ebben az oktatóanyagban megtanuljuk, hogyan kell telepíteni és beállítani az AlienVault OSSIM 5.5 SIEM-et a VirtualBox-on.
ha Ön a Blue Team biztonsági elemzője, akkor valamilyen módon nem egy, hanem két SIEM (Security Information and Event Management) megoldásról kell hallania vagy kapcsolatba lépnie. Nos, az AlienVault az egyik vezető SIEM megoldás. AlienVault OSSIM a nyílt forráskódú változata AlienVault SIEM. Olyan funkciókkal gazdagodik, mint az eseménygyűjtés, a normalizálás és a korreláció. Mi jut eszedbe, amikor az eseménygyűjtésről, a normalizálásról és a korrelációról beszélünk? Tegyük ezt fekete-fehérbe:
- Eseménygyűjtés: az AlienVault képes naplókat gyűjteni a környezet különböző forrásaiból, host szerverekről és rendszerekről, szervereken futó alkalmazásokról, hálózati eszközökről, például tűzfalakról és útválasztókról, nevezze el őket a környezet végpontjainak.
- Esemény normalizálása: Az összegyűjtött naplók attribútumait kibontják és tárolják a közös adatmezőkben, amelyek meghatározzák az eseményt, például IP-címeket, hostneveket, felhasználóneveket, interfac – neveket, portokat, programokat stb. Ez lehetővé teszi az elemzők számára, hogy lekérdezéseket futtassanak az összegyűjtött események között a jobb és gyorsabb elemzés érdekében.
- Eseménykorreláció: ez magában foglalja az összegyűjtött események közötti kapcsolatok elemzését az események mintázatának azonosítása érdekében.
az OSSIM egy egységes platformot biztosít, amely összekapcsolja a biztonsági képességeket, mint például az Eszközfelfedezés, a gazdagép Behatolásérzékelése, a hálózati behatolás észlelése, a Viselkedésfigyelés, az Eszközfelfedezés, a sebezhetőség értékelése, a naplózás. Emellett kihasználja az AlienVault Open Threat Exchange (OTX) erejét, az open threat intelligence community közösség által generált fenyegetési adatokat szolgáltat, lehetővé teszi az együttműködésen alapuló kutatást, és automatizálja a biztonsági infrastruktúra frissítésének folyamatát bármilyen forrásból származó fenyegetési adatokkal.
sok elmélet nélkül térjünk rá az OSSIM telepítésére. Környezetünkben A Siem-et a VirtualBox-ra telepítjük. Mivel ez csak egy demonstráció, a minimális rendszerkövetelmények a következők:
- 2 CPU magok
- 8GB RAM
- 32GB lemezterület
- két Nic (több Nic is lehet a kezeléshez, a hálózati megfigyeléshez vagy a naplózáshoz és a szkenneléshez)
az OSSIM telepítési iso letölthető innen
a Virtualboxon;
1.Új virtuális gép létrehozása
2.Hozzárendelése memória 8GB
3.Rendeljen 30 GB-os tárhelyet, majd kattintson a Létrehozás gombra a virtuális gép létrehozásához
4.A virtuális gép létrehozása után nyissa meg a beállításokat és állítsa be a CPU magok számát
5.Tárolás közben adja hozzá az OSSIM iso-t az IDE vezérlőhöz.
6.Hálózatokon adjon hozzá egy második hálózati kártyát csak gazdagép-adapterként.
7.Indítsa el a telepítést. Amikor az OSSIM VM ISO képpel indul, az alább látható telepítővarázsló üdvözli Önt.
válassza ki az első lehetőséget telepítse AlienVault OSSIM 5.5.1 (64 Bit) telepíteni OSSIM server.
8.A következő lépésekben válassza ki a megfelelő nyelvet, helyet és billentyűzetbeállításokat.
9.A hálózat konfigurálása részben válassza ki az első interfészt elsődleges hálózati interfészként (a NATed interfészt).
az al-szekvenciális konfigurációkban rendeljen hozzá megfelelő IPv4-címet, a netmaszkot, az átjárót és a DNS-t. Ebben az esetben rendelje hozzá az alapértelmezett NAT hálózati adatokat 10.0.2.15, 255.255.255.0, 10.0.2.2, 10.0.2.3.
10.A hálózat beállítása után konfigurálja a felhasználókat és a jelszavakat. Állítsa be a root jelszót, és tartsa meg, mivel ez szükséges lesz a root bejelentkezési fiókhoz az AlienVault OSSIM konzolban.
11.Kattintson a Folytatás gombra az OSSIM telepítésének folytatásához. Ha a telepítés sikeres, akkor látnia kell az alább látható képernyőhöz hasonló képernyőt.
- amint a fenti képernyőképen látható, a címen keresztül hozzáférhetünk az OSSIM webes felületéhez. https://10.0.2.15/. Mivel azonban ez egy NATed IP, ezen a címen keresztül nem tudjuk elérni az OSSIM-et.
- az OSSIM szerverünk böngészőn keresztüli eléréséhez statikus IP-címet kell hozzárendelnünk a fent hozzáadott Host-Only interfészhez, és ezt a felügyeleti Interfészünkké kell tennünk.
- ehhez jelentkezzen be a SIEM-be root-ként a korábban beállított jelszóval. Miután bejelentkezett, az AlienVault beállítási menü üdvözli Önt.
- kattintson a System Preferences > Configure Network > Setup Management Network > eth1 > IP-cím > Netmask > Gateway
- cserélje ki a NAT-cím és netmask csak gazda címet és maszkot
- menjen vissza az AlienVault beállítási menüjébe, majd kattintson az összes módosítás alkalmazása gombra.
- a módosítások alkalmazása után be kell állítanunk a NAT IP-címet az első interfészen, hogy az AV-ból külső hálózathoz juthassunk.
- Rendszerbeállítások > hálózat konfigurálása > hálózati interfész beállítása > eth0 > IP-cím > Netmaszk
- minden változtatás alkalmazása
- a 10.0.2.15 /24 használata IP-címként
- Szerkessze a hálózati interfészeket, és adja meg az eth0 átjáróját úgy, hogy a konfiguráció így nézzen ki;
# vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3
- az IP beállítása után indítsa újra a hálózati szolgáltatást;
# service networking restart
- mostantól elérheti az AV-t a böngészőben a https://192.168.59.113/
- ha a böngésző figyelmeztetéseket kap a nem biztonságos kapcsolatról, kattintson a Speciális gombra, majd véglegesen adja hozzá a biztonsági kivételt, és folytassa a megadott IP-címet.
hozzon létre egy adminisztrátori fiókot az üdvözlő oldalon az összes mező kitöltésével. Kattintson Az AlienVault Használatának Megkezdése Elemre. Ezzel a bejelentkezési képernyőre jut, az alábbiak szerint.
jelentkezzen be az AlienVault SIEM-be, és kezdje el a kezdeti telepítést. Miután végzett a kezdeti beállítás, akkor a fő műszerfal OSSIM szerver.
a következő cikkben, mi lesz, amely hogyan kell importálni eszközök OSSIM szerver. Maradjon connect további útmutatók AV OSSIM.