DSCC, el SIEM de Enterasys

Esta semana hemos recibido un curso de DSCC (Dragon Security Command Console) y quería comentaros brevemente mis impresiones.

Se trata del SIEM (Security Information and Event Management) de Enterasys y proviene fundamentalmente del producto QRadar de Q1 Labs (que a su vez lo integró con Enterasys Dragon y NetSight Automated Security Manager).

Es una herramienta diseñada para ayudar a los administradores de red y de seguridad de la organización en las tareas de operación, monitorización y medición. Incluye una completa gama de appliances para adaptarse y cubrir las necesidades reales de cada cliente y su arquitectura se divide fundamentalmente en diversos módulos para el análisis de flujos de tráfico (Netflow, QFlow, SFlow, etc.) y de eventos (SNMP, Syslog, Opsec, etc.).

Para el primero permite crear 'centinelas' que pueden generar alarmas de comportamiemto, anomalías de red, umbrales o violación de políticas y para el tratamiento de eventos tiene reglas bastante flexibles basadas en lo que llaman buidings blocks. Además puede integrar diversos escáneres de vulnerabilidades para tener un mayor control del estado de los activos y su índice de criticidad.

En conjunto, recopila y combina datos de actividad de red, eventos de seguridad, registros, datos de vulnerabilidad y datos de amenazas externas en un potente cuadro de gestión que correlaciona, normaliza y prioriza de forma inteligente todos los sucesos para detectar ataques o 'ofensas'.

Todos los logs son firmados y almacenados en bases de datos (Ariel, Postgres), se pueden crear usuarios con diversos roles para la gestión y/o uso de la herramienta y exite un potente motor para la generación de informes.
Además, está basado en Linux CentOS y permite un gran grado de "customización", pudiendo instalar en el servidor paquetes rpm (también con Yum) y utilizar tus propios scripts (Perl, Bash u otros) añadiendo funcionalidades adicionales accesibles en la consola simplemente con el botón derecho (right clic).

También añade la posibilidad de integrar una gran cantidad de dispositivos como fuentes de logs, permitiendo incluso crear tus propios conectores simplemente con tener algo de pericia con expresiones regulares (matching).


En resúmen, DSCC se trata de una plataforma escalable que, con el esfuerzo adecuado (sobretodo en la configuración inicial), puede cubrir perfectamente la mayoría de las necesidades de un equipo real de seguridad gestionada.

Comentarios