11.- OSSIM Reenviando logs de Vmware Esxi. Agentless

11º artículo de la serie OSSIM. Parte 123456, 7 , 8. 9 10


En anteriores artículos hemos visto como agregar fuentes de información a OSSIM para analizar. Hemos configurado esas fuentes de información desde un sensor OSSEC instalado bajo Windows y otro sensor OSSEC instalado bajo Debian. 

Ahora es el turno de agregar otra fuente de información de un sistema sobre el cual no podemos instalar software adicional, como pueda ser un Access Point. Para esta prueba vamos a "ligar" OSSIM con un hypervisor Vmware Esxi.

Creo que existe un procedimiento para compilar el agente OSSEC en Esxi, pero no veo recomendable instalar herramientas C y un montón de librerías sobre nuestro Hypervisor. La única diferencia entre usar un cliente OSSEC y aprovechar las funciones syslog es la monitorización de integridad de ficheros. Si podemos prescindir de esta medida de seguridad en nuestro Host Esxi, perfecto !!

El primer paso es configurar en nuestro Esxi que queremos reenviar los logs del sistema a un servidor syslog, que será la ip de nuestro sensor OSSIM por el puerto UDP 514.

esxcli system syslog config set --loghost='udp://OSSIM:514'
esxcli system syslog reload

En la interface gráfica de OSSIM debemos habilitar el plugin para ESXI, ya sabes, para que sepa interpretar y normalizar los logs que le lleguen.


En la consola OSSIM:

Creamos el fichero  /var/log/vmware-esxi.log para almacenar los logs antes de parsearlos con OSSIM.

Creamos el fichero /etc/rsyslog.d/vmware-esxi.conf y editamos

if $fromhost-ip == 'ip_ossim' and $syslogseverity <= '6' then -/var/log/vmware-esxi.log


Añadimos /var/log/vmware-esxi.log al fichero de configuración de rotación de logs.

En cuanto se produzca un evento que coincida con la condición que le hemos aplicado, podremos visualizarlo en la consola SIEM.

Dentro de la necesidad de obtener información de sistemas a los cuales no podemos agregar software adicional (instalar un cliente OSSEC) existen dos peculiaridades... que pueda acceder por ssh o no.
En el segundo caso el procedimiento termina aquí. 

Para el caso del Esxi, podemos acceder por SSH al sistema, y monitorizar integridad de ficheros periodicamente con lo que se denomina OSSEC Agentless...

El proceso de configuración es tan sencillo como siempre.


Indicamos los campos básicos.


Podemos elegir entre las comprobaciones habituales de OSSEC para cada tipo de sistema.
Si seleccionamos SSH_DIFF podemos incluir una serie de comandos, y ossec simplemente los ejecutará y nos reportará eventos en caso de diferencias...


Espero que os haya servido de ayuda tanto para "linkar" vuestro servidor Vmware como para el concepto de Agentless y las múltiples posibilidades que nos ofrece.

Gracias por leerme !!!