Alertas de Threat Intelligence no OSSIM
home > ferramentas de segurança > este artigo
– Introdução –
A detecção e resposta rápida a incidentes cibernéticos são pilares fundamentais na segurança de redes. No ambiente do AlienVault OSSIM, configurar alertas por e-mail é uma forma eficiente de manter sua equipe informada sobre eventos críticos em tempo real, especialmente quando se trata de eventos relacionados à Threat Intelligence. Neste guia, exploraremos o passo a passo para configurar e otimizar os alertas por e-mail, garantindo que as informações mais importantes cheguem rapidamente às mãos certas.
1. Configuração Básica de E-mail no OSSIM
Para que o OSSIM possa enviar notificações por e-mail, é necessário configurar o servidor SMTP. Essa configuração inicial permite que o sistema comunique eventos e alertas aos administradores.
- Acesse o painel de administração do OSSIM.
- Navegue até CONFIGURATION > DEPLOYMENT > COMPONENTS > ALIENVAULT CENTER > ALIENVAULT COMPONENTS INFORMATION > System Detail > General Configuration.
- Configure o servidor de e-mail (SMTP):
- MAIL SERVER RELAY: Defina como “Yes”.
- SERVER IP: Insira o endereço do servidor SMTP.
- USER: Insira o nome do usuário para autenticação.
- PASS: Insira a senha correspondente.
- PORT: Utilize as portas adequadas, como:
- 25 (padrão SMTP),
- 587 (para TLS), ou
- 465 (para SSL).
Salve as configurações e faça um teste para garantir que o OSSIM está enviando e-mails corretamente.
2. Criação de Regras de Correlação para Threat Intelligence
Depois de configurar o e-mail, o próximo passo é criar regras específicas para detectar e correlacionar eventos baseados em feeds de Threat Intelligence. Isso garante que apenas eventos relevantes acionem os alertas.
- Navegue até CONFIGURATION > THREAT INTELLIGENCE > POLICY.
- Clique em “New” para criar uma nova política, ou em “Modify” para editar uma existente.
- Preencha os campos básicos da política:
- Policy Rule Name: Escolha um nome descritivo para a política.
- CONDITIONS:
- SOURCE: Origem do evento.
- DEST: Destino do evento.
- SRC PORTS: Porta de origem.
- DEST PORTS: Porta de destino.
- EVENT TYPES: Tipos de eventos que dispararão a regra.
- CONSEQUENCES:
- ACTIONS: Ação a ser tomada.
- SIEM: Configuração relacionada ao armazenamento no SIEM.
- LOGGER: Envio para logs.
- FORWARDING: Encaminhamento para sistemas externos.
- Policy Rule Name: Escolha um nome descritivo para a política.
Atualize e salve as condições e consequências.
3. Habilitando Notificações de Eventos
Após criar as políticas de correlação, é hora de configurar as notificações por e-mail. Essa etapa define os detalhes do alerta, como remetente, destinatário e conteúdo do e-mail.
- Navegue até CONFIGURATION > THREAT INTELLIGENCE > ACTIONS.
- Clique em “NEW” para criar uma nova ação ou em “MODIFY” para ajustar uma existente.
- Preencha os campos do formulário de ação:
- NAME: Nome do formulário de ação.
- DESCRIPTION: Descrição da finalidade da ação.
- TYPE: Escolha “Send an email message” como tipo de notificação.
- CONDITION: Defina como “Any” para que qualquer evento relevante dispare o alerta.
- FROM: Endereço de e-mail do remetente.
- TO: Endereço de e-mail do destinatário.
- SUBJECT: Assunto do e-mail.
- MESSAGE: Corpo da mensagem (utilize as variáveis disponíveis, como detalhes do evento).
- APPEND EMAIL WITH ALL EVENT FIELDS: Marque esta opção para depurar e incluir informações completas no alerta.
Salve o formulário e aplique as modificações ao sistema.
4. Testando o Alerta
Finalmente, é essencial validar que os alertas estão funcionando corretamente:
- Gere manualmente um evento que corresponda às condições da regra.
- Utilize simuladores ou teste com eventos reais.
- Verifique se o alerta é acionado e se o e-mail chega ao destinatário.
Conclusão
A configuração de alertas por e-mail no OSSIM para eventos de Threat Intelligence é um passo crucial para aumentar a visibilidade e a capacidade de resposta às ameaças cibernéticas. Com essas configurações, sua equipe estará sempre informada sobre eventos críticos, melhorando a eficiência operacional e reduzindo o tempo de resposta a incidentes. Invista na personalização das regras de correlação e garanta que as notificações cheguem aos responsáveis certos para maximizar a proteção de sua infraestrutura. Se precisar de ajuda prática, as imagens deste guia podem ser um excelente ponto de partida.
Atualizado em 29/11/2024.