v tomto tutoriálu se naučíme, jak nainstalovat a nastavit AlienVault OSSIM 5.5 SIEM na VirtualBoxu.
pokud jste bezpečnostní analytik modrého týmu, tak či onak jste museli slyšet nebo komunikovat s ne jedním, ne dvěma řešeními SIEM (Security Information and Event Management). AlienVault je jedním z předních řešení SIEM. AlienVault OSSIM je open source verze AlienVault SIEM. Je obohacen o funkce, jako je kolekce událostí, normalizace a korelace. Co vás napadne, když mluvíme o sběru událostí, normalizace a korelace? Dejme to černobíle:
- kolekce událostí: AlienVault má schopnost shromažďovat protokoly z různých zdrojů ve vašem prostředí, hostitelských serverech a systémech, aplikacích běžících na serverech, síťových zařízeních, jako jsou brány firewall a směrovače, pojmenujte je koncové body ve vašem prostředí.
- normalizace událostí: Atributy shromážděných protokolů jsou extrahovány a uloženy ve společných datových polích hat definují událost, jako jsou IP adresy, jména hostitelů,uživatelská jména, jména rozhraní, porty, programy atd. To umožňuje analytikům spouštět dotazy napříč shromážděnými událostmi pro lepší a rychlejší analýzu.
- korelace událostí: to zahrnuje analýzu vztahů mezi shromážděnými událostmi k identifikaci vzorce událostí.
OSSIM poskytuje jednotnou platformu, která sdružuje bezpečnostní funkce, jako je zjišťování aktiv, detekce narušení hostitele, detekce narušení sítě, monitorování chování, zjišťování aktiv, hodnocení zranitelnosti, Správa protokolů. Využívá také sílu AlienVault Open Threat Exchange (OTX), komunita open threat intelligence poskytuje komunitně generovaná data hrozeb, umožňuje společný výzkum a automatizuje proces aktualizace bezpečnostní infrastruktury pomocí dat hrozeb z jakéhokoli zdroje.
bez velké teorie, pojďme k instalaci OSSIM. V našem prostředí budeme instalovat náš siem na VirtualBox. Protože se jedná pouze o ukázku, minimální systémové požadavky jsou:
- 2 CPU jádra
- 8GB RAM
- 32GB místo na disku
- dvě nic (můžete mít více Nic pro správu, monitorování sítě nebo sběr a skenování protokolů)
instalační iso OSSIM si můžete stáhnout zde
na VirtualBoxu;
1.Vytvořit nový vm
2.Přiřaďte paměť 8 GB
3.Přiřaďte úložiště 30 GB a kliknutím na tlačítko Vytvořit vytvořte VM
4.Jakmile je vytvořen VM, otevřete nastavení a upravte počet jader CPU
5.Při ukládání přidejte ossim iso do řadiče IDE.
6.V sítích přidejte druhý NIC jako adaptér pouze pro hostitele.
7.Spusťte instalaci. Při spuštění OSSIM VM s obrazem iso vás přivítá průvodce instalací, jak je uvedeno níže.
vyberte první možnost nainstalujte AlienVault OSSIM 5.5.1 (64 Bit) pro instalaci serveru OSSIM.
8.V dalších krocích vyberte příslušný jazyk, umístění a nastavení klávesnice.
9.Při konfiguraci sítě vyberte první rozhraní jako primární síťové rozhraní(NATed interface).
na subsekventních konfiguracích přiřaďte příslušnou adresu IPv4, masku sítě, bránu a DNS. V takovém případě přiřaďte výchozí údaje o síti nat jako 10.0.2.15, 255.255.255.0, 10.0.2.2, 10.0.2.3.
10.Po nastavení sítě nakonfigurujte uživatele a hesla. Nastavte kořenové heslo a ponechte jej tak, jak bude vyžadováno pro kořenový přihlašovací účet v konzole AlienVault OSSIM.
11.Klepnutím na tlačítko Pokračovat pokračujte v instalaci OSSIM. Pokud je instalace úspěšná, měli byste vidět obrazovku podobnou té, která je uvedena níže.
- jak je vidět na obrázku výše, můžeme přistupovat k webovému rozhraní OSSIM prostřednictvím adresy. https://10.0.2.15/. Protože se však jedná o NATed IP, nebudeme mít přístup k naší OSSIM prostřednictvím této adresy.
- pro přístup k našemu serveru OSSIM prostřednictvím prohlížeče musíme přiřadit statickou IP adresu rozhraní pouze pro hostitele, které jsme přidali výše, a učinit z něj naše rozhraní pro správu.
- Chcete-li to provést, přihlaste se do Siem jako root s dříve nastaveným heslem. Jakmile se přihlásíte, AlienVault Menu Nastavení vás vítá.
- klikněte na System Preferences > Configure Network > Setup Management Network > eth1 > IP adresa > Netmask > Gateway
- nahraďte Nat adresu a síťovou masku adresou pouze pro hostitele a maskou
- vraťte se do nabídky Nastavení AlienVault a klikněte na Použít všechny změny.
- jakmile jsou změny aplikovány, musíme nakonfigurovat NAT IP adresu na prvním rozhraní, abychom se mohli dostat do externí sítě z AV.
- System Preferences > Configure Network > Setup Network Interface > eth0 > IP address > Netmask
- Apply all Changes
- Use 10.0.2.15 /24 as IP
- upravte síťová rozhraní a zadejte bránu pro eth0 tak, aby vaše konfigurace vypadala;
# vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3
- jakmile je IP nastavena, restartujte síťovou službu;
# service networking restart
- nyní máte přístup k Av v prohlížeči pomocí https://192.168.59.113/
- pokud obdržíte varování prohlížeče o nezabezpečeném připojení, klikněte na Upřesnit a trvale přidejte výjimku zabezpečení a pokračujte v zadané IP adrese.
vytvořte účet správce na uvítací stránce vyplněním všech polí. Klikněte Na Start Pomocí AlienVault. Tím se dostanete na přihlašovací obrazovku, jak je uvedeno níže.
přihlaste se do svého AlienVault SIEM a začněte počáteční nastavení. Po dokončení počátečního nastavení byste měli hlavní řídicí panel serveru OSSIM.
v našem dalším článku se budeme zabývat tím, jak importovat aktiva na server OSSIM. Pobyt connect pro více výukových programů na AV OSSIM.