このチュートリアルでは、VirtualBoxにAlienVault OSSIM5.5SIEMをインストールして設定する方法を学びます。
あなたがブルーチームのセキュリティアナリストであれば、ある意味では、SIEM(セキュリティ情報とイベント管理)ソリューションを聞いたことがあるか、または対話したことがある必要があります。 さて、AlienVaultは主要なSIEMソリューションの一つです。 AlienVault OSSIMは、AlienVault SIEMのオープンソース版です。 これは、イベントの収集、正規化と相関のような機能が充実しています。 イベントの収集、正規化、相関について話すとき、あなたの心を横切るものは何ですか? 私たちは黒と白でこれを入れてみましょう:
- イベント収集:AlienVaultには、環境内のさまざまなソース、ホストサーバーとシステム、サーバー上で実行されているアプリケーション、ファイアウォールやルーターなどのネットワー
- イベント正規化: 収集されたログの属性は、IPアドレス、ホスト名、ユーザー名、インターフェイス名、ポート、プログラムなどのイベントを定義する共通データフィールドhatに抽出され、 これにより、分析者は収集されたイベント間でクエリを実行して、より優れた迅速な分析を
- イベント相関:収集されたイベント間の関係を分析して、イベントのパターンを識別します。
OSSIMは、資産検出、ホスト侵入検知、ネットワーク侵入検知、行動監視、資産検出、脆弱性評価、ログ管理などのセキュリティ機能をバンドルした統合プラッ また、オープン脅威インテリジェンスコミュニティであるAlienVault Open Threat Exchange(OTX)の力を活用して、コミュニティが生成した脅威データを提供し、共同研究を可能にし、任意のソースからの脅威データを使用してセキュリティインフラストラクチャを更新するプロセスを自動化します。
あまり理論がなければ、OSSIMのインストールに行きましょう。 私たちの環境では、VirtualBoxにsiemをインストールします。 これは単なるデモであるため、最小システム要件は次のとおりです:
- 2 CPUコア
- 8GB RAM
- 32GBディスク容量
- 2つのNic(管理、ネットワーク監視、またはログ収集とスキャンのために複数のNicを持つことができます)
Ossimのインストールisoは、VirtualBOXの
からダウンロードできます。
1.新しいvmの作成
2.8GBのメモリを割り当てる
3.30GBのストレージを割り当て、作成ボタンをクリックしてVMを作成します
4.VMが作成されたら、設定を開き、CPUコアの数を調整します
5.ストレージで、OSSIM isoをIDEコントローラに追加します。
6.ネットワークでは、ホスト専用アダプタとして第二のNICを追加します。
7.インストールを起動します。 Ossim VMがisoイメージを使用して起動すると、以下のようなインストールウィザードが歓迎されます。
最初のオプションを選択して、AlienVault OSSIM5.5.1(64ビット)をインストールしてOSSIM serverをインストールします。
8.次の手順で、適切な言語、場所、およびキーボードの設定を選択します。
9.”ネットワークの構成”で、最初のインターフェイスをプライマリネットワークインターフェイス(NATedインターフェイス)として選択します。
サブシーケント設定で、適切なIpv4アドレス、ネットマスク、ゲートウェイ、およびDNSを割り当てます。 この場合、デフォルトのNATネットワークの詳細をそれぞれ10.0.2.15、255.255.255.0、10.0.2.2、10.0.2.3として割り当てます。
10.ネットワークのセットアップが完了したら、ユーザーとパスワードを設定します。 Rootパスワードを設定し、AlienVault OSSIMコンソールのrootログインアカウントに必要とされるようにしておきます。
11.”続行”をクリックして、OSSIMのインストールを続行します。 インストールが成功すると、以下に示すような画面が表示されるはずです。
- 上のスクリーンショットに見られるように、アドレスを介してOSSIM webインターフェイスにアクセスできます。 https://10.0.2.15/. しかし、これはNATed IPなので、このアドレスを介してOSSIMにアクセスすることはできません。
- ブラウザ経由でOSSIMサーバーにアクセスするには、上記で追加したホスト専用インターフェイスに静的IPアドレスを割り当て、管理インターフェイスにする必
- これを行うには、以前に設定したパスワードでrootとしてSIEMにログインします。 ログインすると、AlienVaultの設定メニューがあなたを歓迎します。
- システム環境設定をクリックします>ネットワークの設定>セットアップ管理ネットワーク>eth1>IPアドレス>ネットマスク>ゲートウェイ
- NATアド
- AlienVaultの設定メニューに戻り、”すべての変更を適用”をクリックします。
- 変更が適用されたら、最初のインターフェイスでNAT IPアドレスを設定して、AVから外部ネットワークにアクセスできるようにする必要があります。
- システム環境設定>ネットワークの設定>ネットワークインターフェイスの設定>eth0>IPアドレス>ネットマスク
- すべての変更を適用
- Ipとして10.0.2.15/24を使用する
- Ipとして10.0.2.15/24を使用する
- ネットワークインターフェイスを編集し、設定が次のようになるようにeth0のゲートウェイを指定します;
# vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3 - IPが設定されたら、ネットワークサービスを再起動します;
# service networking restart - あなたは今、https://192.168.59.113/
- 経由でブラウザ上であなたのAVにアクセスすることができますあなたは安全でない接続のブラウザの警告を受信した場合,クリッ
すべてのフィールドを入力して、ようこそページに管理者アカウントを作成します。 “AlienVaultの使用を開始”をクリックします。 以下に示すように、これは、ログイン画面に移動します。
AlienVault SIEMにログインし、初期セットアップを開始します。 初期設定が完了したら、OSSIM serverのメインダッシュボードを使用する必要があります。
次の記事では、OSSIMサーバーにアセットをインポートする方法について説明します。 AV OSSIMのより多くのチュートリアルのための接続を滞在。
