20 de nov. de 2019

Elast Alert warning: no files found matching 'blist.rst' blist/_blist.c:38:20: fatal error: Python.h: No such file or directory include

Olá, meu caro. 

Esta postagem é para auxiliar pessoas que tiveram problemas na execução do ElastAlert. Segue;

 PROBLEMA 



[root@isweluiz elastalert]# python3.4 setup.py install
running install
running bdist_egg
.
.
.
Installed /usr/lib/python3.4/site-packages/elastalert-0.2.1-py3.4.egg
Processing dependencies for elastalert==0.2.1
Searching for blist>=1.3.6
Reading https://pypi.org/simple/blist/
Downloading https://files.pythonhosted.org/packages/6b/a8/dca5224abe81ccf8db81f8a2ca3d63e7a5fa7a86adc198d4e268c67ce884/blist-1.3.6.tar.gz#sha256=3a12c450b001bdf895b30ae818d4d6d3f1552096b8c995f0fe0c74bef04d1fc3
Best match: blist 1.3.6
Processing blist-1.3.6.tar.gz
Writing /tmp/easy_install-nu18tqua/blist-1.3.6/setup.cfg
Running blist-1.3.6/setup.py -q bdist_egg --dist-dir /tmp/easy_install-nu18tqua/blist-1.3.6/egg-dist-tmp-wf0lvx76
warning: no files found matching 'blist.rst'
blist/_blist.c:38:20: fatal error: Python.h: No such file or directory
 #include 
                    ^
compilation terminated.
error: Setup script exited with error: command 'gcc' failed with exit status 1
[root@isweluiz elastalert]# blist
bash: blist: command not found


Solução

Pacotes e dependências, vale verificar se os seguintes pacotes estão instalados:


18 de nov. de 2019

ELK - Palo Alto , Nessus, OpenVas e Linux Systems

Olá, meu caro! 

Neste post irei apresentar uma arquitetura criada para sustentar um "SIEM"
open source criado para ampliar a visão da equipe de segurança em dar resposta a eventos de forma rápida e com informações precisas que são coletadas em tempo real de ferramentas como Firewall corporativo, servidores linux/windows e softwres de análise de vulnerabilidade como OpenVas e Nessus. 

Dashboard contendo informações de dados de logs em tempo real do firewall Palo alto


28 de out. de 2019

Habilitando certificado SSL para OTRS 6

Olá, meu caro!

Nest post vou compartilhar uma informação bastante importe, mas com foco em um sistema de ITSM em específico, o OTRS versão 6, última versão lançada pelo grupo OTRS que será disponibilizada gratuitamente.  Dentre implantações nos deparamos com necessidades, uma delas é a de prover a segurança básica aos usuários que trafegam na ferramenta. Esse post segue basicamente duas etapas habilitação do SSL no servior Web com importação dos certificados e habilitação do HTTPS nas configurações do otrs. Abaixo uma lista com os motivos para utilizar o HTTPS com otrs. 



Razões para usar HTTPS com OTRS
… Bem, realmente, não há motivo para NÃO usar!
  • Quando você NÃO está usando HTTPS, está expondo sua senha em texto sem formatação ao fazer login. Mesmo se você estivesse usando apenas OTRS na sua rede corporativa, pode confiar em tudo e em todos na sua rede?
  • Você está tendo dados sobre seus clientes no OTRS. Você deve garantir que esses dados não sejam expostos ou vazem; portanto, você deve usar HTTPS ao acessar o OTRS no seu navegador da web.
  • Além da criptografia; também há o aspecto de ataques MITM no seu servidor da web. Se você possui um certificado em seu servidor da Web, pode ter certeza de que o servidor que está procurando e a senha para digitar a senha são na verdade SEU servidor e não um cara que usa o mesmo DNS envenenamento por wifi do hotel.
  • Mesmo que você não se importe com a segurança, o uso de SSL e HTTPS é um pré-requisito para o uso do mod_spdy com o Apache, que traz muitos dos recursos HTTP / 2.0 futuros para o servidor Apache e para navegadores modernos, como Google Chrome e Mozilla Firefox. Isso torna o OTRS mais rápido!
01 - Painel do otrs 6 

The mount command options

Hello, my dear. 

Today I'm going talk about the mount options, this topic is very basic but is very important for us remember in some moments when we going work with file system, because case u have that mount the file system, is important you remember the configuring the file system with the best mode and security. I created the table bellow and I share here in my blog with you. 

The mount command supports numerous options. Some  of them are described in table 


22 de out. de 2019

Removendo indices de séries temporais com ElasticSearch Curator

Olá, meu caro.

Irei apresentar o Curator, uma ferramenta desenvolvida em python muito útil para gerenciamento de indices do Elasticsearch. O Curator executa muitas operações nos indices do elasticsearch além de muito útil para remover e gerenciar snapshots.
01 - Remoção de indices com curator


19 de set. de 2019

Sticky Bit em diretórios públicos

Olá, meu caro!  Como vai? Bem?



The Sticky bit...  é utilizado como modo de controle(permissão) em diretórios públicos (ou outros diretório com permissão de rw para todo mundo) para proteger arquivos e sub-diretórios proprietários de usuários regulares de serem deletados ou movidos por outros usuários regulares. Simples, não é?
Pois bem, este atributo é setado no diretório /tmp como mostrado abaixo: 

#ls -lad /var /tmp
drwxrwxrwt. 19 root root 4096 Sep 19 21:37 /tmp
drwxr-xr-x. 21 root root 4096 Sep 19 21:39 /var

8 de ago. de 2019

6 práticas recomendadas para a segurança do OpenSSH

Segurança do OpenSSH


Olá, meu caro! 

Talvez você nunca tenha se deparado com a situação abaixo, mas e se deparasse, qual seria a sua atitude? Você tem controle dos acessos realizados no seu parque de máquinas?  A imagem abaixo demonstra informações de segurança no Kibana do meu ambiente na google cloud cuja as máquinas estão expostas na internet e com algumas portas abertas. Existem regras de firewall, tanto iptables quanto fail2ban,  porém agora iremos ver algumas ações recomendadas que podem ser feitas no OpenSSH para ampliar a segurança. 


Figura 1 - Kibana, dashboard de monitoramento de atividades dos hosts.


Estas são as seis tarefas mais importantes para proteger sua configuração do servidor SSH:

Figura 2 - Configurações sshd_config

1.       Use uma senha forte;
2.       Altere a porta padrão do SSH;
3.       Desabilite o login do root;
4.       Limite o acesso do usuário;
5.       Use acesso baseado em chave para autenticação.
6.       Desativar senhas vazias
 

1.       Use uma senha forte;


Não é demais enfatizar o quanto é importante usar senhas de usuário e senhas fortes para suas chaves. O ataque de força bruta funciona porque o usuário acessa senhas baseadas em dicionário. Você pode forçar os usuários a evitar senhas contra um ataque de dicionário e usar a ferramenta john the ripper para descobrir senhas fracas existentes.

2. Altere a porta padrão do SSH;


A porta padrão do serviço SSH é 22, você deve alterá-la para tornar menos óbvio que seu servidor esteja executando um serviço SSH.

#vim /etc/ssh/sshd_config
Altere a linha abaixo:
Port 22
Escolha outro valor para a porta
Port 2123

 3.       Desabilite o login do root;


É importante desativar o login direto para o usuário root, pois há muitos ataques de força bruta contra o root. IMPORTANTE: teste o login SSH com seu usuário alternativo não raiz que você planeja usar para logins ssh antes de desabilitar a conta raiz.

Figura 3 - Tentativas de acesso com usuário root


4.       Limite o acesso do usuário;


Por padrão, todos os usuários do sistema podem efetuar login via SSH usando sua senha ou chave pública. Às vezes, você cria uma conta de usuário do UNIX / Linux para fins de FTP ou email. No entanto, esses usuários podem efetuar login no sistema usando o ssh. Eles terão acesso total às ferramentas do sistema, incluindo compiladores e linguagens de script, como Perl, Python, que podem abrir portas de rede e fazer muitas outras coisas sofisticadas. O controle baseado em grupo é mais flexível e fácil de administrar, por isso coloquei os dois exemplos abaixo. Se você optar por utilizar a permissionamento por usuário e não grupos caso você adicione um novo usuário no sistema, você terá que editar o sshd_config e adicionar esse novo usuário. 

Para permissão de usuários:
#AllowUsers luizep developers
Para permissão de grupos:
AllowGroups developers devops sysadmin
Para negar usuários:
#DenyUsers root


5.       Use acesso baseado em chave para autenticação;


Todos os logins baseados em senha devem ser desativados. Somente logins baseados em chave pública são permitidos. Adicione o seguinte no seu arquivo sshd_config:

PubkeyAuthentication yes


6.       Desativar senhas vazias.


Você precisa explicitamente proibir o login remoto de contas com senhas vazias, atualize sshd_config com a seguinte linha:

PermitEmptyPasswords no

2 de ago. de 2019

Comandos úteis para o elastichsearch

Introdução


Para quem não conhece, o Elasticsearch é um “servidor de buscas distribuído baseado no Apache Lucene”. Em outras palavras, pode-se dizer que o Elasticsearch é um banco de dados NoSQL, porém com esteroides, uma série de plugins e ferramentas auxiliares. E o melhor, opensource.
Abaixo está uma lista de comandos que podem ajudar na execução de solução de problemas do seu cluster elasticsearch.

substitua localhost pelo endereço IP de seus hosts elasticsearch se não estiver escutando em localhost.

Saúde do cluster

curl -XGET 'http://localhost:9200/_cluster/health?pretty'

{ "cluster_name" : "Shrunken Bones", "status" : "yellow", "timed_out" : false, "number_of_nodes" : 1, "number_of_data_nodes" : 1, "active_primary_shards" : 22, "active_shards" : 22, "relocating_shards" : 0, "initializing_shards" : 0, "unassigned_shards" : 8, "delayed_unassigned_shards" : 0, "number_of_pending_tasks" : 0, "number_of_in_flight_fetch" : 0, "task_max_waiting_in_queue_millis" : 0, "active_shards_percent_as_number" : 73.33333333333333}


Listar os indices 

[root@dev-instance logstash]# curl -X GET http://localhost:9200/_cat/indicesgreen open .kibana_task_manager dN7tdlvjSPKHAykjaBcSXg 1 0 2 0 55.8kb 55.8kbgreen open .monitoring-es-7-2019.09.02 hDDxQJzJTcyQIp8yxrUTyw 1 0 35646 41982 20.2mb 20.2mbgreen open .monitoring-es-7-2019.08.13 eKnlpsFiR4ynRqmg-jMtBQ 1 0 2609 1770 2.3mb 2.3mbyellow open filebeat-7.3.0-2019.08.07-000001 a948cy8SRCWJ7uAfiwxo1Q 1 1 318145 0 96.9mb 96.9mbgreen open .monitoring-kibana-7-2019.08.07 NW7G8vmsTfuugRO5JtwfgA 1 0 7849 0 2.6mb 2.6mbgreen open .monitoring-es-7-2019.08.10 Fd1jDZpCTh6PZZNS40vRLQ 1 0 124229 151116 79.5mb 79.5mbyellow open openvas_ec_aws wOuSo2SsSLa4uxhXiJ9tZw 1 1 3727 0 4.3mb 4.3mbgreen open .kibana_1 bVHZJQakQCu6R2f8Rtm_Cw 1 0 1814 42 993.4kb 993.4kbgreen open .monitoring-kibana-7-2019.08.09 Z6fD0NyFTQC6NjGE2XossQ 1 0 3771 0 1.3mb 1.3mbyellow open openvas_ec_nuvem J-nx9W84Q7OLCy9Th-UhWQ 1 1 0 0 283b 283bgreen open .monitoring-kibana-7-2019.08.08 yCcbDxqsSJWKi9_XNX8D0g 1 0 2970 0 1.1mb 1.1mbgreen open .monitoring-kibana-7-2019.08.13 qJccDaNKShKlvKti4yUiRA 1 0 94 0 215.3kb 215.3kbgreen open .monitoring-es-7-2019.08.09 L2YyGl7uQQaSx1a4QJhT3A 1 0 160097 186303 106mb 106mbyellow open nuvem QGXCEqPSRAer70eA_XI0yQ 1 1 449 0 672.4kb 672.4kbgreen open .monitoring-es-7-2019.08.08 gayUY_0aRRabGwcTWYiDSg 1 0 133472 150508 78.8mb 78.8mbgreen open .monitoring-kibana-7-2019.08.10 IU4rzwn2Sw2okEFBf4qrng 1 0 5399 0 1.8mb 1.8mbgreen open .monitoring-es-7-2019.08.07 OBHu8EQERYi5-2KMX9i9hg 1 0 96039 91084 48mb 48mbyellow open openvas- bHPxIGtdQdywfzzY1EG_OQ 1 1 16101 0 16.9mb 16.9mbgreen open .monitoring-kibana-7-2019.09.02 pYS-TE3JSy29QoWlSD4-dA 1 0 755 0 306.8kb 306.8kbyellow open openvas-ec-nuvem 0dfH5JSKQdibxBiDk6ZNeg 1 1 0 0 283b 283byellow open auditbeat-7.3.0-2019.08.06-000001 fsZPxRdgS4mOQbnzxMJK_Q 1 1 469626 0 212.7mb 212.7mbyellow open openvas_2_nuvem C4f3S-n1QOa8sWVni0mxvg 1 1 449 0 672.4kb 672.4kb[root@dev-instance logstash]#

Deletar indice 

[root@dev-instance logstash]# curl -X DELETE http://35.238.15.localhost:9200/metricbeat-7.3.0-2019.08.07-000001

 Encontrar shards não atribuídos

curl -XGET localhost:9200/_cat/shards?h=index,shard,prirep,state,unassigned.reason| grep UNASSIGNED

File Sharing (Samba) - Mental map

Nginx structure - Mental map

31 de jul. de 2019

O que é Brainstorming

Brainstorming significa tempestade cerebral ou tempestade de ideias. É uma expressão inglesa formada pela junção das palavras "brain", que significa cérebro, intelecto e "storm", que significa tempestade.
brainstorming é uma dinâmica de grupo que é usada em várias empresas como uma técnica para resolver problemas específicos, para desenvolver novas ideias ou projetos, para juntar informação e para estimular o pensamento criativo.
Brainstorming é um método criado nos Estados Unidos, pelo publicitário Alex Osborn, usado para testar e explorar a capacidade criativa de indivíduos ou grupos, principalmente nas áreas de relações humanas, dinâmicas de grupo e publicidade e propaganda.
A técnica de brainstorming propõe que um grupo de pessoas se reúnam e utilizem seus pensamentos e ideias para que possam chegar a um denominador comum, a fim de gerar ideias inovadoras que levem um determinado projeto adiante. Nenhuma ideia deve ser descartada ou julgada como errada ou absurda, todas devem estar na compilação ou anotação de todas as ideias ocorridas no processo, para depois evoluir até a solução final.
Para uma sessão de brainstorming devem ser seguidas algumas regras básicas: é proibido debates e críticas às ideias apresentadas, pois causam inibições, quanto mais ideias melhor; nenhuma ideia deve ser desprezada, ou seja, as pessoas têm liberdade total para falarem sobre o que quiserem; para o bom andamento, deve-se reapresentar uma ideia modificada ou combinação de ideias que já foram apresentadas; por fim, igualdade de oportunidade - todos devem ter chance de expore suas ideias.
Fonte: significados.com.br

16 de mai. de 2019

Falha ao iniciar o Daemon do scanner do sistema Open Vulnerability Assessment


Olá, meus caros!

Recentemente ocorreu um problema com o openvas-scanner e foi algo simples, ocorrido inesperadamente, sem intervenção alguma. Quando ocorreu o problema o openvas-scanner estava em funcionamento, no primeiro momento tentei iniciá-lo, porém não obtive êxito. Efetuei verificações nos arquivos de configurações em; /var/lib/systemd/system/openvas* . Todos os arquivos estavam conforme eu havia configurado.  

Problema: O openvas-scanner não se comunicava com o redis. 
OpenVAS can currently only access redis via a unix socket. This choice has been
made for the sake of speed and security. No authentication is supported yet, we
rely on filesystem permissions to protect the KBs.

Conexão: O OpenVAS atualmente só pode acessar o redis através de um soquete unix. Esta escolha foi feita por uma questão de velocidade e segurança. 

Solução:  Recriar o arquivo /var/run/redis-openvas/redis-server.sock.


Documentação oficial; redis_config.txt


O erro abaixo é exibido na WEB GUI e acontece quando o scanner selecionado na task, não está em execução. 

Operation: Start Task
Status code: 503
Status message: Service temporarily down


O erro abaixo é exibido quando é verificado o status do scanner. 


┌─[root@parrot]─[/home/]
└──╼ #systemctl status openvas-scanner
openvas-scanner.service - Open Vulnerability Assessment System Scanner Daemon
   Loaded: loaded (/lib/systemd/system/openvas-scanner.service; enabled; vendor pres
   Active: failed (Result: timeout) since Tue 2019-05-14 21:08:05 -03; 1 day 17h ago
     Docs: man:openvassd(8)
           http://www.openvas.org/
  Process: 21371 ExecStart=/usr/sbin/openvassd --unix-socket=/var/run/openvassd.sock

May 14 21:06:35 parrot.isweluiz systemd[1]: Starting Open Vulnerability Assessm
May 14 21:08:05 parrot.isweluiz systemd[1]: openvas-scanner.service: Start oper
May 14 21:08:05 parrot.isweluiz systemd[1]: openvas-scanner.service: Control pr
May 14 21:08:05 parrot.isweluiz systemd[1]: openvas-scanner.service: Failed wit
May 14 21:08:05 parrot.isweluiz systemd[1]: Failed to start Open Vulnerability


Solução

┌─[root@parrot]─[/etc/openvas]
└──╼ #mv /var/run/redis-openvas/redis-server.sock redis-server.sock.bk

┌─[root@parrot]─[/etc/openvas]
└──╼ #touch /var/run/redis-openvas/redis-server.sock

┌─[root@parrot]─[/etc/openvas]
└──╼ #systemctl status redis-server


┌─[root@parrot]─[/etc/openvas]
└──╼ #redis-cli ping
PONG

┌─[✗]─[root@parrot]─[/opt]
└──╼ #systemctl restart  openvas-scanner
┌─[root@parrot]─[/opt]
└──╼ #systemctl status openvas-scanner
 openvas-scanner.service - Open Vulnerability Assessment System Scanner Daemon
   Loaded: loaded (/lib/systemd/system/openvas-scanner.service; enabled; vendor prese
   Active: active (running) since Thu 2019-05-16 15:28:15 -03; 992ms ago
     Docs: man:openvassd(8)
           http://www.openvas.org/
  Process: 21841 ExecStart=/usr/sbin/openvassd --unix-socket=/var/run/openvassd.sock
 Main PID: 21842 (openvassd)
    Tasks: 3 (limit: 4915)
   Memory: 14.0M
   CGroup: /system.slice/openvas-scanner.service
           ├─21842 /usr/sbin/openvassd --unix-socket=/var/run/openvassd.sock
           ├─21843 openvassd (Loading Handler)
           └─21844 /usr/sbin/openvassd --unix-socket=/var/run/openvassd.sock

May 16 15:28:15 parrot.isweluiz systemd[1]: Starting Open Vulnerability Assessme
May 16 15:28:15 parrot.isweluiz systemd[1]: Started Open Vulnerability Assessmen

Por último, rode o comando abaixo para verificar a consistência da instalação do openvas.


┌─[✗]─[root@parrot]─[/opt]
└──╼ #openvas-check-setup
openvas-check-setup 2.3.7


Verificação do scanner via WEB GUI



Espero ter ajudado.






Leituras que não resolveram o meu problema, mas talvez possa resolver o seu:

16 de mar. de 2019

Implantar e executar o Splunk Enterprise dentro de um contêiner Docker + conectar-se a openvas

Mais uma vez, 

olá, meu caro!!

O post não começa aqui 


Como vocês perceberam os assuntos do blog estão muito diversificados e isso é legal, quanto mais tecnologias conhecermos melhor, sem via de dúvidas. No post de hoje eu decidi abordar esse assunto de "Splunk+Docker+Openvas" pois no post anterior eu mencionei a respeito dele. Durante minhas buscas eu não consegui identificar este assunto agrupado em um só lugar e em português, lendo documentações e relatos em fóruns e após implantar está arquitetura algumas vezes, 
eu me senti preparado para compartilhar e facilitar a vida dos interessados. Ao final do post eu sempre recomendo leitura, não deixe de ler! 





Por que utilizar Splunk no docker? 


Com a aplicação rodando em micro serviço torna muito fácil a escalação de clusters, replicação do ambiente, obtemos tbm uma redução de recursos e custos de hardware. Após a configuração inicial os clusters podem ser criados sob demanda.


Etapas: 

  1. Obter o docker 
  2. Obter a imagem do splunk 
  3. Rodar a imagem do splunk 
  4. Instalar componente do GSM  no splunk 
  5. Configurar índices
  6. Configurar alertas do splunk 
  7. Disparar alerta do GSM para o splunk

1. Obter o docker 


Caso você não tenha o docker instalado comece por aqui, faça o download e instalação do docker em seu sistema, os links oficiais para download estão logo abaixo:

Website oficial

Community Edition

As instalções estão disponíveis para: 
  • Windows
  • Mac
  • Linux
  • AWS & Azure

Instalação do docker

2. Obtendo a imagem do splunk 

Uma imagem do Docker é uma coleção de binários e configurações a serem usadas ao iniciar um contêiner

Existem imagens oficiais do Splunk Docker

Faça o download da imagem conforme oweb comando abaixo:

#docker pull splunk/splunk:latest

Obtendo a imagem do splunk


Para utilizar a image contida no github declare o comando abaixo:

#git clone https://github.com/splunk/docker-splunk


3. Rodar a imagem do splunk 


Execute o comando abaixo para rodar a imagem do splunk. Repare que a porta 7680 ficará exposta, isto justamente por que precisaremos dela para escutar as conexões advindas do openvas.

docker run -d -p 8000:8000 -p 7680:7680 -e 'SPLUNK_START_ARGS=--accept-license' -e 'SPLUNK_PASSWORD=<password>' splunk/splunk:latest
Onde está <password> você deve declarar um novo password para acessar o splunk pela primeira vez. O usuário é admin, após o primeiro acesso as credenciais podem ser alteradas.


Status Contêiner

 #docker ps 
CONTAINER ID        IMAGE                  COMMAND                  CREATED             STATUS                   PORTS                                                                                                             NAMES
283ce7035651        splunk/splunk:latest   "/sbin/entrypoint...."   6 minutes ago       Up 6 minutes (healthy)   0.0.0.0:7680->7680/tcp, 4001/tcp, 8065/tcp, 8088-8089/tcp, 8191/tcp, 9887/tcp, 9997/tcp, 0.0.0.0:8000->8000/tcp   tender_ramanujan



Gerenciamento de portas do docker - Contêineres do Docker são executados em uma rede virtual isolada

A saída do comando acima exibirá uma hash de números e letras que representam o ID do contêiner que é a sua aplicação splunk. Execute o comando abaixo para verificar o status do contâiner.

#docker ps -a -f id=<contêiner_id>




Quando o status do contêiner estiver como healthy, significa que ele já está disponível e você poderá acessá-lo com o comando abaixo através de seu navegador.

#localhost:8000



4. Instalar componente do GSM no splunk 

A integração do Splunk requer a instalação do aplicativo Greenbone-Splunk no servidor splunk. O download e instalação do aplicativo são explicados na seção Aplicação Splunk.

Depois que o aplicativo é instalado no servidor splunk, o GSM pode ser instruído a enviar os resultados para o servidor splunk. Esta seção cobrirá a configuração do GSM.


A Greenbone Networks oferece um pequeno aplicativo para integração com o Splunk. O aplicativo está atualmente disponível em https://download.greenbone.net/tools/Greenbone-Splunk-App-1.0.1.tar.gz.


Para instalar o aplicativo no seu servidor splunk. Navegue até Splunk-> App-> ManagerApps > Install app from file  I



Gerenciamento de aplicativos



Upload de aplicativo


Aplicativo instalada com sucesso


Verifique a porta do Greenbone-Splunk-App após a instalação. Você pode acessar a porta na GUI Web através de Settings-> Data inputs-> TCP.



A porta do aplicativo é necessária para a configuração no GSM.


5. Configurar índices


Para configurar o índice acesse settings > indexes > New Index




Criando um novo índice para receber os dados do openvas

Para configurar o índice para receber os dados do openvas acesse settings> data input > 7680 > more settings > index



Adicionando o índice aos dados de entrada do openvas

6. Configurar alertas do splunk 

Para configurar o GSM, navegue até Configuration > Alerts. Crie um novo alerta clicando no ícone novo.
Role para baixo até a opção Enviar para o host. Preencha o endereço IP do servidor splunk e a porta do aplicativo Greenbone. Esta porta TCP é 7680 por padrão. Escolha o formato XML.


Configurações para o novo alerta


Para testar o alerta criado navegue até a aba actions ainda em alerts e clique sobre Test Alert



Validando a conexão do alerta criado




Alerta validado com sucesso


7. Disparar alerta do GSM para o splunk

Este alerta agora pode ser adicionado às tarefas apropriadas. Navegue para Scans > Tasks e crie uma nova Task usando o alerta. O alerta pode até ser adicionado a tarefas já existentes, o alerta não modifica o comportamento da análise.

Resumo e download





Para fins de teste, relatórios existentes podem ser processados pelo alerta. Navegue para Scans > Reports. Escolha qualquer relatório existente e mude para a visualização Resumo e Download. Aqui você pode processar o relatório usando qualquer alerta configurado.


Resumo e download do relatório


Acessando as informações no Splunk

Para acessar as informações no Splunk, alterne para o painel do Greenbone. O painel do Greenbone na interface da Web do Splunk exibirá as vulnerabilidades encontradas nos últimos sete dias.





Você criar visualizações novas e adicionar aos seus dashboards conforme necessário. Abaixo um painel criado por mim para testes no ambiente interno. 






E é isso, até o próximo!



Leitura recomendada: