23 noviembre 2010

Pandora FMS y Patriot NG

Pandora FMS es un framework de monitorización que sirve para monitorizar y medir todo tipo de elementos. Monitoriza sistemas, aplicaciones o dispositivos. Permite saber el estado de cada elemento de un sistemas a lo largo del tiempo.

Normalmente Pandora FMS es empleado para monitorizar aspectos como CPU/Memoria/Disco/Conectividad. Uno de los puntos fuertes de Pandora es la posibilidad de añadir fácilmente nuevos elementos a monitorizar, este caso vamos a integrar los eventos de seguridad de Patriot NG dentro de Pandora.

Esto nos permitiría disponer de algo parecido a una consola central de eventos de seguridad de Patriot NG. También podríamos integrar con la misma técnica, eventos de Antivirus, y gracias a la habilidad de Pandora, podríamos tener un inventario de los paquetes instalados en los equipos y por supuesto saber quien está usando el equipo, cuando está apagado, etc... las posibilidades son infinitas.

Existe multitud de documentación sobre como montar Pandora FMS, y no pretendemos explicar paso a paso, desde cero, como hacerlo, ya que sería demasiado extenso.

Patriot NG por defecto, envía los eventos de seguridad al visor de eventos de windows (eventlog) y con un agente Pandora FMS para Windows, podemos “capturar” esos eventos y mandarlos a Pandora FMS. Una vez ahí, podemos asociar alertas, para poder, por ejemplo, enviar un email cada vez que algo ocurra en cualquiera de nuestras máquinas. También podemos hacer informes y muchas otras cosas con los datos recibidos.

Configurar Pandora es realmente sencillo, vamos a seguir los pasos siguientes:

1.Se instala un agente de Pandora FMS para Windows.

2.Se configura un modulo para capturar los eventos de windows:

module_begin
module_name PatriotNG
module_type async_string
module_logevent
module_description Events coming from Patriot NG
module_source Application
module_application Patriot-NG 1.0
module_end

3.Una vez que nos llegue un evento, tendremos ya datos para visualizar, como en este caso que tenemos dos eventos detectados por un agente:






4.Por supuesto otra buena idea es verificar que Patriot-NG está ejecutándose y que nadie nos lo ha cerrado, para ello podemos usar este módulo:

module_begin
module_name PatriotNG_Running
module_type generic_proc
module_proc stoper.exe
module_description Patriot NG is running
module_end


5.Para poder notificar automáticamente cuando nos llegue un evento. Se configura una plantilla de alerta, para que salte en cualquier recepción de evento.



Configuramos la alerta para que envíe un email personalizado, los umbrales son para que envíe un máximo de cinco mensajes por cada dos horas, para no saturar.



6.Ahora usaremos esa plantilla de alerta para que por cada evento, nos envíe un email con los datos del evento. Aquí estamos usando una acción ya configurada (Email Sancho) que envía el email a una dirección concreta.



7.Podemos crear informes personalizados de forma que nos muestre un listado de eventos de tipo “Patriot NG” en todos los sistemas, simplemente usando la vista de eventos.




Otro punto interesante es que podemos recibir cómodamente las alertas por correo electrónico:



-----

Artículo cortesía de Sancho Lerena, Director técnico de Artica ST