Dans ce tutoriel, nous allons apprendre à installer et configurer AlienVault OSSIM 5.5 SIEM sur VirtualBox.
Si vous êtes un analyste de sécurité de l’équipe Bleue, d’une manière ou d’une autre, vous devez avoir entendu parler ou interagir avec pas une, pas deux solutions SIEM (Security Information and Event Management). Eh bien, AlienVault est l’une des principales solutions SIEM. AlienVault OSSIM est la version open source d’AlienVault SIEM. Il est enrichi de fonctionnalités telles que la collecte d’événements, la normalisation et la corrélation. Qu’est-ce qui vous traverse l’esprit lorsque nous parlons de collecte d’événements, de normalisation et de corrélation? Mettons cela en noir et blanc:
- Collecte d’événements: AlienVault a la capacité de collecter des journaux à partir de diverses sources dans votre environnement, serveurs et systèmes hôtes, applications exécutées sur des serveurs, périphériques réseau, tels que les pare-feu et les routeurs, nommez-les points de terminaison dans votre environnement.
- Normalisation des événements: Les attributs des journaux collectés sont extraits et stockés dans les champs de données communs qui définissent un événement tel que les adresses IP, les noms d’hôte, les noms d’utilisateur, les noms d’interface, les ports, les programmes, etc. Cela permet aux analystes d’exécuter des requêtes sur des événements collectés pour une analyse meilleure et plus rapide.
- Corrélation d’événements: Cela implique d’analyser les relations entre les événements collectés pour identifier le modèle d’événements.
OSSIM fournit une plate-forme unifiée qui regroupe des fonctionnalités de sécurité telles que la Découverte d’actifs, la Détection d’Intrusion d’hôtes, la Détection d’Intrusion Réseau, la surveillance comportementale, la Découverte d’Actifs, l’Évaluation des Vulnérabilités, la gestion des journaux. Il tire également parti de la puissance de l’AlienVault Open Threat Exchange (OTX), la communauté de renseignements sur les menaces ouvertes fournit des données sur les menaces générées par la communauté, permet une recherche collaborative et automatise le processus de mise à jour de votre infrastructure de sécurité avec des données sur les menaces provenant de n’importe quelle source.
Sans beaucoup de théorie, passons à l’installation d’OSSIM. Dans notre environnement, nous installerons notre siem sur VirtualBox. Comme il ne s’agit que d’une démonstration, la configuration système minimale requise est la suivante:
- 2 Cœurs de processeur
- 8 Go de RAM
- 32 Go d’Espace disque
- Deux cartes réseau (Vous pouvez avoir plusieurs cartes réseau pour la gestion, la Surveillance du Réseau ou la Collecte et l’analyse de journaux)
Vous pouvez télécharger l’ISO d’installation d’OSSIM à partir d’ici
Sur VirtualBox;
1.Créer une nouvelle machine virtuelle
2.Attribuer une mémoire de 8 Go
3.Attribuez un stockage de 30 Go et cliquez sur le bouton Créer pour créer une machine virtuelle
4.Une fois qu’une machine virtuelle est créée, ouvrez les paramètres et ajustez le nombre de cœurs de processeur
5.Sur le stockage, ajoutez OSSIM iso au contrôleur ID.
6.Sur les réseaux, ajoutez une deuxième carte réseau en tant qu’adaptateur hôte uniquement.
7.Lancez l’installation. Lorsque la machine virtuelle OSSIM démarre avec une image ISO, un assistant d’installation comme indiqué ci-dessous vous accueille.
Choisissez la première option Installer AlienVault OSSIM 5.5.1 (64 Bits) pour installer le serveur OSSIM.
8.Dans les étapes suivantes, choisissez la langue, l’emplacement et les paramètres du clavier appropriés.
9.Sur Configurer le réseau, sélectionnez la première interface comme interface réseau principale (l’interface NATée).
Sur les configurations sous-séquentes, attribuez l’adresse IPv4 appropriée, le masque de réseau, la passerelle et le DNS. Dans ce cas, attribuez les détails du réseau NAT par défaut comme 10.0.2.15, 255.255.255.0, 10.0.2.2, 10.0.2.3 respectivement.
10.Une fois le réseau configuré, configurez les utilisateurs et les mots de passe. Définissez le mot de passe root et conservez-le tel qu’il sera requis pour le compte de connexion root dans la console AlienVault OSSIM.
11.Cliquez sur Continuer pour procéder à l’installation d’OSSIM. Si l’installation est réussie, vous devriez pouvoir voir un écran similaire à celui illustré ci-dessous.
- Comme on le voit sur la capture d’écran ci-dessus, nous pouvons accéder à l’interface Web OSSIM via l’adresse. https://10.0.2.15/. Cependant, comme il s’agit d’une adresse IP natée, nous ne pourrons pas accéder à notre OSSIM via cette adresse.
- Pour accéder à notre serveur OSSIM via un navigateur, nous devons attribuer une adresse IP statique à l’interface Hôte uniquement que nous avons ajoutée ci-dessus et en faire notre interface de gestion.
- Pour ce faire, connectez-vous au SIEM en tant que root avec le mot de passe défini précédemment. Une fois connecté, le menu de configuration d’AlienVault vous accueille.
- Cliquez sur Préférences système > Configurer le réseau > Configurer le réseau de gestion > eth1 > Adresse IP > Masque de réseau > Passerelle
- Remplacez l’adresse NAT et le masque de réseau par une adresse et un masque d’hôte uniquement
- Revenez au menu de configuration d’AlienVault et cliquez sur Appliquer toutes les modifications.
- Une fois les modifications appliquées, nous devons configurer l’adresse IP NAT sur la première interface afin que nous puissions accéder au réseau externe depuis AV.
- Préférences système > Configurer le réseau > Configurer l’interface réseau > eth0 > Adresse IP > Masque de réseau
- Appliquer toutes les modifications
- Utiliser 10.0.2.15/24 comme IP
- Modifiez les interfaces réseau et spécifiez la passerelle pour eth0 de telle sorte que votre configuration ressemble à;
# vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3
- Une fois l’adresse IP définie, redémarrez le service réseau;
# service networking restart
- Vous pouvez maintenant accéder à votre AV sur le navigateur via https://192.168.59.113/
- Si vous recevez des avertissements de connexion non sécurisée du navigateur, cliquez sur Avancé et Ajoutez une exception de sécurité en permanence et continuez l’adresse IP que vous avez saisie.
Créez un compte administrateur sur la page d’accueil en remplissant tous les champs. Cliquez sur Commencer à utiliser AlienVault. Cela vous amène à l’écran de connexion comme indiqué ci-dessous.
Connectez-vous à votre SIEM AlienVault et commencez votre configuration initiale. Une fois la configuration initiale terminée, vous devriez utiliser le tableau de bord principal du serveur OSSIM.
Dans notre prochain article, nous aborderons comment importer des actifs sur le serveur OSSIM. Restez connecté pour plus de tutoriels sur AV OSSIM.