Cambiar la firma de las entradas por una imagen en Blogger

STBAN me dice en un comentario:

me preguntaba si se podia cambiar la firma de tu blog por una imagen?,
ya que encontre una pagina que genera firmas y quisiera colocarla en lugar de las letras.

Lo que STBAN llama firma es el "publicado por" que vemos en el post-footer (pie de entradas) de nuestros blogs. Vamos a ver la forma de cambiar esta parte tal como STBAN me solicita por una firma (imagen) generada en la web de My Live Signature.

Esta es la imagen con mi firma que he escogido para el ejemplo:

Y este es el código que hace que se muestre, es decir, la url de la imagen con mi firma:
<img src="http://signatures.mylivesignature.com/54486/208/19EDAEC8AD39BD58A732B86C3A17F33B.png" style="border: none; background: transparent;"/>

[1] Nos situamos en "edición html" de nuestro panel de Blogger y expandimos los artilugios para localizar este código:

<span class='post-author vcard'>
<b:if cond='data:top.showAuthor'>
<data:top.authorLabel/>
<span class='fn'><data:post.author/></span>
</b:if>
</span>

[2] Dentro de ese código, sustituimos la etiqueta <data:post.author/> por la url de nuestra imagen:

<span class='post-author vcard'>
<b:if cond='data:top.showAuthor'>
<data:top.authorLabel/>
<span class='fn'><img src="http://signatures.mylivesignature.com/54486/208/19EDAEC8AD39BD58A732B86C3A17F33B.png" style="border: none; background: transparent;"/></span>
</b:if>
</span>

[3] Si además queremos prescindir del "publicado por" y mostrar solamente nuestra imagen, eliminamos en el mismo código la etiqueta <data:top.authorLabel/>


[4] También podríamos cambiar el texto en "publicado por" para usar un texto distinto, para ello después de eliminar la etiqueta
<data:top.authorLabel/> pondríamos en su lugar directamente el texto que queremos mostrar ahí:


Compartir Enlace

Tutorial de Ossim (IV) : Eventos

Eventos > Forensics

Ir a Forensics es una de las cinco opciones en la esquina superior izquierda de la página de Eventos.

Si todavía usa Acid/Base, debe ir al enlace Forensics, en lugar del visor de eventos. Pulsando el enlace va directamente al Análisis Básico y a la página del motor de Seguridad (BASE)

Eventos > Vulnerabidades

La parte de Vulnerabidades de OSSIM muestra información sobre las debilidades potenciales de nuestro sistema, tal y como se muestra en la Figura 8– Eventos > Vulnerabidades.

Figura 8– Eventos > Vulnerabidades

La parte superior de la página de Vulnerabidades muestra enlaces a un número de varios análisis del sistema. Los 10 últimos análisis se muestran en una tabla justo debajo de estos enlaces. Cada análisis de dicha tabla puede mostrar resultados, borrarse de la tabla o archivarse para el futuro.

La página de vulnerabidades también muestra una representación gráfica de los análisis de Redes (Nets) y Hosts para direcciones IP específicas.

La lista de vulnerabidades se obtiene gracias al análisis Nessus.

Events > Vulnerabilidades > Último análisis

El enlace al último análisis nos muestra gráficamente los resultados del análisis más reciente realizado en su sistema, tal y como se muestra en la Figura 9 – Página del último análisis.

Figura 9 – Página del último análisis

En la figura, OSSIM empleó el análisis de seguridad Nessus para chequear el sistema. El informe se divide en dos partes distintas: Sumario Gráfico y Resultados por Host. Ambas secciones son precedidas por un sumario del análisis, que muestra el número de agujeros de seguridad, alertas de seguridad y las notas de seguridad.

La primera parte, el Sumario Gráfico, muestra dos gráficos: el primero es el de los servicios más peligrosos en la red/ gráfico número de agujeros; el segundo es el de los servicios más presentes en la red/ número de ocurrencias

La segunda parte, Resultados por Host, muestra la dirección IP atacante que ha causado un agujero de seguridad, así como el número de agujeros de seguridad para esa dirección.

Puede pulsar en la dirección IP en la sección Resultados por Host para obtener información adicional sobre la brecha de seguridad. Si pulsa en la dirección IP, se muestra un gráfico que ilustra el reparto del nivel de los problemas de seguridad para esa dirección IP.

La página de dirección IP también muestra una lista de los puertos abiertos, así como la información relativa a cualquier vulnerabilidad o información general de cualquiera de los puertos abiertos (incluyendo un ID de Nessus que muestra un enlace que propociona información adicional)

Eventos > Vulnerabilidades > Informes

La página de Informes de la sección de Vulnerabilidades le permite crear un nuevo informe de Nessus o trabajar con uno ya existente, tal y como se muestra en la Figura 3.

Figura 10 – Vulnerabilidades – Página de Informes

La página de informes personalizados de Nessus le proporciona cuatro opciones diferentes para trabajar con los informes personalizados generados:

• Ver un informe
• Borrar un informe
• Guardar un informe
• Generar un nuevo informe

Los informes existentes aparecen en una tabla localizada en el centro de la página de Informes. El título del informe, así como la fecha y hora a la que fueron creados, aparecen junto a varios informes.

El primer enlace, Mostrar, le permite ver el informe. Pulsando el informe, el informe seleccionado aparece en un cuadro de texto bajo el mencionado cuadro.

El segundo enlace, Borrar, le permite eliminar el informe de la tabla.

El tercer enlace, Guardar, le permite almacenar el informe para su posterior uso. Aparece un mensaje indicando de que el guardado se realizó con éxito. Una vez completo, pulse Volver para volver a la página de Informes.

Adicionalmente, puede crear y generar informes personalizados usando el enlace Generar nuevo informe localizado bajo la tabla que muestra los informes existentes.

Usando las barras de desplazamiento que aparecen en la página de Informes, puede crear su nuevo informe y generarlo. En primer lugar dele un nombre al informe introduciendo el título en la caja de texto de título. El siguiente paso es seleccionar un host o hosts que aparecen debajo, usando las cajas de selección. Puede seleccionar tantos host como desee para su informe, pero recuerdo que sólo los host que han sido escaneados aparecen en la lista. El paso final es pulsar Buscar. Una vez ha pulsado Buscar, se aparecerá un mensaje indicando que el informe se ha generado correctamente y que debería volver a cargar la página. Se puede hacer simplemente pulsando el mencionado mensaje, que aparece como un enlace. La página de Informes aparece una vez recargada con el nuevo informe en el cuadro. Como se mencionó previamente en esta sección, puede ver, borrar o almacenar el informe a continuación.

Eventos > Vulnerabilidades > Actualizar análisis

La pestaña de Actualizar análisis de la página de Vulnerabilidades le permite analizar su máquina en busca de vulnerabilidades tal y como se muestra en la página de Actualizar análisis en la Figura 11 – Vulnerabilidades – Página Actualizar análisis.

Figura 11 – Vulnerabilidades – Página Actualizar análisis

Puede seleccionar sensores para el análisis actualizado de dos maneras; o bien empleando la lista que aparece usando con puntos en la zona superior de la página. En la Figura 4, se le llama “Test”. Puede manualmente seleccionar también un sensor usando la caja de selección o bien el enlace Seleccionar/Deseleccionar Todos al final de la página.

Una vez ha seleccionado su sensor como se mencionó más arriba, pulse Enviar. Aparecerá un mensaje indicando que el análisis está en progreso y que llevará algún tiempo. Una vez pulse Volver, se le lleva de nuevo a la página Mostrar análisis Agregados de Vulnerabidades dónde su análisis se lista como uno de los últimos realizados.

Eventos > Vulnerabilidades > Mostrar análisis Agregados

La página Mostrar Análisis Agregados provee información sobre los análisis ejecutados previamente como se muestra en la Figura12 Vulnerabilidades – análisis Agregados.

Figura12 Vulnerabilidades – Análisis Agregados

La Página Mostrar Análisis Agregados es también la página por defecto que aparece cuando pulsamos en enlace Vulnerabidades al comienzo de la página. Esta página le permite acceder a todas las características disponibles en la sección de Vulnerabidades a través de enlaces -tales como último análisis, informes, actualizar análisis, etc.

La tabla que aparece bajo este enlace muestra los últimos 10 análisis (si no ha realizado 10 análisis, tal y como sucede en la Figura 5, se mostrarán todos). Cada análisis se nombra con la fecha y hora; puede usar el enlace correspondiente para mostrar, borrar, o archivar el análisis. Es similar a los enlaces que aparecen en la página de Informes.

Los análisis en esta página están codificados por colores de tal modo que pueda saber cuan reciente es la información; por ejemplo, los análisis con más de 15 días de antigüedad aparecen en amarillo, mientras que aquellos de más de 30 se muestran en rojo. Los más recientes (menos de 15 días) se muestran en azul.

Al final de la página, hay una representación de los 20 primeros hosts. Usando un gráfico de tipo línea, los host más usados aparecen por nombre (dirección IP) y su cantidad. Pulsando en la dirección IP, puede obtener información detallada de esa IP, como se muestra en la página Último análisis.

Eventos > Vulnerabilidades > Análisis Programados

La página de Análisis Programados le permite programar análisis para su equipo, algo parecido a cómo programar un escáner antivirus, tal y como se muestra en la Figura 13 – Vulnerabidades – Análisis Programados.

Figura 13 – Vulnerabidades – Análisis Programados

La página muestra cualquier análisis programado en la tabla situada en el centro de la página. La sección superior ofrece información relativa a cómo ajustar los umbrales para los incidentes; en otras palabras, puede configurar cuan tolerante es su sistema frente a potenciales vulnerabidades con lo que sólo auditará problemas serios de administración y no los triviales que podrían ser simplemente falsos positivos . El umbral actual también se muestra en esta sección; por ejemplo, es 0 en la Figura 13.

Para añadir un análisis programado, pulse Agregrar otra programación, que se encuentra al final de la página. Como en la página de Actualizar Análisis, puede seleccionar o bien manualmente el sensor, pulsando el check box o el enlace Seleccionar/Deseleccionar Todo, o bien puede usar el sensor que aparece como en una línea tipo viñeta. Una vez seleccionado su sensor, puede establecer las preferencias para la programación usando la columna derecha de la tabla que aparecerá.

La columna izquierda le proporciona instrucciones para la programación de su análisis. Por ejemplo, la casilla minuto acepta valores comprendidos entre 0 y 59; la celda de la hora entre 0 y 23 y así sucesivamente. Puede añadir un mes o un año si lo desea, también puede emplear el carcter comodín (*), que significa que sucederá todos los meses de todos los años. Una vez finalizado, pulse Enviar. Aparecerá un mensaje indicando que su programación se ha añadido correctamente. Puede pulsar Volver para volver a la página de Programar Análisis, dónde los nuevos análisis programados aparecerán en la tabla.

Si necesita cambiar algo, puede usar los enlaces que aparecen en la tabla para borrar los análisis programdos o para forzar el análisis ahora en lugar de a la hora o fecha programada.

Eventos > Vulnerabilidades > Volver

El enlace Volver, simplemente le lleva de uevo a la página Mostrar Análisis Agregados. No tiene otro propósito.

Eventos > Anomalias

La pestaña de anomalías muestra cuatro tipos de anomalías:

1. Anomalías de comportamiento RRD, ambas por host y a nivel global
2. Cambios de Sistema Operativo
3. Cambios de Dirección Mac
4. Cambios de versión de Servicio

Desde esta pestaña puede tener conocimiento de esos cambios, ignorarlos y generar incidentes relacionados con los mismos.

Eventos > RT Events (Real Time Events – Eventos en tiempo real)

RT Eventes va mostrando los eventos a medida que van llegando al servidor. Se puede usar con propósitos de depuración así como para tener un indicador siempre-en-pantalla de los eventos entrantes.

Eventos > Event Viewer (Visor de Eventos)

La página de eventos muestra cinco tipos distintos de Eventos: Todos, Cortafuegos, Anomalías, Eventos Windows y Eventos Unix. Empleando el panel Filtro, puede mostrar los eventos de su elección, tal y como se muestra en la Figura 6 – Eventos > Event Viewer

Figure 6 – Control Panel > Events

Los Eventos de Sistemas operativos son cualquier tipo de evento que intente modificar vistas en el sistema operativo en alguna máquina de su red.

La página de Eventos le proporciona algunas opciones para trabajar con los eventos del sistema. Además de buscar información detallada relacionada con algunos eventos específicos del sistema, puede configurar las pestañas de Eventos en OSSIM y realizar análisis Forense (Acid/BASE).

Al comienzo de la página de Eventos, hay una sección con enlaces a los cinco diferentes tipos de eventos tal y como se mencionó previamente. Por supuesto puede crear nuevos tipos de eventos diferentes, tal y como vermos más adelante. Pulsando en el enlace los resultados aparecerán listados para ese tipo de evento.Por ejemplo, si pulsamos en Windows Events, la lista de los resultados que aparecerán al final se reducirán significativamente, ya que sólo se mostrarán los Eventos de Windows.

De modo alternativo, puede usar el panel Filtro en el medio de la página de Eventos para buscar un evento o grupo de eventos usando un criterio específico. Usando el panel filtro, puede enviar:
Host le permite especifiar el nombre de equipo para el evento deseado.

La caja de texto Fecha le permite especificar un rango de fechas para el/los eventos deseados. Pulsando el icono del calendario a la derecha de la caja de texto, puede seleccionar la fecha de comienzo y fin usando el calendario pop-up que aparecerá. Cuando configure una fecha, recuerde que su fecha debe seguir el formato año-mes-día.

El botón de selección Display by le permite aplicar un criterio de ordenación a los resultados de su búsqueda. Puede escoger mostrar los eventos por fecha, tipo, IP de origen, o IP de destino.

Una vez ha definido su criterio de búsqueda pulse Ir.

Por defecto, los reslutados devueltos se muestran por fecha. Como puede ver en la Figura 5, los eventos se listan bajo una fecha, que aparece como un menú desplegable. Si abre el menú, los eventos aparecen de uno en uno bajo la fecha.

Para cada evento, la página de Eventos muestra el tipo de evento, la fecha en la que ocurrió, así como las direcciones IP de origen y destino. Puede econtrar información adicional para cada evento, tales como el plugin, plugin SID, y cualquier dato de usuario expandiendo el menú que comprende el nombre del evento bajo la columna Tipo.

Configurar la Pestaña de Eventos.

La pestaña Configurar Eventos es una de las dos opciones adicionales en la esquina superior derecha de la página de Eventos, junto con la de Análisis Forense.

Esta pantalla se muestra un cuadro sinóptico con los cinco tipos de Eventos: Firewalls (cortafuegos), Anomalies (anomalias), Windows Events, Unix Events, Availability (Disponibilidad).Cada tipo de evento se relaciona con un checkbox (para seleccioinar múltiples tipos de eventos), así como una breve descripción de ese evento.

Cada tipo de evento en el cuadro antes mencionado también lleva aparejado su propio enlace; si pulsa Configuraciones, aparece un nuevo panel para ese tipo particular de evento, tal y como se muestra en la Figura 7 – Página de Eventos – Event Viewer – Página de Configuración de Eventos.

Figura 7 – Página de Eventos – Event Viewer – Página de Configuración de Eventos

El nuevo panel contiene cuatro pestañas que le permiten configurar parámetros para una columna concreta de un evento en particular: Generator,Event, Host y OS/MAC/Service. Para cambiar entre las pestañas, simplemente pulse el nombre de la pestaña. Puede eliminar una pestaña, o columna, pulsando su enlace correspondiente Borrar. Puede añadir una pestaña adicional pulsando en el enlace Añadir Columna.

Cada columna tiene tres configuraciones:

• Columna label (Etiqueta) le permite configurar el nombre de la columna; una vez hecho, aparecerá una pestaña en la zona superior del cuadro.
• Columna contents (Contenidos), le permite configurar el tipo de contenido de la pestaña, así como una etiqueta.
• Columna settings (Configuraciones), le permite configurar las características de apariencia de la columna, tales como alineación, ancho y si va a usar o no ajuste de línea.

CopyPasteandoLink

iTALC - Administración de aulas

Como se puede ver en la imagen italc es una herramienta que se puede emplear para ayudar a nuestros alumnos desde nuestro ordenador, visualizar qué tareas están realizando o incluso mostrarle qué hacemos en nuestra pantalla para sustituir, por ejemplo, a nuestro proyector en caso de avería o inexistencia del mismo.

Una cosa que me ha llamado la atención es que genera una clave, de tal modo que para asociar un equipo al servidor debes disponer de la clave (fichero) generado previamente. Otra de las ventajas que tiene frente a las herramientas comerciales - además de que al ser libre dispondremos del código y es gratuita-, es que está disponible para entornos windows y linux e incluso se puede emplear en entornos mixtos.
En nuestras aulas tanto el ordenador del profesor como los de los alumnos tienen arranques duales, el proceso de instalación es muy sencillo:
1.- En nuestro caso instalamos y configuramos el equipo del profesor generando la clave de italc desde windows.
2.-Copiamos la carpeta keys que contiene dos carpetas con la llave pública y la privada.
3.- A continuación instalamos italc master en Linux -seguimos en el equipo del profesor - y copiamos la carpeta Keys sustituyendo la que trae por defecto.
4.- Posteriormente se instala en todos los equipos clientes (tanto en windows como linux) dando el fichero key público en windows y sustituyendo directamente la carpeta key/puclic en linux (en etc/italc/) por la carpeta public de nuestro servidor y dándole posteriormente permisos de lectura a todos los usuarios.

Página del proyecto: http://sourceforge.net/projects/italc/
Descargas: http://sourceforge.net/project/showfiles.php?group_id=132465

CopyPasteandoLink

Ossim: Panel de Incidencias

Incidencias > Incidencias

La página de incidencias muestra una lista de incidentes grabados por nuestro equipo. Aquí puede encontrar automáticamente incidentes almacenados, o los que haya generado manualmente. Está dividida en tres secciones distintas, como se muestra en la Figura 20 –Incidencias > Incidencias: un filtro, detalles del incidente e insertar incidencia.

Figura 20 – Incidencias > Incidencias

El filtro simple devuelve los incidentes solicitados que están relacionados con su criterio de búsqueda. Una vez que ha encontrado la incidencia deseada, usando o bien el filtro simple o la lista por defecto (mostrar todos) que aparece cuando abre la página de Incidencias, puede obtener o añadir más información sobre un incidente, de la siguiente manera:

• Pulsando –click- en el título de la incidencia
  
• Pulsando en el número del ticket
  

Una vez se ha pulsado en la columna, se muestra la página para una incidencia concreta. Le mostrará información detallada como el nombre del incidente, la clase, el tipo, fecha de creación, dirección IP, etc. Si la persona que se conectó al ticket de incidencia incluyó cualquier nota o información relativa al incidente, también aparecerá.
Hay dos posibilidades importantes en esta página:

• A. El botón de Edición de Incidencias
  
• B. El botón de Nuevo Ticket
  

A) Si pulsa el botón Editar, puede actualizar manualmente parte de la información que aparece en la página detalle. Los campos modificables incluyen:

• Título
  
• Prioridad
  
• Tipo
  
• IP
  
• Puerto
  
• Nessus ID
  
• Riesgo
  
• Descripción
  

Una vez que se hacen cambios en cualquiera de los valores existentes, puede validar dichos cambios pulsando OK. Los nuevos cambios se hacen al momento y aparecen en la página de Incidencias para ese incidente en concreto.
B) También puede crear un nuevo ticket usando el botón ya mencionado de Nuevo Ticket. Sea prudente, esto no anota un nuevo incidente o título, sino que le permite añadir un nuevo ticket a un ticket o incidente ya existente abierto. Una vez que pulse Nuevo Ticket, es redirigido a la sección Nuevo Ticket de la página de detalles de Incidencias (alternativamente, puede moverse, simplemente, al final de la página y manualmente crear un nuevo ticket.)

Hay seis campos distintos que se pueden establecer usando la ventanta Nuevo Ticket:

El campo Estado permite especificar el estado actual de un Nuevo ticket, generalmente si ha sido resuelto o no. Por defecto se establece como Abierto.

El campo Prioridad le permite especificar la importancia del Nuevo ticket. Por defecto, se pone a 3 → Bajo. Puede establcer la prioridad del nuevo ticket desde 1(Baja) hasta 10 (Alta). Alternativamente, puede establecer la segunda lista desplegable a Baja, Media, o Alta. Si se configura la lista desplegable con números, la segunda lista, automáticamente toma los valores Alta, Medio, Baja, dependiendo del número de prioridad seleccionado. Del mismo modo, si selecciona Alta, Media o Baja en la lista desplegable, la segunda automáticamente tomará el número más bajo para dicho estado. Por ejemplo, poniendo la lista a Alta establecerá el número a 8; si ponemos la lista desplegable a 2 el estado será baja.

El Campo Transferir A, le permite transferir el nuevo ticket a otro usuario, si es aplicable.

El Campo Adjunto le permite añadir un fichero al nuevo ticket. Esto se puede emplear para añadir información adicional al ticket.

El campo Descripción es una caja de texto que le permite añadir todos los comentarios adicionales o la información importante relativa a su nuevo ticket

El campo Acción le permite añadir acciones a realizar para el Nuevo ticket. El usuario final (un cliente, algún otro departamento en la empresa, o simplemente las personas a cargo) deben conocer cuál es la Acción que se requiere realizar para ese problema.

Una vez que ha completado su nuevo ticket, puede validarlo pulsando el botón Añadir ticket de la página Nuevo Ticket.

Los usuarios también se pueen subscribir a los tickets por email. Se necesita una dirección de correo electronic válida para hacerlo. A los suscriptores se les notificará cualquier cambio en el ticket cuando ocurra.

Incidencias > Tipos

La sección incidencias presenta tres pestañas, incluidos los Tipos de sección, tal y como se muestra en la Figura 21 - Incidencias> Tipos. En la página de Incidencias, puede trabajar con un incidente particular y notificar que había un "tipo" que se le aplicaba. Usando la página Tipos, puede ver o modificar la lista de tipos disponibles para sus incidentes. Estas modificaciones incluyen la edición, la adición o el borrado

Figura 21 – Incidencias > Tipos

Puede editar rápidamente un tipo de incidente existente pulsando en el enlace Modificar de la columna acciones para un Tipo de Incidencia. Sin embargo, está limitado en lo que puede actualizar actualmente. De hecho, si pulsa en Modificar, aparecerá una pantalla mostrándole que se le permite añadir o modificar una descripción en una caja de texto. Una vez ha hecho los cambios necesarios al tipo de incidencia, pulse OK. Si hace algún cambio y decide que preferiría guardar el texto almacenado inicialmente, pulse Reset. Este botón actúa como el botón Deshacer; sin embargo, una vez que ha salvado un texto nuevo, no podrá revertir el texto a una descripción anterior. Aparece una caja de diálogo para confirmar el éxito de los cambios; pulse Volver.

Si esta característica no satisface sus necesidades, siempres puede añadir un nuevo tipo de incidente. Al final de la tabla de tipos de incidentes, pulse Añadir Nuevo tipo. La pantalla que aparece tiene una funcionalidad similar a la pantalla Modificar mencionada en el párrafo anterior; la principal diferencia es que tiene un cuadro de texto adicional que le permite introducir un Identificado de incidente. Una vez que ha añadido un ID ( ¡y la descripción!), pulse OK. Se mostrará un cuadro de diálogo confirmando el éxito de los cambios; pulse Volver.

Por favor, fíjese que puede modificar el nombre del Tipo de Incidencia en los Tipos generados por el usuario, pero no puede hacerlo en los por defecto.

Incidencias > Etiquetas

La sección de Incidencias dispone de tres pestañas distintas, incluyendo la sección Etiquetas, como se muestra en la Figura 22-Incidencias>Etiquetas. En la página de Incidencias, recuerde que puede trabajar con un incidente particular y notificar que había un “extra” aplicado al mismo. El “extra” es similar al Estado para el incidente. Se puede emplear, por ejemplo, para clasificar los incidentes. Usando la página Tipos de Etiquetas, puede ver o modificar la lista de los extras disponibles para sus incidents. Estas modificaciones incluyen la edición, adición o borrado.

Figura 22 – Incidencias > Etiquetas

Se puede editar rápidamente un tipo de incidencia pulsando el enlace Modificar en la columna Acciones para la etiqueta ID de la fila. A diferencia de la página Tipos de Etiquetas, puede modificar la descripción, así como el nombre de ID para la etiqueta. Una vez hechos los cambios necesarios, pulse OK. Siempre puede descartar los cambios pulsando Cancel. Independientemente del botón pulsado, volverá automáticamente a la página de Etiquetas.

Si esta característica no cumple sus necesidades, siempre puede añadir una nueva etiqueta de Incidencia. Al final de la tabla de etiquetas de incidencias, pulse Añadir una nueva etiqueta. La pantalla que aparece es similar en su funcionalidad a la pantalla de Modificar mencionada anteriormente; la principal diferencia es que las cajas de texto están vacías. Una vez que ha añadido una ID (y la descripción), pulse OK. Siempre puede descartar los cambios realizados pulsando Cancel. Independientemente de que botón haya pulsado, volverá automáticamente a la pantalla de Etiquetas.

Incidencias > Informes

La cuarta etiqueta incluida en la sección de Incidencias es la sección Informes, tal y como se muestra en la Figura 23 – Incidencias > Informes. En la página de Informes, puede ver el número de informes creados previamente que aportan información relativa a incidencias.

Figure 24 – Incidencias > Informes

Hay cinco informes separados en la página de Informes; sin embargo, es importante señalar que no puede moidificarlos o manipularlos de ningún modo.

Estos informes son:

• Incidentes por estado
  
• Incidencias por tipo
  
• Incidencias por usuario
  
• Cerrar las incidencias por mes
  
• Incidencias por fecha de resolución
  

Cada gráfico aporta un representación numérica de los datos; por ejemplo, las Incidencias por tipo de informe lista los tipos de incidents que ha ocurrido, así como el número de incidencias por tipo. Después de todo, una representación gráfica se muestra basada en estos datos.

CopyPasteandoLink

Ossim: Dashboard (Panel de instrumentos)

Dashboard > Panel Ejecutivo

El Panel Ejecutivo de OSSIM es, de hecho el punto de inicio de la aplicación OSSIM. Una vez que hemos entrado en OSSIM, aparece el Panel Ejecutivo como se indica en la figura 2– Dashboard > Panel Ejecutivo.

Figura 2 – Dashboard > Panel Ejecutivo

La pantalla general de “Bienvenida”, el panel ejecutivo permite realizar una serie de cosas:

• Acceso a la ayuda online
• Realizar una de las ocho tareas más habituales del sistema
• Encontrar información adicional en la página web ossim.net web site.
• Pulsar el hiperlink “Edit” para personalizar el Panel Ejecutivo de OSSIM. El Panel Ejecutivo puede tener multiples sub-paneles. Los paneles se pueden configuar para mostrar información de los módulos a través de OSSIM (ver Figura 3 – Panel de Configuración).

Figura 3 – Panel de configuración

Dashboard > Aggregated Risk

El panel Aggregated Risk muestra métricas, o paneles que muestran gráficamente los niveles de ataques y compromises del sistema como se muestra en la figura 4– Dashboard > Aggregated Risk.

Figura 4 – Dashboard > Aggregated Risk

Ataque y Compromiso son dos indicadores que OSSIM monitoriza independientemente debido a la potencial severidad de su naturaleza. Ambas son el resultado del riesgo representado por los eventos afectados por la monitorización de estas características. En la . En la página de Métricas un Ataque representa el riesgo potecial de la máquina debido a ataques dirigidos hacia nuestro equipo. En otras palabras, representa la posibilidad de un ataque, pero no indica que el ataque haya tenido éxito. La sección Compromiso indica que se ha cometido un ataque con éxito contra nuestro equipo.

La página Aggregated Risk está dividida en cuatro secciones distintas:

• El panel superior nos permite seleccionar la duración de nuestras medidas: las últimas 24 horas, la última semana, mes o el año pasado.
• El panel central nos muestra una representación gráfica, o dashboards, que muestran las metricas globales admin, un medidor de riesgo y un nivle de servicio.
• En la esquina inferior idquierda el panel provee información del Compromiso.
• En la esquina inferior derecha provee información de los Ataques.

Podemos pulsar en el gráfico “Global Admin Métricas” y aparecerá en una nueva ventana para facilitar su visualización. Este gráfico muestra cualquier ataque o instancias de compromiso a la hora y fecha en la que ocurrieron.

El gráfico Medidor de riesgo, que también puede ser pulsado para una visualización más sencilla, muestra los ataques y compromises en una red global y a nivel de host. Este display es un monitor en tiempo real C & A.

El gráfico de Nivel de servicio muestra el actual nivel de servicio en nuestro equipo. La información del gráfico se obtiene del mismo lugar que el Medidor de riesgo para permitirnos ver el histórico de las medidas del C & A. Podemos pulsar el porcentaje mostrado y ver el “Level admin Metricas”. Este gráfico nos permite seleccionar la duración del tiempo a mostrar en el gráfico (pasado día, semana, mes o año), así como seleccionar si mostrar o no los ataques y compromisos.

Las secciones Compromiso y Ataque del final del panel muestran información similar para los dos eventos. Cada evento está dividio en dos tipos: grupos externos globales y de redes.

La sección global contiene cuatro trozos de información: Valoración global, Fecha maxima y los niveles máximos y actuales.

La valoración global tiene dos iconos: un símbolo de un gráfico y otro de inserción de información. Pulsando en el símbolo del gráfico, nos aparecerá la ventana de Global admin Métricas (exactamente como en el primero del panel superior). El icono de inserción de información nos permite configurar las características para la inserción de de incidentes de métrica que especifica la medidas en un nuevo incidente. Podemos modificar la información sugerida con otra (si es necesario). Por ejemplo, podemos aplicar un título a un incidente, establecer la prioridad, el tipo, el objetivo, el tipo de medida (métrica) y su valor, así como establecer las fechas y horas de inicio y finalización de los eventos citados.

La sección grupos externos de Red muestra información similar par alas redes sin grupo definido bajo las Politicas de Grupo de Red (ver grupos de Red). Cada red externa también contiene iconos gráficos y de información como los detallados en el párrafo anterior.

Al final de la página de Métricas se muestra una leyenda en la que se ilustra el porcentaje umbral y su correspondiente riesgo usando un código de colores.

Dashboard > Alarmas

El panel de alarmas muestra aquellos eventos, estando correlacionados o no, que exceden de un cierto riesgo, 1.0 por defecto. Muestra información acerca de cualquier intrusion o intent de intrusion en nuestra red, como se muestra en la Figura 5–Panel de Control > Alarmas

Recuerda: riesgo = activo * prioridad * relevancia / 25 (activo 0-5, 0-5 prioridad, relevancia 0-10) asset * priority * reliability / 25 (Asset 0-5, Priority 0-5, Reliability 0-10)

Explicación: El resultado estará entre 0 y 250, por tanto si queremos un riesgo entre 0 y 10 debemos divider por 25

Figura 5 – Panel de Control > Alarmas

Cada una de las alarmas puede consistir en uno o más eventos individuales.

Hay cuatro tipos principales de alarmas:

• Alarmas simples que consisten en un evento simple cuyo valor de riesgo ha excedido el umbral de riesgo, ya sea porque uno de los activos involucrados fue lo suficientemente alto, la importancia del evento fue lo suficientemente alto (es decir, la prioridad se fijó a un valor alto) o que la relevancia de ese evento es muy alto.
• Directivas de correlación lógica dónde uno o más eventos (a menudo miles de eventos) están correlacionados resultando en varias alarmas que permanecerán agregadas bajo una simple.
• Eventos correlacionados cruzados, que son “traducidos” en alarmas por el hecho de que se ha detectado un identificador de evento con un host al que previamente se le había identificado una vulnerabilidad.
• Alarmas generadas por eventos correlacionados con un inventario de información cuya fiabilidad se ha alcanzado porque hemos identificado un evento que ha llegado contra una posible vulnerabilidad de alguna versión de sistema operativo o Servicio.

A continuación tenemos un ejemplo de captura de pantalla de una alarma de correlación lógica multinivel:

La página de Alarmas está dividida en dos paneles distintos; el panel superior es un panel de búsqueda que permite establecer criterios de alarma o intrusión específicos. Los resultados devueltos se muestran en el panel de final de la página de Alarma.

El panel de Búsqueda nos da distintas opciones para localizar alarmas e intrusiones:

• El checkbox Filtro, si está seleccionado oculta cualquier alarma devuelta cuyo estado esté puesto a Cerrado –Closed-.

• La caja de texto Date nos permite especificar un rango de fechas para las alarmas deseadas.Pulsando el icono del calendario situado a la derecha de la caja de texto se puede seleccionar el comienzo y fin de la fecha usando el calendario pop-up. Cuando especifiquemos una fecha, debemos recordar que la fecha debe seguir el formato año-mes-día.

• La caja de texto IP Address nos permite seleccionar rangos de ips de origen y de destino para la alarma.

• La caja de texto Num. de alarmas por página permite establecer el número máximo de alarmas que se van a mostrar en cada página.

Una vez que has establecido el criterio de búsqueda, pulsa Ir y los resultados irán apareciendo al final del panel de la página. Estas alarmas devueltas se ordenan, primero por fecha; se puede optar por borrar todas las alarmas para una fecha determinada pulsando en Borrar junto a la fecha del bloque de alarmas. Alternativamente, podemos borrar una alarma de modo individual pulsando el link mencionado que también está situado junto a la entrada alarma en los resultados de la búsqueda. La tercera manera de borrar todas las alarmas en nuestros resultados buscados es pulsando Borrar Todas las Alarmas al final del panel de búsqueda de resultados.

En el panel del final de la página de Alarmas hay un número de secciones que nos dan información de ayuda cuando trabajamos con alarmas o intrusiones:

• La columna Alarmas muestra el nombre de la alarma, la intrusión, o el evento ocurrido. Puede ser un nombre específico, o simplemente una descripción del evento; por ejemplo una “possible intrusión contra vmossim”.

• La columna Riesgo muestra un número que indica la amenaza potencial para nuestra máquina o red. Por ejemplo, un riesgo de 2 muestra un riesgo mínimo para nuestro sistema. Por otro lado, un riesgo de 6 no solo plantea peligros significativos para nuestra máquina, sino que también tiene una etiqueta color-código indicando un alto riesgo.

• La columna Sensor indica la dirección IP del dispositivo que detectó la alarma. El Sensor OSSIM a dónde los eventos que generaron la alarma han llegado.

• La columna Desde indica la fecha en la que OSSIM grabó la primera intrusión o ataque particular. Contiene la fecha complete seguida de la hora.
• La columna Última indica la fecha en la que OSSIM grabó la última detección de un evento particular relacionado con un ataque o intrusión. Contiene la fecha completa seguida de la hora.

• La columna Origen muestra la dirección IP y número de Puerto de dónde apareció el primer evento de ataque o intrusion, asícomo un icono con el Sistema Operativo de origen (si se conoce).

• La columna de Destino muestra la IP de origen y el número de Puerto dónde apareció el primer evento de ataque o intrusión.

• La columna Estado, muestra si la alarma está puesta como Abierta o Cerrada. Podemos cambiar el estado de una alarma de Abierta a Cerrada, simplemente pulsando en el enlace Abierta. El enlace, a continuación aparecerá como cerrado.

La columna Acción permite realizar dos acciones distintas desde esta columna: la primera es poder borrar una alarma como se mencionó antes pulsando en Borrar. Para cada alarma que tengamosThe Action column lets you perform two distinct actions from this column: first, you can delete an alarm as mentioned earlier by clicking Delete. Para cada alarma tendremos información resumida de ejemplo como los eventos involucrados en esa alarma, sensores involucrados, origen destino , etc. Es importante señalar que para cada alarma hay un vínculo simpolizado por el icono "i" que puede utilizar para abrir un nuevo incidente con esa alarma . Alguna de la información se generará automáticamente en el momento de la creación:
CopyPasteandoLink