cybersafezone

Alertas de Threat Intelligence no OSSIM

home > ferramentas de segurança > este artigo

– Introdução –

A detecção e resposta rápida a incidentes cibernéticos são pilares fundamentais na segurança de redes.

A detecção e resposta rápida a incidentes cibernéticos são pilares fundamentais na segurança de redes. No ambiente do AlienVault OSSIM, configurar alertas por e-mail é uma forma eficiente de manter sua equipe informada sobre eventos críticos em tempo real, especialmente quando se trata de eventos relacionados à Threat Intelligence. Neste guia, exploraremos o passo a passo para configurar e otimizar os alertas por e-mail, garantindo que as informações mais importantes cheguem rapidamente às mãos certas.

1. Configuração Básica de E-mail no OSSIM

Para que o OSSIM possa enviar notificações por e-mail, é necessário configurar o servidor SMTP. Essa configuração inicial permite que o sistema comunique eventos e alertas aos administradores.

Configurar alertas por e-mail é uma forma eficiente de manter sua equipe informada sobre eventos.
Configurar alertas por e-mail é uma forma eficiente de manter sua equipe informada sobre eventos.
  1. Acesse o painel de administração do OSSIM.
     
  2. Navegue até CONFIGURATION > DEPLOYMENT > COMPONENTS > ALIENVAULT CENTER > ALIENVAULT COMPONENTS INFORMATION > System Detail > General Configuration.
     
  3. Configure o servidor de e-mail (SMTP):
     
    • MAIL SERVER RELAY: Defina como “Yes”.
    • SERVER IP: Insira o endereço do servidor SMTP.
    • USER: Insira o nome do usuário para autenticação.
    • PASS: Insira a senha correspondente.
    • PORT: Utilize as portas adequadas, como:
      • 25 (padrão SMTP),
      • 587 (para TLS), ou
      • 465 (para SSL).
         
Configurar alertas por e-mail é uma forma eficiente de manter sua equipe informada sobre eventos.

Salve as configurações e faça um teste para garantir que o OSSIM está enviando e-mails corretamente.

2. Criação de Regras de Correlação para Threat Intelligence

Depois de configurar o e-mail, o próximo passo é criar regras específicas para detectar e correlacionar eventos baseados em feeds de Threat Intelligence. Isso garante que apenas eventos relevantes acionem os alertas.

Configurar alertas por e-mail é uma forma eficiente de manter sua equipe informada sobre eventos.
  1. Navegue até CONFIGURATION > THREAT INTELLIGENCE > POLICY.
     
  2. Clique em “New” para criar uma nova política, ou em “Modify” para editar uma existente.
     
  3. Preencha os campos básicos da política:
     
    • Policy Rule Name: Escolha um nome descritivo para a política.
       
    • CONDITIONS:
       
      • SOURCE: Origem do evento.
      • DEST: Destino do evento.
      • SRC PORTS: Porta de origem.
      • DEST PORTS: Porta de destino.
      • EVENT TYPES: Tipos de eventos que dispararão a regra.
         
    • CONSEQUENCES:
       
      • ACTIONS: Ação a ser tomada.
      • SIEM: Configuração relacionada ao armazenamento no SIEM.
      • LOGGER: Envio para logs.
      • FORWARDING: Encaminhamento para sistemas externos.
         
Configurar alertas por e-mail é uma forma eficiente de manter sua equipe informada sobre eventos.

Atualize e salve as condições e consequências.

3. Habilitando Notificações de Eventos

Após criar as políticas de correlação, é hora de configurar as notificações por e-mail. Essa etapa define os detalhes do alerta, como remetente, destinatário e conteúdo do e-mail.

Configurar alertas por e-mail é uma forma eficiente de manter sua equipe informada sobre eventos.
  1. Navegue até CONFIGURATION > THREAT INTELLIGENCE > ACTIONS.
     
  2. Clique em “NEW” para criar uma nova ação ou em “MODIFY” para ajustar uma existente.
     
  3. Preencha os campos do formulário de ação:
     
    • NAME: Nome do formulário de ação.
    • DESCRIPTION: Descrição da finalidade da ação.
    • TYPE: Escolha “Send an email message” como tipo de notificação.
    • CONDITION: Defina como “Any” para que qualquer evento relevante dispare o alerta.
    • FROM: Endereço de e-mail do remetente.
    • TO: Endereço de e-mail do destinatário.
    • SUBJECT: Assunto do e-mail.
    • MESSAGE: Corpo da mensagem (utilize as variáveis disponíveis, como detalhes do evento).
    • APPEND EMAIL WITH ALL EVENT FIELDS: Marque esta opção para depurar e incluir informações completas no alerta.
Configurar alertas por e-mail é uma forma eficiente de manter sua equipe informada sobre eventos.

Salve o formulário e aplique as modificações ao sistema.

4. Testando o Alerta

Finalmente, é essencial validar que os alertas estão funcionando corretamente:

  • Gere manualmente um evento que corresponda às condições da regra.
     
  • Utilize simuladores ou teste com eventos reais.
     
  • Verifique se o alerta é acionado e se o e-mail chega ao destinatário.

Conclusão

A configuração de alertas por e-mail no OSSIM para eventos de Threat Intelligence é um passo crucial para aumentar a visibilidade e a capacidade de resposta às ameaças cibernéticas. Com essas configurações, sua equipe estará sempre informada sobre eventos críticos, melhorando a eficiência operacional e reduzindo o tempo de resposta a incidentes. Invista na personalização das regras de correlação e garanta que as notificações cheguem aos responsáveis certos para maximizar a proteção de sua infraestrutura. Se precisar de ajuda prática, as imagens deste guia podem ser um excelente ponto de partida.

Atualizado em 29/11/2024.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *