Come installare e configurare AlienVault OSSIM 5.5 su VirtualBox

In questo tutorial ci accingiamo a imparare come installare e configurare AlienVault OSSIM 5.5 SIEM su VirtualBox.

Se sei un analista di sicurezza Blue Team, in un modo o nell’altro devi aver sentito parlare o interagire con non una, non due soluzioni SIEM (Security Information and Event Management). Beh, AlienVault è una delle principali soluzioni SIEM. AlienVault OSSIM è la versione open source di AlienVault SIEM. Viene arricchito con funzionalità come la raccolta di eventi, la normalizzazione e la correlazione. Cosa ti passa per la mente quando parliamo di raccolta di eventi, normalizzazione e correlazione? Mettiamolo nero su bianco:

• Raccolta eventi: AlienVault ha la capacità di raccogliere i registri da varie fonti nell’ambiente, server e sistemi host, applicazioni in esecuzione su server, dispositivi di rete, come firewall e router, denominarli endpoint nell’ambiente.
• Normalizzazione degli eventi: Gli attributi dei log raccolti vengono estratti e memorizzati nei campi di dati comuni che definiscono un evento come indirizzi IP, nomi host, nomi utente, nomi di interfaccia, porte, programmi ecc. Ciò consente agli analisti di eseguire query su eventi raccolti per un’analisi migliore e più rapida.
• Correlazione degli eventi: ciò comporta l’analisi delle relazioni tra gli eventi raccolti per identificare il modello degli eventi.

OSSIM fornisce una piattaforma unificata che raggruppa funzionalità di sicurezza come Asset discovery, Host Intrusion Detection, Network Intrusion Detection, Behavioral Monitoring, Asset Discovery, Vulnerability Assessment, Log management. Sfrutta inoltre la potenza di AlienVault Open Threat Exchange (OTX), la comunità open threat intelligence fornisce dati sulle minacce generati dalla comunità, consente la ricerca collaborativa e automatizza il processo di aggiornamento dell’infrastruttura di sicurezza con i dati sulle minacce provenienti da qualsiasi fonte.

Senza molta teoria, arriviamo all’installazione di OSSIM. Nel nostro ambiente, installeremo il nostro siem su VirtualBox. Dal momento che questa è solo una dimostrazione, i requisiti minimi di sistema sono:

• 2 CPU core
• 8GB di RAM
• 32GB di Spazio su Disco
• Due schede di rete (Si può avere più schede di rete per la Gestione, il Monitoraggio della Rete o di Raccolta dei Log e la Scansione)

È possibile scaricare il OSSIM iso di installazione da qui

Su VirtualBOX;
1.Creare una nuova vm

2.Assegnare una memoria di 8 GB

3.Assegnare una memoria di 30 GB e fare clic sul pulsante Crea per creare una VM

4.Una volta creata una VM, apri impostazioni e regola il numero di core della CPU

5.Sulla memoria, aggiungere OSSIM iso al controller IDE.

6.Sulle reti, aggiungere una seconda scheda NIC come adattatore solo host.

7.Avviare l’installazione. Quando OSSIM VM si avvia con l’immagine iso, una procedura guidata di installazione come mostrato di seguito vi dà il benvenuto.

Scegli la prima opzione Installa AlienVault OSSIM 5.5.1 (64 Bit) per installare OSSIM server.

8.Nei passaggi successivi, scegliere la lingua, la posizione e le impostazioni della tastiera appropriate.

9.In Configura rete, selezionare la prima interfaccia come interfaccia di rete primaria (l’interfaccia nata).

Nelle configurazioni secondarie, assegnare l’indirizzo IPv4 appropriato, la maschera di rete, il gateway e il DNS. In questo caso, assegnare i dettagli di rete NAT predefiniti rispettivamente come 10.0.2.15, 255.255.255.0, 10.0.2.2, 10.0.2.3.

10.Una volta impostata la rete, configurare utenti e password. Impostare la password di root e mantenerla come sarà richiesto per l’account di accesso root nella console AlienVault OSSIM.

11.Fare clic su Continua per procedere con l’installazione di OSSIM. Se l’installazione è riuscita, si dovrebbe essere in grado di vedere una schermata simile a quella mostrata di seguito.

• Come si vede nello screenshot qui sopra, possiamo accedere all’interfaccia web OSSIM tramite l’indirizzo. https://10.0.2.15/. Tuttavia, poiché si tratta di un IP nato, non saremo in grado di accedere al nostro OSSIM tramite questo indirizzo.
• Per accedere al nostro server OSSIM tramite browser, dobbiamo assegnare un indirizzo IP statico all’interfaccia solo host che abbiamo aggiunto sopra e renderlo la nostra interfaccia di gestione.
• Per fare ciò, accedere al SIEM come root con la password impostata in precedenza. Una volta effettuato il login, Menu di configurazione AlienVault vi dà il benvenuto.
• Fare clic su Preferenze di sistema > Configura rete > Setup Management Network > eth1 > Indirizzo IP > Maschera di rete > Gateway
  • Sostituire l’indirizzo NAT e la maschera di rete con l’indirizzo e la maschera solo host
• Torna al menu di configurazione di AlienVault e fai clic su Applica tutte le modifiche.
• Una volta applicate le modifiche, dobbiamo configurare l’indirizzo IP NAT sulla prima interfaccia in modo da poter arrivare alla rete esterna da AV.
  • Preferenze di Sistema > Configurazione di Rete > Configurazione dell’Interfaccia di Rete > eth0 > Netmask
  • Applicare tutte le Modifiche
  • Utilizzare 10.0.2.15 /24 IP
• Modificare le interfacce di rete e specificare il gateway per eth0 tale che la tua configurazione è molto simile;

  # vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3

• una Volta che l’indirizzo IP è impostato, riavviare la rete di servizio;

  # service networking restart

• È ora possibile accedere AV sul browser tramite https://192.168.59.113/
• Se si ricevono avvisi del browser di connessione non sicura, fare clic su Avanzate e Aggiungere eccezione di sicurezza in modo permanente e procedere l’indirizzo IP immesso.

Crea un account amministratore nella pagina di benvenuto compilando tutti i campi. Fare clic su Inizia a utilizzare AlienVault. Questo ti porta alla schermata di accesso come mostrato di seguito.

Accedi al tuo AlienVault SIEM e inizia la configurazione iniziale. Una volta che si è fatto con la configurazione iniziale, si dovrebbe il cruscotto principale del server OSSIM.

Nel nostro prossimo articolo, tratteremo come importare risorse in OSSIM server. Soggiorno connect per ulteriori tutorial su AV OSSIM.