figura #2.13 - Regeneración del Oinkcode
F. También ingresamos a la página https://portal.emergingthreats.net para gene-
rar el código de la misma y ponerlo en nuestro smoothsec.
28
G. Luego de haber terminado todas nuestras configuraciones, incluyendo los có-
digos generados en la página de snort y emerging threats, procedemos a usar
otra máquina para verificar si tenemos acceso a internet.
29
Figura #2.17 - Consola de Monitoreo
Esta es la forma en que ensamblamos los diferentes dispositivos para hacer una
instalación del Pfsense, y de la cual pudimos verificar la conectividad de los
30
equipos que están en la LAN y WAN.
31
Colocamos el Pfsense en un puerto USB del barebone y comenzamos a configu-
rar la instalación. Esperamos que cargue el programa hasta que despliegue el
siguiente menú de opciones:
Para nuestro Firewall lógico tenemos que configurar las interfaces para 2 áreas:
• WAN
• LAN
32
Parámetro Configuración
DHCP para WAN IPv4 si
DHCP para WAN IPv6 no
Dirección IPv6 (sin asignar)
HTTP no
Parámetro Configuración
Dirección IPv4 10.10.120.1
Subtnet bit count 24
LAN IPv4 gateway (sin asignar)
Dirección IPv6 (sin asignar)
DHCP para LAN no
Rango inicial 10.10.120.10
Rango final 10.10.120.252
33
Figura #2.23 - Asignando IP a la LAN
La configuración de la LAN la podemos ver en el cuadro de la figura #3.5.
34
Figura #2.25 - Ventana de inicio de Pfsense
Luego de esto, podemos ir navegando por los menús para ver las opciones que
deseamos configurar y aplicar. Empezamos con el menú system.
35
En esta pantalla cambiamos el protocolo seleccionado por HTTPS y habili-
tamos el login autocomplete, y a continuación guardamos.
36
Figura #2.29 – Administración de usuarios
Es importante resaltar esta opción, ya que el pfsense nos permite crear va-
rios usuarios que podrían enfocarse en tarea específicas de monitoreo del
sistema. Esta opción se encuentra en el menú system – User manager.
37
Esta interface tiene la misma configuración que dejamos al momento de instalar
el pfsense
Similar al caso de la Interface WAN, esta tiene la misma configuración que deja-
mos al momento de instalar el Pfsense
De momento las reglas que tenemos creadas de Firewall están para la In-
terface LAN, que es lo que mostramos en la figura a continuación:
38
Configuraciones del Menú SERVICES
39
• Habilitar la opción BlackList.
40
Figura #2.36 - Descarga del BlackList
Hecho esto regresamos a la pestaña General Settings, y presionamos el
botón Apply, con lo que se inicia el SquidGuard.
41
Figura #2.38 - Aplicación de Snort al Firewall
Para terminar en esta pestaña, marcamos todas las casillas a excepción de
ETPro.
La siguiente pestaña que vemos es Snort Interfaces, y nos fijamos que es-
te habilitado para todos.
42
En la pestaña Updates podemos actualizar los paquetes de Snort descargados
Para la instalación del servidor de Directorio Activo, utilizamos una máquina virtual
con las siguientes especificaciones:
43
Especificaciones
Sistema Operativo Windows Server 2008
Memoria RAM 4 GB
Disco Duro 25 GB
Tipo de Red Puente
Dirección IP 10.10.220.200
44
Figura #2.43 – Creación de usuario en AD
45
Luego de haber creado el equipo y usuario en el directorio activo, abrimos una
nueva máquina virtual para levantar el dominio en otro equipo. Para este proyecto,
utilizamos el sistema operativo Windows XP.
Las especificaciones con las que cuenta esta máquina virtual son las siguientes:
Especificaciones
Sistema Operativo Windows XP
Memoria RAM 42GB
Disco Duro 25 GB
Tipo de Red Puente
46
Figura #2.46 – Levantar usuario a dominio
Cuando estamos en la pestaña computer name, vamos a la opción Change y nos
aparecerá una ventana donde colocaremos el nombre del equipo creado, en
nuestro caso ABCandrea, el dominio grupoabc.local y colocamos una contraseña
que puede ser cambiada por el usuario en el siguiente inicio de sesión. Hacemos
click en OK y reiniciamos la máquina virtual. Cuando está reinicie nos aparecerá la
siguiente ventana, donde con ella confirmamos que nuestro equipo ya está en
dominio.
47
Figura #2.47 – Pantalla de login del usuario luego de
estar en dominio
48
La mayoría de los ataques a aplicaciones web ocurren a través del cross-site
scripting (XSS) e inyección SQL el cual comúnmente resulta de una codificación
deficiente y la falta de desinfección de las entradas y salidas de la aplicación web.
/etc/apache2/conf-availables/security.conf
ServerTokens Prod
ServerSignature Off
49
Figura #2.49 – Remover versión del banner.
vi /etc/apache2/apache2.conf
Options –Indexes
50
Figura #2.50 – Deshabilitar el listado del directorio.
groupadd apache
useradd –G apache apache
51
Figura #2.51 – Cambiar propietario del apache.
Protegernos de ataques Clickjacking
nano /etc/apache2/sites-available/default-ssl.conf
52
Figura #2.52 – Protección contra el Clickjacking.
53
XSS (Cross Site Scripting)
XSS es un vector de ataque que puede ser utilizado para robar información
delicada, secuestrar sesiones de usuario, y comprometer el navegador,
subyugando la integridad del sistema.
54
nos debe quedar el IfModule mod_header.c así:
<IfModule mod_headers.c>
</IfModule>
Reiniciamos apache2
/etc/init.d/apache2 restart
55
Primero vamos a crear un certificado con una cifrado RSA de 4096, y su
respectiva firma.
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout localhost.key -
out localhost.crt
nano /etc/apache2/mods-available/ssl.conf
56
cifrados débiles y hash como MD5, MD4, entre otros obsoletos.
57
Figura #2.59 – Configuración del Open SSL - 4.
Habilitamos el uso de HSTS que nos permite el uso de forward secrecy con https
Estará formado por tres mod (mod security, mod evasive, mod qos).
58
Nota: La dirección IP y nombre de la máquina que veremos a continuación es
diferente, pues es de un informe anterior.
59
apt-get install libaprutil1 libaprutil1-dev
60
Mod security cambio a la versión dos por eso utilizamos este comando
61
Configuración del ModSecurity
cp /etc/modsecurity/modsecurity.conf-recommended
/etc/modsecurity/modsecurity.conf
62
Ahora procedemos a activar las reglas en el archivo de configuración
usamos el siguiente comando:
nano /etc/modsecurity/modsecurity.conf
63
Instalación y
configuración de
OSSIM 3
64
3
3.1 – Instalación OSSIM
El siguiente capítulo veremos la instalación del OSSIM y la configuración de las
diferentes áreas de la herramienta.
NOTA
! La instalación del OSSIM es igual a cualquier instalación de Distribuciones
GNU/Linux
65
Gestión de Incidentes de Seguridad
66
Gestión de Incidentes de Seguridad
67
Gestión de Incidentes de Seguridad
69
Gestión de Incidentes de Seguridad
70
Gestión de Incidentes de Seguridad
72
Gestión de Incidentes de Seguridad
74
Gestión de Incidentes de Seguridad
75
Gestión de Incidentes de Seguridad
76
Gestión de Incidentes de Seguridad
Una vez instalado los agentes en los activos que deseamos damos click en
siguiente
77
Gestión de Incidentes de Seguridad
78
Gestión de Incidentes de Seguridad
79
Gestión de Incidentes de Seguridad
Configuración de las interfaz del log collector y los equipos como el firewall y el ids
en la dmz y lan.
80
Gestión de Incidentes de Seguridad
NOTA
! Para que el OSSIM reciba los registros del pfsense debemos habilitar la opción
Remote Login
81
Gestión de Incidentes de Seguridad
82
Gestión de Incidentes de Seguridad
La sección de filtros podemos hacer las búsquedas por sensores, por riesgo de
eventos, por fecha. Además el listado nos indica el tipo de eventos el registro la
fecha, la fuente de donde proviene en nuestro caso son registro del sistema
provenientes del firewall.
La siguiente imagen encontramos los registros de acceso por ssh a los agentes
Linux y los registros del IDS
83
Gestión de Incidentes de Seguridad
Detalles de los eventos registrados:
87
Gestión de Incidentes de Seguridad
Otra sección importante de la administración es el Dashboard que nos muestra
una vista general de los eventos, activos y vulnerabilidades.
88
Gestión de Incidentes de Seguridad
Evaluación de
criticidad de
activos 4
89
Gestión de Incidentes de Seguridad
4
Tener todos nuestros activos correctamente definidos en nuestro SIEM, es parte
fundamental para poder sacarle el máximo provecho a nuestro correlacionador de
eventos, lo que nos va a permitir que tengamos una visión completa, ordenada y
segmentada de toda nuestra infraestructura, de esa forma vamos a poder
monitorear y proteger nuestra red de forma más completa, puesto que todos los
eventos captados por los distintos dispositivos de seguridad e inclusos por los
HIDS que tengamos instalados en cada equipo que consideremos importante y
sensitivos para nuestra organización, nos va permitir prestar especial atención a
estos equipos, pero obviamente sin descuidar los equipos de menor criticidad, ya
que desde un equipo de poca criticidad se puede tener acceso a un equipos de
mayor criticidad, si las vulnerabilidades de cualquier equipo es dejada a un lado y
no es atendida.
Primero que nada debemos tener escaneada y actualizada nuestra red, para así
podamos tener una visión de toda nuestra infraestructura en nuestro
correlacionador de eventos.
Una vez tenemos un inventario de todos los dispositivos que están en nuestra red,
debemos determinar la criticidad o jerarquía de cada dispositivo, pues cuando
recibamos desde nuestro OSSIM miles de eventos, o vulnerabilidades y no
sepamos la criticidad de cada dispositivo o el impacto que pueda tener el incidente
detectado, y no tengamos ni idea de que necesitamos monitorear en cada equipo.
Es por todo lo anteriormente mencionado que debemos tener definido la jerarquía
de nuestros activos.
Debemos tener un inventario de todos nuestros activos, y así poder saber que
forma parte de nuestra infraestructura, a continuación detallamos todos los
dispositivos que forman parte de la infraestructura de la empresa Grupo ABC.
8 Computadoras
25 Puntos de red
1 Router
90
Gestión de Incidentes de Seguridad
3 Switches
1 IPS
1 Firewall
1 Servidor de aplicación de gestión de archivos
1 Servidor de aplicación de gestión de ventas
1 Servidor de AD
1 Servidor para manejo de inventarios, gestión de solicitudes, monitoreo de
aplicaciones, almacenamiento de log
Seguridad Física.
Monitoreo ambiental
Control de acceso
Desastres naturales
Control de incendios
Inundaciones
91
Gestión de Incidentes de Seguridad
la empresa solo cuenta con un único grupo de trabajo para resolver incidentes.
Acceso no autorizado
Acceso no autorizado con éxito.
Robo de Información.
Alteración de la información.
Borrado de información.
Intentos de accesos no autorizados recurrentes y no recurrentes.
Mal uso o abuso de los servicios informáticos que necesitan autenticación.
Código malicioso
Virus.
Troyanos.
Malware en general.
92
Gestión de Incidentes de Seguridad
Es importante tener claro la importancia de los recursos que para nuestra empresa
Grupo ABC, son de mayor impacto, ya sea por la actividad de misma, o por la
importancia que el recurso pueda tener para que el negocio se mantenga activo.
Frecuencia de falla: son las veces que falla cualquier componente del
sistema.
Por ejemplo podemos suponer que la empresa Grupo ABC, sufrió un ataque de
denegación de servicio DoS, en el servidor de aplicación de gestión de ventas.
94
Gestión de Incidentes de Seguridad
95
Gestión de Incidentes de Seguridad
Reportes de
Incidentes 5
96
Gestión de Incidentes de Seguridad
5
5.1 – RESUMEN EJECUTIVO
Grupo ABC realizó pruebas de pentesting para su servidor de aplicaciones inter-
nas.
5.1.1 – Objetivos
Identificar vulnerabilidades.
Validar la seguridad.
Proveer soluciones.
5.1.2 – Alcance
El servidor con 10.10.120.31 fue el único equipo computacional evaluado para es-
te reporte de incidencia. Es importante aclarar que las bases de datos están
fuera del alcance de esta evaluación.
5.1.4 – Recomendaciones
Debido a las vulnerabilidades encontradas en las aplicaciones permiten el acceso
a páginas con información crítica para la organización, y que las funciones que se
realizan en dicho servidor son cruciales para el normal desempeño de las opera-
ciones que se realizan en el Grupo ABC, sugerimos lo siguiente:
Creación de una línea base que sirva de plantilla para los diversos servidores y
sus aplicaciones.
Implementación de WAF embebidos en el servidor web.
Hacer un hardening a las aplicaciones internas desarrolladas o implementadas
en el servidor.
Cambiar información por defecto de la configuración de los servicios utilizados
en las aplicaciones.
Verificación y adopción de las mejoras prácticas de configuración del sistema
operativo, recomendado por la comunidad.
97
Gestión de Incidentes de Seguridad
Eliminación de los protocolos de cifrado débiles.
5.2 – METODOLOGÍA
Para el análisis de los servicios se efectuó un escaneo de puertos al servidor de
aplicaciones. Se utilizaron herramientas de escucha de servicios como NMAP para
la identificación de los servicios usados en el servidor, se encontraron los siguien-
tes servicios:
Servidor de DNS
Servidor Web (Apache)
Servidor FTP
Servidor Mysql
Servidor Postgres
Servidor SSH
Otro hallazgo es el registro de eventos por riesgos, detectando los intentos de ata-
ques al servidor de aplicaciones.
98
Gestión de Incidentes de Seguridad
99
Gestión de Incidentes de Seguridad
5.4 – CONCLUSIONES
100
Gestión de Incidentes de Seguridad
5.5 – Modelo Reporte de Incidente de Seguridad
NOTA
! La siguiente sección es un modelo del reporte de incidentes usad por el
grupo ABC.
101
Gestión de Incidentes de Seguridad
Datos personales
Llene esta parte con los datos personales de la persona que está llenando
el reporte.
Departamento: IT
Correo electrónico:jesus.montenegro@grupoabc
102
Gestión de Incidentes de Seguridad
103
Gestión de Incidentes de Seguridad
Descripción del incidente
104
Gestión de Incidentes de Seguridad
105
Gestión de Incidentes de Seguridad
En caso de intrusión llene esta parte.
Usuarios comprometidos:
No Aplica
106
Gestión de Incidentes de Seguridad
Otros contactos
107
Gestión de Incidentes de Seguridad
Conclusión
No se puede estar esperando que ocurran incidentes graves ni perder dinero por
el hecho de que alguna amenaza no se ha materializado en un negocio.
En tecnología de información siempre se debe estar preparado para cubrir
cualquier requerimiento que demande el sistema, en este caso las redes de
computadores y servicios.
OSSIM ha demostrado ser una de las herramientas más importantes con las que
cualquiera persona de tecnología que administre un centro de información deba
contar. Ya que ofrece, a pesar de ser privativa, varias funcionalidades útiles para
la detección de eventos, amenazas e incidentes en nuestra red.
OSSIM también ofrece dos tipos de gráficas para representar el resultado del
análisis de los equipos de la red en diferentes periodos de tiempo, una de tipo
ejecutiva y otra con más detalle. En trabajos anteriores debemos recordar que al
detectar alguna anomalía en el sistema esto se debe reportar para saber cómo
resolver dicha necesidad. Este escalamiento se hace a nivel de TI y a nivel
ejecutivo ya que entre ambos deciden que será la acciona tomar, el reporte de TI
es más detallado y muy técnico, mientras que el ejecutivo es más gráfico y enfoca
las perdidas en activos importantes de la empresa. OSSIM nos ayuda con la
realización de la reportería de eventos.
108
Gestión de Incidentes de Seguridad
Bibliografía
1. Escribir reporte de incidentes
Consultado el 20 de mayo de 2016. Disponible en:
https://sysadmincasts.com/.../20-how-to-write-an-incident-report
2. Gestión de activos
Consultado el 20 de mayo de 2016. Disponible en:
https://en.wikipedia.org/wiki/Asset_management
4. Active Directory
Consultado el 20 de mayo de 2016. Disponible en:
https://es.wikipedia.org/wiki/Active_Directory
9. Pfsense + OSSIM
Consultado el 14 de mayo de 2016. Disponible en:
https://forum.pfsense.org/index.php?topic=77958.0
109