correlacion de eventos
celtita
celtita en bonbon.net
Mar Mar 15 08:38:11 CLT 2005
Nosotros usamos el ArcSight pero es comercial.
Esta el forensic pero también es comercial.
Esta el e-security pero también es comercial.
El ArcSight es bueno, permite investigar, correlacionar, hacer análisis
forense, etc.
Permite correlacionar por umbrales de tráfico y trae Agentes para
distintos vendedores de Firewalls, Proxys, antivirus, IDS.
Yo lo tengo correlacionando datos de aproximadamente 60 Firewalls
OpenBSD y ningún drama.
Una vez estuve evaluando el OSSIM, ese es free pero se basa en Snort,
iptables, nessus y nmap.
Échale una mirada es interesante y tienen alguna documentación sobre
teoría de correlación de datos en Español.
www.ossim.net
Jorge Severino.
-----Mensaje original-----
De: bsd-bounces en listas.inf.utfsm.cl
[mailto:bsd-bounces en listas.inf.utfsm.cl] En nombre de Rodrigo Cuevas A.
Enviado el: Lunes, 14 de Marzo de 2005 18:25
Para: Usuarios de los distintos sistemas BSD
Asunto: correlacion de eventos
Hola a todos,
alguna experiencia con sistemas de correlación de eventos?,
Estoy analizando SEC (Simple Event Correlation), la idea es utilizar
algo
suficientemente general que permita correlacionar eventos de multiples
fuentes.
SEC homepage:
http://kodu.neti.ee/~risto/sec/
saludos
Más información sobre la lista de distribución BSD