tässä opetusohjelmassa opetellaan AlienVault OSSIM 5.5 SIEMIN asentamista ja asentamista VirtualBoxiin.
jos olet Blue Team security analyst, sinun on tavalla tai toisella täytynyt kuulla tai olla vuorovaikutuksessa ei yhden, Ei kahden Siem (Security Information and Event Management) – ratkaisun kanssa. AlienVault on yksi johtavista SIEM solutions-johtajista. AlienVault OSSIM on avoimen lähdekoodin versio AlienVault SIEMISTÄ. Se on rikastettu ominaisuuksia, kuten tapahtuma kokoelma, normalisointi ja korrelaatio. Mitä mielessäsi liikkuu, kun puhumme tapahtumien keräämisestä, normalisoinnista ja korrelaatiosta? Laitetaan tämä mustavalkoiseksi:
- Tapahtumakokoelma: Alienvaultilla on kyky kerätä lokeja ympäristön eri lähteistä, isäntäpalvelimista ja järjestelmistä, palvelimilla toimivista sovelluksista, verkkolaitteista, kuten palomuureista ja reitittimistä, nimetä ne ympäristön päätepisteiksi.
- Tapahtuman normalisointi: Ominaisuudet kerätyt lokit puretaan ja tallennetaan yhteiset tietokentät hat määritellä tapahtuman, kuten IP – osoitteet, hostnames, käyttäjätunnukset, interfac-nimet, portit, ohjelmat jne. Näin analyytikot voivat suorittaa kyselyjä kerättyjen tapahtumien kautta paremman ja nopeamman analyysin.
- Tapahtumakorrelaatio: tässä analysoidaan kerättyjen tapahtumien välisiä suhteita tapahtumien rakenteen tunnistamiseksi.
OSSIM tarjoaa yhtenäisen alustan, joka niputtaa yhteen tietoturvaominaisuudet, kuten omaisuuden löytämisen, isäntämaan tunkeutumisen havaitsemisen, verkon tunkeutumisen havaitsemisen, käyttäytymisen seurannan, omaisuuden löytämisen, Haavoittuvuusarvioinnin, Lokinhallinnan. Se hyödyntää myös AlienVault Open Threat Exchange (OTX)-järjestelmän voimaa, open threat intelligence-yhteisö toimittaa yhteisön luomia uhkatietoja, mahdollistaa yhteistutkimuksen ja automatisoi tietoturvainfrastruktuurin päivittämisen mistä tahansa lähteestä peräisin olevilla uhkatiedoilla.
ilman sen kummempaa teoriaa mennään ossimin installaatioon. Ympäristössämme asennamme Siemimme VirtualBoxiin. Koska tämä on vain demonstraatio, järjestelmän vähimmäisvaatimukset ovat:
- 2 SUORITINYTIMET
- 8GB RAM
- 32GB levytila
- kaksi Nikkiä (voit käyttää useita Nikkejä hallintaan, verkon valvontaan tai lokin keräämiseen ja skannaukseen)
voit ladata OSSIMIN installaation iso täältä
VirtualBoxiin;
1.Luo uusi vm
2.Määritä 8GB: n muisti
3.Määritä 30 Gt: n tallennustila ja napsauta Luo-painiketta luodaksesi VM
4.Kun VM on luotu, Avaa asetukset ja säädä suoritinytimien määrää
5.Lisää tallennettaessa OSSIM iso IDE-ohjaimeen.
6.Lisää verkoissa toinen NIC vain Palvelinadapteriksi.
7.Käynnistä asennus. Kun OSSIM VM käynnistää iso-kuvan, ohjattu asennus kuten alla on esitetty toivottaa sinut tervetulleeksi.
valitse ensimmäinen vaihtoehto asentaa AlienVault OSSIM 5.5.1 (64-bittinen) ossim Serverin asentamiseksi.
8.Valitse seuraavissa vaiheissa sopiva kieli, sijainti ja näppäimistön asetukset.
9.Valitse configure Network-komennossa ensimmäinen käyttöliittymä ensisijaiseksi verkkoliitännäksi (NATed interface).
alisekventtikokoonpanoille, annetaan sopiva IPv4-osoite, verkkomaski, yhdyskäytävä ja DNS. Tässä tapauksessa Nat – verkon oletustiedot annetaan vastaavasti 10.0.2.15, 255.255.255.0, 10.0.2.2 ja 10.0.2.3.
10.Kun verkko on perustettu, määritä käyttäjät ja salasanat. Aseta root-salasana ja pidä se sellaisena kuin sitä tarvitaan AlienVault OSSIM-konsolin root-kirjautumistilille.
11.Napsauta Jatka jatkaaksesi ossim installation. Jos asennus onnistuu,sinun pitäisi pystyä näkemään samanlainen näyttö kuin alla.
- kuten yllä olevasta kuvakaappauksesta näkyy, Voimme käyttää ossim web-käyttöliittymää osoitteen kautta. https://10.0.2.15/. Kuitenkin, koska tämä on NATed IP, emme voi käyttää ossim kautta tämän osoitteen.
- päästäksemme ossim-palvelimellemme selaimen kautta, meidän täytyy määrittää staattinen IP-osoite edellä lisäämällemme palvelimelle ja tehdä siitä hallintaliittymämme.
- voit tehdä tämän kirjautumalla Siem: iin juureksi aiemmin asetetulla salasanalla. Kun kirjaudut sisään, AlienVault Setup Menu toivottaa sinut tervetulleeksi.
- klikkaa järjestelmäasetuksia > Configure Network > Setup Management Network > eth1 > IP-osoite > Netmask > Gateway
- korvaa NAT-osoite ja verkkomaski vain Isäntäosoitteella ja maskilla
- palaa AlienVault-asetusvalikkoon ja valitse Käytä kaikki muutokset.
- kun muutokset on tehty, meidän täytyy määrittää Nat IP-osoite ensimmäisessä käyttöliittymässä, jotta voimme päästä ulkoiseen verkkoon AV: sta.
- Järjestelmäasetukset > Configure Network > Setup Network Interface > eth0 > IP-osoite > Netmask
- Apply all Changes
- Use 10.0.2.15 / 24 as IP
- muokkaa verkkoliittymiä ja määritä eth0: n yhdyskäytävä siten, että määrityksesi näyttää;
# vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3 - kun IP on asetettu, Käynnistä uudelleen verkostoitumispalvelu;
# service networking restart - voit nyt käyttää AV: tä selaimessa kautta https://192.168.59.113/
- jos saat selainvaroituksen puutteellisesta yhteydestä, Napsauta Advanced and Add Security Exception pysyvästi ja jatka antamaasi IP-osoitetta.
luo admin-tili Tervetuliaissivulle täyttämällä kaikki kentät. Napsauta Käynnistä AlienVault. Tämä vie sinut kirjautumisnäyttöön alla esitetyllä tavalla.
Kirjaudu AlienVault SIEMIIN ja aloita Alkuasetuksesi. Kun olet valmis alkuasetukset, sinun pitäisi tärkein kojelauta OSSIM server.
seuraavassa artikkelissamme käsitellään kuinka tuoda omaisuuseriä OSSIM-palvelimelle. Stay connect lisää tutorials av OSSIM.
