Capítulo 13. Herramientas y Administración
En el margen derecho de la barra de menú, junto al menú Sensors encontramos la sección de "herramientas" o Tools en la que se encuentran las opciones para la configuración de la plataforma web redborder.
Desde este menú es posible establecer las condiciones que han de cumplirse para que el usuario sea notificado mediante una alarma, realizar un seguimiento de la actividad de los usuarios de la plataforma, dar de alta a nuevos usuarios o gestionar la configuración del cluster, sensores y servidores, entre otras acciones.
Estas son las opciones que se encuentran disponibles en el menú herramientas:
Alarmas (Alarms): creación de condiciones para la activación de notificaciónes al usuario.
Auditoría (Audits): permite realizar el seguimiento de la actividad de los usuarios mediante log.
Configuración del cluster (Cluster Settings): nos muestra la configuración que se ha generado para el cluster en el proceso de instalación del Manager.
Configuración General (General Settings): el usuario puede establecer la configuración de los parámetros generales del Manager, así como de las Apps que tenga registradas.
Configuración de Malware (Malware Settings): panel de configuración general de los parámetros relacionados con Malware.
Licencias (Licenses): listado de las licencias bajo las que funcionan los diferentes módulos de la plataforma redborder.
Fuentes de actualización (Lookup Sources): listado de las URL de los servicios web de consulta de datos de red.
Objetos (Objects): objetos de red definidos en la plataforma redborder.
Superposición de mapas (Overlay Maps): imágenes que se pueden superponer sobre un mapa posicionadas en la latitud y logitud que se indique.
Alertas de la Plataforma (Platform Alerts): panel para la creación y mantenimiento de alertas de usuarios de la plataforma web.
Versiones de reglas (Rules Versions): panel de gestión de grupos de reglas de snort.
Centro de Soporte (Support Center): panel de acceso a la web de soporte de redborder.
Usuarios (Users): gestión de perfil y permisos de los usuarios.
Politicas de Yara (Yara Policies): panel de gestión de políticas de reglas para el motor Yara.
Cola de trabajos (Worker and Job Queue) panel de gestión de tareas de la plataforma redborder
Una alarma es una notificación que se activa cuando se cumple una o más condiciones establecidas por el usuario.
Al acceder a esta opción se visualizan el listado de alarmas que se han dado de alta.
Crear nueva alarma
Haciendo clic en el botón +New Alarm accedemos al formulario en el que se establecerán las condiciones que debe cumplir la alarma para activar una notificación y el grado de severidad definida para dicha alarma.
Este formulario está compuesto por tres secciones:
Opciones generales
Notificaciones
Condiciones
Opciones generales
En este apartado el usuario deberá completar los siguientes datos:
Nombre (Name): nombre de la alarma.
Intervalo de tiempo (Time window:) intervalo de tiempo en el que se debe superar por exceso o por defecto los valores indicados en upper/botton limit para que la alarma se active.
Notificar cada (Notify every:): fijar secuencia de tiempo para la notificación.
Límite por exceso/defecto(Upper/ Bottom limits:) indica el número de eventos (máximos/mínimos) que deben cumplir las condiciones de la alarma para que se active la notificación.
Tipo de producto (
Product type): seleccionar el tipo de App/elemento para el que se ha definido la alarma.
-Flow
-IPS
-Location
-Malware
-Monitor
-Social
Severidad (Severity:) el usuario debe definir el nivel de severidad que se le otorga a la alarma. Dependiendo de las condiciones que haya definido la alarma implicará un riesgo muy bajo, bajo, medio, alto, muy alto o crítico. Esta graduación de la severidad viene indicada también por una escala de colores.
Notificaciones
En este apartado, el usuario seleccionará el medio por el cual quiere que la alarma le sea notificada ei introducirá los datos correspondientes al método elegido. Activar el check de la opción que desea para la notificación:
Notificar a través de Syslog (Notify to Syslog)
Notificar mediante email (Notify to email)
Notificar mediante móvil (Notify to mobile)
Condiciones (Conditions)
Se trata de filtros que se añaden para activar una alarma.
