installeren en configureren van AlienVault ossim 5.5 op VirtualBox

In deze tutorial gaan we leren hoe AlienVault ossim 5.5 Siem op VirtualBox te installeren en in te stellen.

Als u een Blue Team security analyst bent, moet u op de een of andere manier gehoord hebben van of interactie hebben met niet één, niet twee Siem-oplossingen (Security Information and Event Management). Nou, AlienVault is een van de toonaangevende Siem oplossingen. AlienVault OSSIM is de open source versie van AlienVault SIEM. Het wordt verrijkt met functies zoals event collection, normalisatie en correlatie. Waar denk je aan als we het hebben over event collection, normalisatie en correlatie? Laten we dit zwart op wit zetten:

  • Event collection: AlienVault heeft de mogelijkheid om logs te verzamelen van verschillende bronnen in uw omgeving, host servers en systemen, toepassingen die draaien op servers, netwerkapparaten, zoals firewalls en routers, noem ze endpoints in uw omgeving.
  • normalisatie van gebeurtenissen: De attributen van de verzamelde logs worden geëxtraheerd en opgeslagen in de gemeenschappelijke gegevensvelden hat definieer een gebeurtenis zoals IP-adressen, hostnamen, Gebruikersnamen, interfac – namen, poorten, programma ‘ s enz. Dit stelt analisten in staat om query ‘ s uit te voeren over verzamelde gebeurtenissen voor een betere en snellere analyse.
  • Gebeurteniscorrelatie: dit omvat het analyseren van de relaties tussen de verzamelde gebeurtenissen om het patroon van gebeurtenissen te identificeren.

OSSIM biedt een uniform platform dat beveiligingsmogelijkheden bundelt zoals Asset discovery, Host Intrusion Detection, Network Intrusion Detection, Behavioral monitoring, Asset Discovery, Vulnerability Assessment, Log management. Het maakt ook gebruik van de kracht van de AlienVault Open Threat Exchange (OTX), de open threat intelligence community levert door de gemeenschap gegenereerde dreigingsgegevens, maakt gezamenlijk onderzoek mogelijk en automatiseert het proces van het bijwerken van uw beveiligingsinfrastructuur met dreigingsgegevens uit elke bron.

zonder veel theorie, laten we beginnen met de installatie van OSSIM. In onze omgeving installeren we onze Siem op VirtualBox. Aangezien dit slechts een demonstratie is, zijn de minimale systeemvereisten:

  • 2 CPU-cores
  • 8 GB RAM
  • 32 GB schijfruimte
  • twee Nic ’s (U kunt meerdere NIC’ s hebben voor beheer, netwerkbewaking of Logverzameling en scannen)

u kunt de ossim installatie iso downloaden vanaf hier

op VirtualBOX;
1.Maak een nieuwe vm

installeren en configureren van AlienVault OSSIM 5.5 op VirtualBox

2.Toewijzen van een geheugen van 8GB

installeren en configureren van AlienVault ossim 5.5 op VirtualBox

3.Wijs een opslagruimte van 30 GB toe en klik op de knop aanmaken om een VM

te maken hoe AlienVault ossim 5.5 te installeren en te configureren op VirtualBox

4.Zodra een VM is gemaakt, open instellingen en pas het aantal CPU-cores

hoe te installeren en configureren AlienVault ossim 5.5 op VirtualBox

5.Voeg bij opslag ossim iso toe aan IDE controller.

installeren en configureren van AlienVault ossim 5.5 op VirtualBox

6.Voeg op netwerken een tweede NIC toe als host-Only adapter.

installeren en configureren van AlienVault ossim 5.5 op VirtualBox

7.Start de installatie. Wanneer OSSIM VM opstart met iso image,heet een installatie wizard zoals hieronder getoond u welkom.

installeren en configureren van AlienVault ossim 5.5 op VirtualBox

kies de eerste optie AlienVault ossim installeren 5.5.1 (64 Bit) om ossim server te installeren.

8.Kies in de volgende stappen de juiste taal, locatie en toetsenbordinstellingen.

9.Selecteer bij Netwerk configureren de eerste interface als de primaire netwerkinterface (de NATed interface).

installeer en configureer AlienVault ossim 5.5 op VirtualBox

wijs op de sub-sequent configuraties het juiste IPv4-adres, het netmasker, de gateway en de DNS toe. Wijs in dit geval de standaard nat-netwerkdetails toe als respectievelijk 10.0.2.15, 255.255.255.0, 10.0.2.2, 10.0.2.3.

10.Zodra het netwerk is ingesteld, configureer gebruikers en wachtwoorden. Stel het root wachtwoord in en houd het zoals het nodig is voor het root login account in de AlienVault ossim console.

installeren en configureren van AlienVault ossim 5.5 op VirtualBox

11.Klik op Doorgaan om verder te gaan met de installatie van OSSIM. Als de installatie succesvol is, zou je een scherm moeten kunnen zien dat vergelijkbaar is met het scherm hieronder.

installeren en configureren van AlienVault ossim 5.5 op VirtualBox

  • zoals te zien op de screenshot hierboven, kunnen we toegang tot OSSIM webinterface via het adres. https://10.0.2.15/. Echter, omdat dit een NATed IP is, zullen we niet in staat zijn om toegang te krijgen tot onze OSSIM via dit adres.
  • om toegang te krijgen tot onze ossim server via browser, moeten we een statisch IP-adres toewijzen aan de Host-Only interface die we hierboven hebben toegevoegd en dit onze beheerinterface maken.
  • om dit te doen, logt u in op de Siem als root met het eerder ingestelde wachtwoord. Zodra u zich aanmeldt, AlienVault Setup Menu heet u welkom. installeren en configureren van AlienVault ossim 5.5 op VirtualBox
  • klik op Systeemvoorkeuren > netwerk > netwerk instellen > eth1 > IP-adres > netmasker > Gateway
    • NAT-adres en netmasker vervangen door alleen host-adres en masker
  • Ga terug naar AlienVault Setup Menu en klik op alle wijzigingen toepassen.
  • zodra de wijzigingen zijn toegepast, moeten we het nat IP-adres configureren op de eerste interface, zodat we in staat zijn om naar een extern netwerk te gaan vanuit AV.
    • Systeemvoorkeuren > netwerk > netwerkinterface instellen > eth0 > IP-adres > netmasker
    • alle wijzigingen
    • gebruiken 10.0.2.15 /24 als IP-adres
  • Bewerk de netwerkinterfaces en specificeer de gateway voor eth0 zodat uw configuratie eruit ziet als;
    # vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3
  • zodra het IP is ingesteld, Herstart de Netwerkservice;
    # service networking restart
  • u kunt nu toegang krijgen tot uw AV in de browser via https://192.168.59.113/
  • als u browserwaarschuwingen van onveilige verbinding ontvangt, klikt u op Geavanceerd en voegt u de Beveiligingsuitzondering permanent toe en gaat u verder met het IP-adres dat u hebt ingevoerd.

Maak een admin-account aan op de welkomstpagina door alle velden in te vullen. Klik Op Start Using AlienVault. Dit brengt u naar het login scherm zoals hieronder getoond.

Hoe installeer en configureer je AlienVault ossim 5.5 op VirtualBox

Log in op je AlienVault SIEM en begin je initiële Setup. Zodra u klaar bent met de eerste setup, moet u het belangrijkste dashboard van ossim server.

installeer en configureer AlienVault ossim 5.5 op VirtualBox

In ons volgende artikel gaan we in op het importeren van activa naar de ossim-server. Stay connect voor meer tutorials op AV OSSIM.

Write a Comment

Het e-mailadres wordt niet gepubliceerd.