En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Sistema SIEM con capacidades avanzadas para defensa perimetral de sistemas.

La plataforma de defensa MozDef busca automatizar el proceso de gestión de incidentes de seguridad y facilitar las actividades en tiempo de los administradores de sistemas. MozDef es un sistema SIEM con capacidades avanzadas para defensa perimetral de sistemas.


MozDef nace con el objetivo de hacer frente al gran arsenal de herramientas disponibles para los atacantes. Suites como: metasploit, armitage, lair, dradis y otras que están disponibles para ayudar a los atacantes, que comparten información y coordinan sus ataques en tiempo real. Los administradores de red para defenderse de estos ataques se limitan generalmente a los: wikis, los sistemas de ticketing y bases de datos de seguimiento manual unidos a un sistema de seguridad de la información y gestión de eventos (SIEM).

MozDef tiene como objetivo proporcionar funcionalidad SIEM tradicional, como:

  • La aceptación de eventos de una variedad de sistemas.
  • Almacenamiento de eventos.
  • Facilitar búsquedas de eventos
  • Permite configurar alarma con respecto a eventos.
  • Administración de eventos (archivado, restauración).

Y con funcionalidades añadidas:

  • Proporciona una plataforma para descubrir rápidamente y responder a los incidentes de seguridad.
  • Automatiza interfaces con otros sistemas como: MIG, flowspec, balanceadores de carga, etc.
  • Proporciona las métricas para los eventos e incidentes de seguridad.
  • Facilita la colaboración en tiempo real entre los administradores de incidentes
  • Facilita procesos predecibles para el manejo de incidentes.
  • Ir más allá de los sistemas tradicionales SIEM en la automatización de manejo de incidentes, el intercambio de información, flujo de trabajo, métricas y automatización respuesta
  • Acepta entradas sólo JSON y se integra con una variedad de cargadores de registro incluyendo: heka, logstash, beaver, nxlog y cualquier cargador que puede enviar JSON a cualquiera rabbit-mq o un punto final HTTP.
  • Proporciona plugins python para manipular los datos en tránsito.
  • Escalable, debe ser capaz de: manejar miles de eventos por segundo, proporcionar la búsqueda rápida, generar alertas, correlarlas y manejar las interacciones entre los equipos de administradores de incidentes.
  • Visualizaciones 3D de las amenazas.
La arquitectura MozDef se basa en tecnologías de código abierto, incluyendo:

  • Nginx, entrada de registro basasa en HTTPS.
  • RabbitMQ, cola de mensajes y basado en la entrada de registro amqp.
  • UWSGI, control de supervisión basado en Python.
  • bottle.py, interfaz basado en Python, para manejo de peticiones web.
  • Elasticsearch, modulo de indexación escalable y búsqueda de documentos JSON.
  • Meteor, marco sensible para Node.js que permite el intercambio de datos en tiempo real.
  • MongoDB, almacén de datos escalable, estrechamente integrada a Meteor.
  • VERIS, de Verizon taxonomía de código abierto de categorizaciones de incidentes de seguridad.
  • D3, librería javascript para documentos basados en datos.
  • dc.js, librería javascript  para proporcionar cartas comunes y gráficos d3.
  • Three.js, biblioteca javascript para visualizaciones 3D.
  • Firefox, navegador web.

Más información y descarga de MozDef:
https://github.com/jeffbryner/MozDef
Sistema SIEM con capacidades avanzadas para defensa perimetral de sistemas. Sistema SIEM con capacidades avanzadas para defensa perimetral de sistemas. Reviewed by Álvaro Paz on miércoles, febrero 18, 2015 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.