In diesem Tutorial erfahren Sie, wie Sie AlienVault OSSIM 5.5 SIEM auf VirtualBox installieren und einrichten.
Wenn Sie ein Blue Team Security Analyst sind, müssen Sie auf die eine oder andere Weise von nicht einer, nicht zwei SIEM-Lösungen (Security Information and Event Management) gehört haben oder mit ihnen interagieren. AlienVault ist eine der führenden SIEM-Lösungen. AlienVault OSSIM ist die Open-Source-Version von AlienVault SIEM. Es kommt mit Funktionen wie Ereignissammlung, Normalisierung und Korrelation angereichert. Was fällt Ihnen ein, wenn wir über Ereigniserfassung, Normalisierung und Korrelation sprechen? Lassen Sie uns dies in schwarz und weiß setzen:
- Ereignissammlung: AlienVault kann Protokolle aus verschiedenen Quellen in Ihrer Umgebung, Hostservern und -systemen, auf Servern ausgeführten Anwendungen, Netzwerkgeräten wie Firewalls und Routern und Endpunkten in Ihrer Umgebung sammeln.
- Ereignisnormalisierung: Die Attribute der gesammelten Protokolle werden extrahiert und in den gemeinsamen Datenfeldern gespeichert, die ein Ereignis definieren, wie IP-Adressen, Hostnamen, Benutzernamen, Schnittstellennamen, Ports, Programme usw. Auf diese Weise können Analysten Abfragen für gesammelte Ereignisse ausführen, um eine bessere und schnellere Analyse zu ermöglichen.
- Ereigniskorrelation: Hierbei werden Beziehungen zwischen den gesammelten Ereignissen analysiert, um das Ereignismuster zu identifizieren.
OSSIM bietet eine einheitliche Plattform, die Sicherheitsfunktionen wie Asset Discovery, Host Intrusion Detection, Network Intrusion Detection, Behavioral Monitoring, Asset Discovery, Vulnerability Assessment und Log Management bündelt. Es nutzt auch die Leistungsfähigkeit des AlienVault Open Threat Exchange (OTX), der offenen Threat Intelligence Community, die von der Community generierte Bedrohungsdaten liefert, kollaborative Forschung ermöglicht und den Prozess der Aktualisierung Ihrer Sicherheitsinfrastruktur mit Bedrohungsdaten aus jeder Quelle automatisiert.
Ohne viel Theorie kommen wir zur Installation von OSSIM. In unserer Umgebung werden wir unser SIEM auf VirtualBox installieren. Da dies nur eine Demonstration ist, sind die Mindestsystemanforderungen:
- 2 CPU kerne
- 8 GB RAM
- 32 GB Festplatte Raum
- Zwei NICs (Sie können haben mehrere NICs für Management, Netzwerk Überwachung oder Log Sammlung und Scannen)
Sie können die OSSIM-Installations-ISO von hier herunterladen
Auf VirtualBox;
1.Neue vm erstellen
2.Weisen Sie einen Speicher von 8 GB zu
3.Weisen Sie einen Speicher von 30 GB zu und klicken Sie auf die Schaltfläche Erstellen, um eine VM zu erstellen
4.Öffnen Sie nach dem Erstellen einer VM die Einstellungen und passen Sie die Anzahl der CPU-Kerne an
5.Fügen Sie im Speicher OSSIM iso zum IDE-Controller hinzu.
6.Fügen Sie in Netzwerken eine zweite Netzwerkkarte als Host-Only-Adapter hinzu.
7.Starten Sie die Installation. Wenn OSSIM VM mit ISO-Image startet, werden Sie von einem Installationsassistenten wie unten gezeigt begrüßt.
Wählen Sie die erste Option AlienVault OSSIM 5.5.1 (64 Bit) installieren, um OSSIM Server zu installieren.
8.Wählen Sie in den nächsten Schritten die entsprechenden Einstellungen für Sprache, Speicherort und Tastatur aus.
9.Wählen Sie unter Netzwerk konfigurieren die erste Schnittstelle als primäre Netzwerkschnittstelle (die vernetzte Schnittstelle) aus.
Weisen Sie in den nachfolgenden Konfigurationen die entsprechende IPv4-Adresse, die Netzmaske, das Gateway und das DNS zu. Weisen Sie in diesem Fall die Standard-NAT-Netzwerkdetails als 10.0.2.15, 255.255.255.0, 10.0.2.2 bzw. 10.0.2.3 zu.
10.Sobald das Netzwerk eingerichtet ist, konfigurieren Sie Benutzer und Kennwörter. Legen Sie das Root-Passwort fest und behalten Sie es so bei, wie es für das Root-Login-Konto in der AlienVault OSSIM-Konsole erforderlich ist.
11.Klicken Sie auf Weiter, um mit der OSSIM-Installation fortzufahren. Wenn die Installation erfolgreich ist, sollten Sie in der Lage sein, einen Bildschirm ähnlich dem unten gezeigten zu sehen.
- Wie auf dem Screenshot oben zu sehen ist, können wir über die Adresse auf das OSSIM-Webinterface zugreifen. https://10.0.2.15/. Da es sich jedoch um eine NATed IP handelt, können wir über diese Adresse nicht auf unser OSSIM zugreifen.
- Um über den Browser auf unseren OSSIM-Server zuzugreifen, müssen wir der oben hinzugefügten Host-Only-Schnittstelle eine statische IP-Adresse zuweisen und sie zu unserer Verwaltungsschnittstelle machen.
- Melden Sie sich dazu als root mit dem zuvor festgelegten Kennwort am SIEM an. Sobald Sie sich angemeldet haben, AlienVault Setup-Menü begrüßt Sie.
- auf Systemeinstellungen > Netzwerk konfigurieren > Verwaltungsnetzwerk einrichten > eth1 > IP-Adresse > Netzmaske > Gateway
- Ersetzen Sie die NAT-Adresse und die Netzmaske durch die Host-Adresse und -maske
- Gehen Sie zurück zum AlienVault Setup-Menü und klicken Sie auf Alle Änderungen übernehmen.
- Sobald die Änderungen angewendet wurden, müssen wir die NAT-IP-Adresse auf der ersten Schnittstelle konfigurieren, damit wir von AV aus in das externe Netzwerk gelangen können.
- Systemeinstellungen > Netzwerk konfigurieren > Netzwerkschnittstelle einrichten > eth0 > IP-Adresse > Netzmaske
- Alle Änderungen übernehmen
- 10.0.2.15 /24 als IP-Adresse verwenden
- Bearbeiten Sie die Netzwerkschnittstellen und geben Sie das Gateway für eth0 so an, dass Ihre Konfiguration wie folgt aussieht;
# vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3 - Sobald die IP-Adresse festgelegt ist, starten Sie den Netzwerkdienst neu;
# service networking restart - Sie können jetzt über https://192.168.59.113/
- auf Ihren AV im Browser zugreifen Wenn Sie Browserwarnungen über eine unsichere Verbindung erhalten, klicken Sie auf Erweitert und Sicherheitsausnahme dauerhaft hinzufügen und geben Sie die eingegebene IP-Adresse ein.
Erstellen Sie ein Admin-Konto auf der Startseite, indem Sie alle Felder ausfüllen. Klicken Sie auf AlienVault verwenden. Dies führt Sie zum Anmeldebildschirm wie unten gezeigt.
Melden Sie sich bei Ihrem AlienVault SIEM an und beginnen Sie mit der Ersteinrichtung. Sobald Sie mit der Ersteinrichtung fertig sind, sollten Sie das Haupt-Dashboard von OSSIM Server öffnen.
In unserem nächsten Artikel erfahren Sie, wie Sie Assets in OSSIM Server importieren. Bleiben Sie in Verbindung für weitere Tutorials auf AV OSSIM.
