w tym samouczku dowiemy się, jak zainstalować i skonfigurować AlienVault OSSIM 5.5 SIEM na VirtualBox.
jeśli jesteś analitykiem ds. bezpieczeństwa Blue Team, w taki czy inny sposób musiałeś słyszeć lub wchodzić w interakcje z nie jednym, Nie dwoma rozwiązaniami Siem (Security Information and Event Management). AlienVault jest jednym z wiodących rozwiązań SIEM. AlienVault OSSIM jest otwartoźródłową wersją AlienVault Siem. Jest wzbogacony o funkcje takie jak zbieranie zdarzeń, normalizacja i korelacja. Co przychodzi ci do głowy, gdy mówimy o zbieraniu zdarzeń, normalizacji i korelacji? Załóżmy, że to czarno-białe:
- Kolekcja zdarzeń: AlienVault może zbierać logi z różnych źródeł w Twoim środowisku, serwerów i systemów hosta, aplikacji działających na serwerach, urządzeń sieciowych, takich jak zapory sieciowe i routery, nazywając je punktami końcowymi w Twoim środowisku.
- normalizacja zdarzeń: Atrybuty zgromadzonych logów są wyodrębniane i przechowywane w wspólnych polach danych hat definiują zdarzenie, takie jak adresy IP, nazwy hostów, nazwy użytkowników, nazwy interfejsów, porty, programy itp. Pozwala to analitykom na uruchamianie zapytań pomiędzy zebranymi zdarzeniami w celu lepszej i szybszej analizy.
- korelacja zdarzeń: polega na analizie relacji między zebranymi zdarzeniami w celu zidentyfikowania wzorca zdarzeń.
OSSIM zapewnia ujednoliconą platformę, która łączy w sobie funkcje bezpieczeństwa, takie jak wykrywanie zasobów, wykrywanie włamań do hosta, wykrywanie włamań do sieci, monitorowanie behawioralne, wykrywanie zasobów, ocena luk w zabezpieczeniach, zarządzanie dziennikami. Wykorzystuje również możliwości otwartej wymiany zagrożeń AlienVault (OTX), społeczności open threat intelligence dostarcza generowane przez społeczność dane o zagrożeniach, umożliwia wspólne badania i automatyzuje proces aktualizacji infrastruktury bezpieczeństwa za pomocą danych o zagrożeniach z dowolnego źródła.
bez Wielkiej teorii przejdźmy do instalacji OSSIM. W naszym środowisku będziemy instalować nasze siem na VirtualBox. Ponieważ jest to tylko demonstracja, minimalne wymagania systemowe to:
- 2 rdzenie procesora
- 8 GB PAMIĘCI RAM
- 32 GB miejsca na dysku
- dwie karty nic (możesz mieć wiele kart do zarządzania, monitorowania sieci lub zbierania i skanowania dzienników)
możesz pobrać iso instalacji OSSIM stąd
na VirtualBOX;
1.Utwórz nową maszynę wirtualną
2.Przypisanie pamięci 8GB
3.Przypisz dysk o pojemności 30 GB i kliknij przycisk Utwórz, aby utworzyć Maszynę wirtualną
4.Po utworzeniu maszyny wirtualnej otwórz Ustawienia i Dostosuj liczbę rdzeni procesora
5.Podczas przechowywania dodaj OSSIM iso do kontrolera IDE.
6.W sieciach dodaj drugą kartę sieciową jako adapter tylko dla hosta.
7.Uruchom instalację. Gdy OSSIM vm uruchamia się z obrazem iso,mile widziany jest kreator instalacji, jak pokazano poniżej.
wybierz pierwszą opcję Zainstaluj AlienVault OSSIM 5.5.1 (64-bitowy), aby zainstalować serwer OSSIM.
8.W kolejnych krokach wybierz odpowiedni język, lokalizację i ustawienia klawiatury.
9.W sekcji Konfiguracja sieci wybierz pierwszy interfejs jako główny interfejs sieciowy (Interfejs NATed).
w konfiguracjach podrzędnych, Przypisz odpowiedni adres IPv4, maskę sieci, bramę i DNS. W tym przypadku należy przypisać domyślne dane sieci NAT jako odpowiednio 10.0.2.15, 255.255.255.0, 10.0.2.2, 10.0.2.3.
10.Po skonfigurowaniu sieci skonfiguruj użytkowników i hasła. Ustaw hasło root i zachowaj je tak, jak będzie wymagane dla konta root logowania w konsoli AlienVault OSSIM.
11.Kliknij Kontynuuj, aby kontynuować instalację OSSIM. Jeśli instalacja się powiedzie, powinien być widoczny ekran podobny do pokazanego poniżej.
- jak widać na powyższym zrzucie ekranu, możemy uzyskać dostęp do interfejsu internetowego OSSIM za pośrednictwem adresu. https://10.0.2.15/. Ponieważ jednak jest to NATed IP, nie będziemy mogli uzyskać dostępu do naszego OSSIM przez ten adres.
- aby uzyskać dostęp do naszego serwera OSSIM za pośrednictwem przeglądarki, musimy przypisać statyczny adres IP do interfejsu Host-Only, który dodaliśmy powyżej i uczynić go naszym interfejsem zarządzania.
- aby to zrobić, zaloguj się do SIEM jako root przy użyciu wcześniej ustawionego hasła. Po zalogowaniu, menu ustawień AlienVault zaprasza.
- kliknij Preferencje systemowe > Skonfiguruj sieć > Skonfiguruj sieć zarządzania > eth1 > adres IP > Maska sieci > Gateway
- Zamień adres NAT i maskę sieci na adres i maskę tylko hosta
- wróć do menu ustawień AlienVault i kliknij Zastosuj wszystkie zmiany.
- po wprowadzeniu zmian musimy skonfigurować adres IP NAT na pierwszym interfejsie, abyśmy mogli dostać się do sieci zewnętrznej z AV.
- Preferencje systemowe > Konfiguracja sieci > Konfiguracja interfejsu sieciowego > eth0 > adres IP > Maska sieciowa
- Zastosuj wszystkie zmiany
- użyj 10.0.2.15 / 24 jako IP
- Edytuj interfejsy sieciowe i określ bramę eth0 tak, aby Twoja konfiguracja wyglądała;
# vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3
- Po ustawieniu adresu IP uruchom ponownie usługę sieciową;
# service networking restart
- możesz teraz uzyskać dostęp do AV w przeglądarce za pośrednictwem https://192.168.59.113/
- jeśli otrzymasz ostrzeżenia przeglądarki o niezabezpieczonym połączeniu, kliknij Zaawansowane i trwale Dodaj wyjątek bezpieczeństwa i kontynuuj wprowadzony adres IP.
Utwórz konto administratora na stronie powitalnej, wypełniając wszystkie pola. Kliknij Rozpocznij Korzystanie Z AlienVault. To zabierze cię do ekranu logowania, jak pokazano poniżej.
Zaloguj się do SIEM AlienVault i rozpocznij wstępną konfigurację. Po zakończeniu wstępnej konfiguracji powinieneś znaleźć główny pulpit nawigacyjny serwera OSSIM.
w następnym artykule omówimy sposób importowania zasobów do serwera OSSIM. Pozostań w kontakcie, aby uzyskać więcej samouczków na temat AV OSSIM.