i denne opplæringen skal vi lære å installere OG sette Opp AlienVault OSSIM 5.5 SIEM På VirtualBox.
Hvis Du Er En Blue Team security analyst, må du på en eller annen måte ha hørt om eller samhandle med IKKE en, ikke to SIEM (Security Information and Event Management) løsninger. Vel, AlienVault er en av DE ledende SIEM-løsningene. AlienVault OSSIM er åpen kildekode-versjonen Av AlienVault SIEM. Den kommer beriket med funksjoner som hendelsessamling, normalisering og korrelasjon. Hva krysser tankene dine når vi snakker om hendelsessamling, normalisering og korrelasjon? La oss sette dette i svart og hvitt:
- Event collection: AlienVault har muligheten til å samle inn logger fra ulike kilder i ditt miljø, vertsservere og systemer, programmer som kjører på servere, nettverksenheter, for eksempel brannmurer og rutere, navngi dem endepunkter i ditt miljø.
- Hendelses normalisering: Attributtene til de innsamlede loggene hentes ut og lagres i de vanlige datafeltene som definerer en hendelse som IP-adresser, vertsnavn,brukernavn, grensesnittnavn, porter, programmer etc. Dette gjør det mulig for analytikere å kjøre spørringer på tvers av innsamlede hendelser for bedre og raskere analyse.
- Hendelseskorrelasjon: dette innebærer å analysere relasjoner mellom de innsamlede hendelsene for å identifisere hendelsesmønsteret.
OSSIM gir en enhetlig plattform som pakker sammen sikkerhetsfunksjoner som Ressursoppdagelse, Vertsinnbruddsdeteksjon, Nettverksinnbruddsdeteksjon, Atferdsovervåking, Ressursoppdagelse, Sårbarhetsvurdering, Loggadministrasjon. Den utnytter også Kraften I AlienVault Open Threat Exchange (OTX), open threat intelligence-fellesskapet leverer fellesskapsgenererte trusseldata, muliggjør samarbeidsforskning og automatiserer prosessen med å oppdatere sikkerhetsinfrastrukturen med trusseldata fra hvilken som helst kilde.
uten mye teori, la oss komme til installasjon AV OSSIM. I vårt miljø vil vi installere vår siem På VirtualBox. Siden dette bare er en demonstrasjon, er de minste systemkravene:
- 2 CPU-kjerner
- 8 GB RAM
- 32 GB Diskplass
- To Nettverkskort (du kan ha flere Nettverkskort For Administrasjon, Nettverksovervåking eller Logginnsamling og Skanning)
DU kan laste NED ossim-installasjonen iso herfra
På VirtualBOX;
1.Opprett ny vm
2.Tilordne et minne PÅ 8GB
3.Tilordne en lagring PÅ 30GB og klikk opprett-knappen for å lage EN VM
4.Når EN VM er opprettet, åpne innstillinger og juster antall CPU-kjerner
5.På lagring, legg OSSIM iso TIL IDE-kontrolleren.
6.På Nettverk legger du til en ANDRE NIC som vertskortadapter.
7.Start installasjonen. Når OSSIM VM støvler med iso-bilde, ønsker en installasjonsveiviser som vist nedenfor deg velkommen.
Velg Det første alternativet Installer AlienVault OSSIM 5.5.1 (64 Bit) for å installere OSSIM server.
8.I de neste trinnene velger du de riktige språk -, sted-og tastaturinnstillingene.
9.På konfigurer Nettverk velger du det første grensesnittet som det primære nettverksgrensesnittet (NATed-grensesnittet).
tilordne riktig IPv4-adresse, nettmasken, gatewayen og DNS på de undersekvente konfigurasjonene. I så fall tilordner du standard nat-nettverksdetaljer som henholdsvis 10.0.2.15, 255.255.255.0, 10.0.2.2, 10.0.2.3.
10.Når nettverket er satt opp, konfigurer brukere og passord. Angi root-passordet og hold det som det vil være nødvendig for root-påloggingskontoen i AlienVault OSSIM-konsollen.
11.Klikk på fortsett for å fortsette MED OSSIM-installasjonen. Hvis Installasjonen er vellykket, bør du kunne se en skjerm som ligner den som vises nedenfor.
- som vist på skjermbildet ovenfor, kan VI få tilgang TIL OSSIM webgrensesnitt via adressen. https://10.0.2.15/. Men siden DETTE ER En NATed IP, vil vi ikke kunne få tilgang til VÅR OSSIM via denne adressen.
- for å få tilgang til OSSIM-serveren via nettleseren, må vi tilordne en statisk IP-adresse til Vertsgrensesnittet vi la til ovenfor og gjøre det til vårt styringsgrensesnitt.
- for å gjøre dette, logg inn PÅ SIEM som rot med passordet satt tidligere. Når du har logget inn, Ønsker AlienVault Setup Menu deg velkommen.
- Klikk På Systemvalg > Konfigurer Nettverk > Nettverk For Oppsett > eth1 > IP-adresse > Nettmaske >Gateway
- Erstatt nat-adressen Og nettmasken Med vertsadresse og maske
- Gå tilbake til AlienVault Setup-Menyen og klikk På Bruk Alle Endringer.
- når endringene er brukt, må VI konfigurere NAT IP-adressen på første grensesnitt slik at vi kan komme til eksternt nettverk fra AV.
- Systemvalg > Konfigurer Nettverk > Oppsett Nettverksgrensesnitt > eth0 > IP-adresse > Nettmaske
- Bruk Alle Endringer
- Bruk 10.0.2.15 /24 SOM IP
- Rediger nettverksgrensesnittene og angi gatewayen for eth0 slik at konfigurasjonen din ser ut;
# vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3 - når IP-en er satt, starter du nettverkstjenesten på nytt;
# service networking restart - du kan nå få TILGANG til AV i nettleseren via https://192.168.59.113/
- hvis du mottar nettleseradvarsler om usikker tilkobling, klikker Du På Avansert og Legger Til Sikkerhetsunntak permanent og fortsetter IP-adressen du skrev inn.
Opprett en adminkonto på Velkomstsiden ved å fylle ut alle feltene. Klikk På Start Bruk Av AlienVault. Dette tar deg til påloggingsskjermen som vist nedenfor.
Logg Inn På AlienVault SIEM og start Ditt Første Oppsett. Når DU er ferdig med første oppsett, bør du hoveddashbordet TIL OSSIM server.
I vår neste artikkel vil vi dekke hvordan du importerer Eiendeler TIL OSSIM-serveren. Hold kontakten for flere tutorials på AV OSSIM.
