i denne tutorial vil vi lære at installere og konfigurere AlienVault ossim 5.5 SIEM på Virtualboks.
hvis du er en Blue Team security analyst, skal du på en eller anden måde have hørt om eller interagere med ikke en, ikke to SIEM-løsninger (Security Information and Event Management). Nå, AlienVault er en af de førende SIEM-løsninger. AlienVault OSSIM er open source-versionen af AlienVault SIEM. Det kommer beriget med funktioner som indsamling begivenhed, normalisering og korrelation. Hvad krydser dit sind, når vi taler om begivenhedsindsamling, normalisering og korrelation? Lad os sætte dette i sort / hvid:
- Event collection: AlienVault har evnen til at indsamle logfiler fra forskellige kilder i dit miljø, værtsservere og systemer, applikationer, der kører på servere, netværksenheder, såsom brandvægge og routere, navngive dem slutpunkter i dit miljø.
- normalisering af begivenheder: Attributterne for de indsamlede logfiler udvindes og gemmes i de fælles datafelter, der definerer en begivenhed som IP – adresser, værtsnavne, brugernavne, grænsefladenavne, porte, programmer osv. Dette giver analytikere mulighed for at køre forespørgsler på tværs af indsamlede begivenheder for bedre og hurtigere analyse.
- Hændelseskorrelation: dette indebærer analyse af forholdet mellem de indsamlede begivenheder for at identificere begivenhedsmønsteret.
OSSIM giver en samlet platform, der samler sikkerhedsfunktioner såsom aktivopdagelse, Host Intrusion Detection, detektion af Netværksindbrud, Adfærdsovervågning, opdagelse af aktiver, sårbarhedsvurdering, logstyring. Open threat intelligence community leverer community-genererede trusselsdata, muliggør samarbejdsforskning og automatiserer processen med at opdatere din sikkerhedsinfrastruktur med trusselsdata fra enhver kilde.
uden meget teori, lad os komme til installation af ossim. I vores miljø installerer vi vores siem på Virtualboks. Da dette kun er en demonstration, er de mindste systemkrav:
- 2 CPU-kerner
- 8GB RAM
- 32GB diskplads
- to nic ‘er (du kan have flere NIC’ er til styring, Netværksovervågning eller Logindsamling og Scanning)
du kan hente ossim installation iso herfra
på Virtualboks;
1.Opret ny vm
2.Tildel en hukommelse på 8 GB
3.Tildel et lager på 30 GB, og klik på Opret knap for at oprette en VM
4.Når en VM er oprettet, skal du åbne Indstillinger og justere antallet af CPU-kerner
5.Ved opbevaring skal du tilføje ossim iso til IDE-controller.
6.På netværk skal du tilføje en anden NIC som værtsadapter.
7.Start installationen. Når OSSIM VM starter med iso-billede, byder en installationsguide som vist nedenfor dig velkommen.
Vælg den første mulighed installer AlienVault ossim 5.5.1 (64 Bit) for at installere ossim server.
8.På de næste trin skal du vælge det relevante sprog, placering og tastaturindstillinger.
9.På Konfigurer netværk skal du vælge den første grænseflade som den primære netværksgrænseflade (NATed-grænsefladen).
på undersekventkonfigurationerne tildeles passende IPv4-adresse, netmasken, porten og DNS. I dette tilfælde skal du tildele standard nat-netværksdetaljerne som henholdsvis 10.0.2.15, 255.255.255.0, 10.0.2.2, 10.0.2.3.
10.Når netværket er konfigureret, skal du konfigurere brugere og adgangskoder. Indstil rodadgangskoden, og opbevar den, da den kræves til root-login-kontoen i AlienVault ossim-konsollen.
11.Klik på Fortsæt for at fortsætte med ossim-installation. Hvis installationen er vellykket, skal du kunne se en skærm, der ligner den, der er vist nedenfor.
- som det ses på skærmbilledet ovenfor, kan vi få adgang til ossim-internetgrænsefladen via adressen. https://10.0.2.15/. Men da dette er en NATed IP, kan vi ikke få adgang til vores ossim via denne adresse.
- for at få adgang til vores ossim-server skal vi tildele en statisk IP-adresse til den vært-eneste grænseflade, vi tilføjede ovenfor, og gøre den til vores administrationsgrænseflade.
- for at gøre dette skal du logge ind på SIEM som root med det tidligere indstillede kodeord. Når du logger ind, AlienVault Setup Menu byder dig velkommen.
- Klik på Systemindstillinger > Konfigurer netværk > Opsætningsstyringsnetværk > eth1 > IP-adresse > Netmask > Port
- Udskift NAT-adressen og netmasken med værtsadresse og maske
- gå tilbage til menuen AlienVault Setup, og klik på Anvend alle ændringer.
- når ændringerne er anvendt, skal vi konfigurere NAT IP-adressen på første grænseflade, så vi kan komme til eksternt netværk fra AV.
- Systemindstillinger > Konfigurer netværk > Opsæt netværksgrænseflade > eth0 > IP-adresse > Netmask
- Anvend alle ændringer
- brug 10.0.2.15 / 24 som IP
- Rediger netværksgrænsefladerne, og angiv porten til eth0, så din konfiguration ser ud;
# vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3
- når IP er indstillet, genstart netværkstjeneste;
# service networking restart
- du kan nu få adgang til dig via https://192.168.59.113/
- hvis du modtager advarsler om usikker forbindelse, skal du klikke på Avanceret og tilføje Sikkerhedsundtagelse permanent og fortsætte den IP-adresse, du indtastede.
Opret en administratorkonto på velkomstsiden ved at udfylde alle felterne. Klik På Start Ved Hjælp Af AlienVault. Dette fører dig til login-skærmen som vist nedenfor.
Log ind på din AlienVault SIEM og start din første opsætning. Når du er færdig med den første opsætning, skal du hoveddashboardet på ossim-serveren.
i vores næste artikel dækker vi, hvordan du importerer aktiver til ossim-serveren. Bliv connect for flere tutorials på AV OSSIM.