Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

En este tutorial, vamos a aprender a instalar y configurar AlienVault OSSIM 5.5 SIEM en VirtualBox.

Si usted es un analista de seguridad de Blue Team, de una forma u otra debe haber oído hablar o interactuar con no una, no dos soluciones SIEM (Información de Seguridad y Gestión de Eventos). Bueno, AlienVault es una de las principales soluciones SIEM. AlienVault OSSIM es la versión de código abierto de AlienVault SIEM. Viene enriquecido con funciones como recopilación de eventos, normalización y correlación. ¿Qué se te ocurre cuando hablamos de recopilación, normalización y correlación de eventos? Pongamos esto en blanco y negro:

  • Recopilación de eventos: AlienVault tiene la capacidad de recopilar registros de varias fuentes en su entorno, servidores y sistemas host, aplicaciones que se ejecutan en servidores, dispositivos de red, como firewalls y enrutadores, y nombrarlos puntos finales en su entorno.
  • Normalización de eventos: Los atributos de los registros recopilados se extraen y almacenan en los campos de datos comunes que definen un evento, como direcciones IP, nombres de host, nombres de usuario, nombres de interfaz, puertos, programas, etc. Esto permite a los analistas ejecutar consultas en los eventos recopilados para un análisis mejor y más rápido.
  • Correlación de eventos: Esto implica analizar las relaciones entre los eventos recolectados para identificar el patrón de eventos.

OSSIM proporciona una plataforma unificada que combina funciones de seguridad como Detección de activos, Detección de Intrusiones de Host, Detección de Intrusiones de Red, Supervisión del comportamiento, Detección de Activos, Evaluación de Vulnerabilidades y Gestión de registros. También aprovecha el poder de AlienVault Open Threat Exchange (OTX), la comunidad de inteligencia de amenazas abierta que ofrece datos de amenazas generados por la comunidad, permite la investigación colaborativa y automatiza el proceso de actualización de su infraestructura de seguridad con datos de amenazas de cualquier fuente.

Sin mucha teoría, pasemos a la instalación de OSSIM. En nuestro entorno, instalaremos nuestro siem en VirtualBox. Dado que esto es solo una demostración, los requisitos mínimos del sistema son:

  • 2 Núcleos de CPU
  • 8 GB de RAM
  • 32 GB de Espacio en disco
  • Dos NIC (Puede tener varias NIC para Administración, Supervisión de Red o Recopilación y Análisis de Registros)

Puede descargar la iso de instalación de OSSIM desde aquí

En VirtualBox;
1.Crear nueva máquina virtual

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

2.Asignar una memoria de 8 GB

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

3.Asigne un almacenamiento de 30 GB y haga clic en el botón crear para crear una máquina virtual

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

4.Una vez creada una máquina virtual, abra la configuración y ajuste el número de núcleos de CPU

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

5.En almacenamiento, agregue iso OSSIM al controlador IDE.

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

6.En las redes, agregue una segunda NIC como adaptador solo para Host.

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

7.Inicie la instalación. Cuando OSSIM VM arranca con imagen iso, un asistente de instalación como se muestra a continuación le da la bienvenida.

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

Elija la primera opción Instalar AlienVault OSSIM 5.5.1 (64 Bits) para instalar el servidor OSSIM.

8.En los siguientes pasos, elija la configuración de idioma, ubicación y teclado adecuada.

9.En configurar red, seleccione la primera interfaz como interfaz de red principal (la interfaz Nada).

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

En las configuraciones de sub-secuentes, asigne la dirección IPv4 adecuada, la máscara de red, la puerta de enlace y el DNS. En este caso, asigne los detalles de red NAT predeterminados como 10.0.2.15, 255.255.255.0, 10.0.2.2, 10.0.2.3 respectivamente.

10.Una vez configurada la red, configure los usuarios y las contraseñas. Establezca la contraseña de root y guárdela como se requerirá para la cuenta de inicio de sesión de root en la consola OSSIM de AlienVault.

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

11.Haga clic en Continuar para continuar con la instalación de OSSIM. Si la instalación se realiza correctamente, debería poder ver una pantalla similar a la que se muestra a continuación.

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

  • Como se ve en la captura de pantalla anterior, podemos acceder a la interfaz web de OSSIM a través de la dirección. https://10.0.2.15/. Sin embargo, dado que se trata de una IP nativa, no podremos acceder a nuestra OSSIM a través de esta dirección.
  • Para acceder a nuestro servidor OSSIM a través del navegador, necesitamos asignar una dirección IP estática a la interfaz de solo Host que agregamos anteriormente y convertirla en nuestra Interfaz de administración.
  • Para hacer esto, inicie sesión en el SIEM como root con la contraseña establecida previamente. Una vez que inicie sesión, el Menú de configuración de AlienVault le da la bienvenida. Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox
  • Haga clic en Preferencias del sistema > Configurar red > Configurar Red de administración > eth1 > Dirección IP > Máscara de red > Puerta de enlace
    • Reemplace la dirección NAT y la máscara de red con dirección y máscara de solo Host
  • Vuelva al menú de configuración de AlienVault y haga clic en Aplicar todos los cambios.
  • Una vez aplicados los cambios, necesitamos configurar la dirección IP NAT en la primera interfaz para poder llegar a la red externa desde AV.
    • Preferencias del sistema > Configurar red > Configurar Interfaz de red > eth0 > Dirección IP > Máscara de red
    • Aplicar todos los cambios
    • Usar 10.0.2.15 / 24 como IP
  • Edite las interfaces de red y especifique la puerta de enlace para eth0 de manera que su configuración se vea como; 
    # vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3
  • Una vez que la IP esté configurada, reinicie el servicio de red; 
    # service networking restart
  • Ahora puede acceder a su AV en el navegador a través de https://192.168.59.113/
  • Si recibe advertencias del navegador de conexión insegura, haga clic en Avanzado y Agregue una Excepción de seguridad de forma permanente y continúe con la dirección IP que ingresó.

Crea una cuenta de administrador en la página de bienvenida rellenando todos los campos. Haga clic en Comenzar a Usar AlienVault. Esto te lleva a la pantalla de inicio de sesión como se muestra a continuación.

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

Inicie sesión en su AlienVault SIEM y comience la configuración inicial. Una vez que haya terminado con la configuración inicial, debe usar el panel principal del servidor OSSIM.

Cómo instalar y configurar AlienVault OSSIM 5.5 en VirtualBox

En nuestro próximo artículo, veremos cómo importar Bienes a OSSIM servidor. Manténgase conectado para obtener más tutoriales sobre AV OSSIM.

Write a Comment

Tu dirección de correo electrónico no será publicada.