Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 75 vistas

    Registro de Un Servidor Linux en El SIEM PDF

    Cargado por

    Emtv Eloisa
    Este documento describe los pasos para configurar un servidor Linux para enviar registros al sistema SIEM (Sistema de Información y Eventos de Seguridad). Estos pasos incluyen editar el archivo rsyslog.conf para enviar registros a la dirección IP del SIEM, habilitar el puerto 514 de firewall, reiniciar el servicio rsyslog y verificar que los registros se envían correctamente al SIEM.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Registro de Un Servidor Linux en El SIEM PDF

    Cargado por

    Emtv Eloisa
    75 vistas3 páginas
    Este documento describe los pasos para configurar un servidor Linux para enviar registros al sistema SIEM (Sistema de Información y Eventos de Seguridad). Estos pasos incluyen editar el archivo rsyslog.conf para enviar registros a la dirección IP del SIEM, habilitar el puerto 514 de firewall, reiniciar el servicio rsyslog y verificar que los registros se envían correctamente al SIEM.

    Descripción original:

    Título original

    Registro de un servidor Linux en el SIEM.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe los pasos para configurar un servidor Linux para enviar registros al sistema SIEM (Sistema de Información y Eventos de Seguridad). Estos pasos incluyen editar el archivo rsyslog.conf para enviar registros a la dirección IP del SIEM, habilitar el puerto 514 de firewall, reiniciar el servicio rsyslog y verificar que los registros se envían correctamente al SIEM.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    75 vistas3 páginas

    Registro de Un Servidor Linux en El SIEM PDF

    Cargado por

    Emtv Eloisa
    Este documento describe los pasos para configurar un servidor Linux para enviar registros al sistema SIEM (Sistema de Información y Eventos de Seguridad). Estos pasos incluyen editar el archivo rsyslog.conf para enviar registros a la dirección IP del SIEM, habilitar el puerto 514 de firewall, reiniciar el servicio rsyslog y verificar que los registros se envían correctamente al SIEM.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 3

    Registro de un servidor Linux en el SIEM

    1. Configuración en el servidor Linux.


    1. Acceda al servidor Linux a través de un cliente SSH o vía consola.
    2. Acceda como root.
    3. Realizar una copia del archivo /etc/rsyslog.conf.

    o Aplicar comando: cp /etc/rsyslog.conf /etc/rsyslog.conf.original

    Imagen No.8. Respaldar archivo rsyslog.conf.

    4. Editar el archivo: /etc/rsyslog.conf (Editor vi o vim)


    5. Añadir al final del archivo, las siguientes líneas:

    o *.* @172.31.4.108
    o *.* @@172.31.4.108

    Observación: Debe existir un espacio luego de *.*, y el símbolo de @, seguido de la


    dirección IP del servidor SIEM, sin dejar ningún espacio. En este caso la IP:172.31.4.108
    corresponde al Sistema SIEM que recibe los logs del equipo.

    Imagen No.9. Modificar archivo “rsyslog.conf”

    6. Comprobar si el puerto 514 para transmisión de Logs está abierto, imagen No.10

    • Aplicar comando: firewall -cmd --list-all


    Imagen No.10. Comprobar puerto 514 abierto

    • En la imagen No.10, se puede observar que únicamente están abiertos los puertos
    80 y 443. Para habilitar el puerto 514, se debe ejecutar los comandos:

    • firewall-cmd --zone=public --add-port=514/tcp –permanent

    Imagen No.11. Habilitar Puerto 514.

    7. Reiniciar el servicio de firewall y nuevamente listar los puertos habilitados en donde ya se


    presente el puerto 514.

    Imagen No.12. Verificar puerto 514 habilitado.

    8. Reinicialice el servicio “rsyslog”, aplicar comandos:

    • systemctl restart rsyslog (para Centos 7, 8)


    • /etc/init.d/rsyslog restart ó service rsyslog restart (para Centos 6)
    Imagen No.13. Reiniciar servicio “rsyslog”

    • Verificar puerto 514, aplicar comando:


    • netstat -an | grep 514

    Imagen No.14. Operación Puerto 514.

    2. Verificar el envío y recepción de logs.


    1. Desde el lado del servidor Linux-Centos, aplicar el comando:
    • tcpdump -i eth0 source 172.31.4.108

    Imagen No.15. Verificar envío de paquetes al servidor SIEM.

    • Desde el ESM, se verifica que el equipo Linux incluido en el SIEM, ya registra logs.

    Imagen No.16. Verificación de eventos en el ESM.

    También podría gustarte