CONTENIDO
|
|
1.- ¿QUÉ ES ALIENVAULT? – INTRODUCCION A ALIENVAULT (AT&T CIBERSECURITY)
AlienVault (AT&T) es un SIEM (Security lnformation and Event Management) con las siguientes características:
|
|
| AGREGACION DE DATOS | ||
| COLECCION | NORMALIZACIÓN | |
 |
 |
|
| CORRELACION | ALERTAS | |
 |
 |
|
| ESCRITORIO (DASHBOARD) | COMPLIANCE | |
 |
 |
|
| RETENCION | ||
 |
¿Qué hace a AlientVault diferente a otros SIEM? Que sus características están integradas en un único ecosistema que proporciona la Agregación de Datos (Vulnerability Management), la Correlación (Situation Awareness), las Alertas (NIDS), el Escritorio (HIDS), el Compliance (WIDS) y la Retención de activos (Network Monitoring). | |
Agregación de datos (Vulnerability Management), es la capacidad de almacenar los activos de la red, los reportes de los sistemas de forma centralizada y la auditoría de reglas en el mismo USIEM (Unified SIEM).
|
|
Correlación Centralizada de Eventos |
Administrador de vulnerabilidadesLa Correlación Centralizada de Eventos, tiene como misión sincronizar todos los eventos, activos, paquetes de datos, etc. que en un momento determinado queden registrados por el USIEM (Unified SIEM), de forma que sean facilmente trazables los eventos generados en un código de tiempo determinado.
| NIDS | |
 |
NIDS – Network Level IDS es el sistema de detección de de intrusos que posee un monitor de tráfico de red y carece de impacto sobre la misma al ser pasiva y no realizar búsquedas activas, simplemente permanece latente recibiendo información de trazas de paquetes de red que recopila para analizarlas.
Por analogía a un sistema comunmente conocido es similar al comportamiento de SNORT – Network Intrusion Detection & Prevention System, sistema desarrollado por la comunidad especializada en seguridad de la mano de Marty Roesch y que fue absorbida por Cisco posteriormente de la mano de su programa de desarrollo Talos de la mano de las comunidades de ClamAV y Spamcop.net. |
| HIDS | |
| HIDS – Host IDS es el sistema de detección de intrusión que analiza los activos informáticos internos de la red en la que escucha mediante un monitor de tráfico, careciendo de impacto sobre la red, al analizarla de modo pasivo, esperando que sean los recursos informáticos de red los que inicien el procedimiento de comunicación y se intercepte la misma por parte del HIDS.
Existen numerosos HIDS comerciales con un coste elevado para la implementación en la red de alerta temprana de una empresa. |
 |
| WIDS |
|
 |
WIDS – Wireless IDS, al igual que ocurría con el HIDS, su misión es escuchar las comunicaciones inalámbricas de la red que audita de forma pasiva y sin interferir en la misma para no generar falsos positivos de intrusión. Los sensores WIDS pueden ser ubicados en diferentes localizaciones para abarcar mayor superficie de análisis, como proximidades a ventanales, accesos a las oficinas u almacenes, etc.
Requiere reglas para evitar que se generen falsos positivos de acceso a la red, como intentos fallidos por falta de disponibilidad o saturación de los recursos y saturación del espectro de banda por causas atmosféricas o electromagnéticas. |
| USIEM | |
| USIEM – Unified SIEM, es la respuesta corpporativa a los problemas de ciberseguridad como sistema de alerta temprana siempre que el mismo se encuentre auditado por personal especializado, dado que en caso contrario solo podremos trazar los incidentes registrados y buscar a posteriori el origen y destino de los ataques y métodos usados para la intrusión. |  |
Si le interesa lo aquí leído escribame un email pidiendo la contraseña de acceso al resto del artículo.