neste tutorial, vamos aprender como instalar e configurar AlienVault OSSIM 5.5 SIEM no VirtualBox.
se você é um analista de segurança da equipe azul, de uma forma ou de outra você deve ter ouvido falar ou interagir com não uma, não duas soluções SIEM (Security Information and Event Management). Bem, AlienVault é uma das principais soluções SIEM. AlienVault OSSIM é a versão de código aberto do AlienVault SIEM. Ele vem enriquecido com recursos como coleção de eventos, normalização e correlação. O que passa pela sua mente quando falamos sobre coleta de eventos, normalização e correlação? Vamos colocar isso em preto e branco:
- coleção de Evento: AlienVault tem a capacidade de coletar logs a partir de várias fontes em seu ambiente, o host de servidores e sistemas, aplicativos em execução em servidores, dispositivos de rede, como firewalls e roteadores, nome de ponto de extremidade no seu ambiente.
- normalização de eventos: Os atributos dos logs coletados são extraídos e armazenados nos campos de dados comuns Hat definem um evento como endereços IP, nomes de host, nomes de usuário, nomes de interface, portas, programas etc. Isso permite que os analistas executem consultas em eventos coletados para uma análise melhor e mais rápida.
- correlação de Eventos: isso envolve a análise de relações entre os eventos coletados para identificar o padrão de eventos.O OSSIM fornece uma plataforma unificada que reúne recursos de segurança, como descoberta de ativos, detecção de intrusão de Host, detecção de intrusão de rede, monitoramento Comportamental, descoberta de ativos, avaliação de vulnerabilidade, gerenciamento de Log. Ele também aproveita o poder do AlienVault Open Threat Exchange (OTX), a comunidade de inteligência de ameaças abertas fornece dados de ameaças gerados pela comunidade, permite pesquisas colaborativas e automatiza o processo de atualização de sua infraestrutura de segurança com dados de ameaças de qualquer fonte.
sem muita teoria, vamos começar a instalação do OSSIM. Em nosso ambiente, estaremos instalando nosso siem no VirtualBox. Uma vez que esta é apenas uma demonstração, os requisitos mínimos do sistema são:
- 2 núcleos de CPU
- 8 gb de RAM
- 32GB de Espaço em Disco
- Duas Placas de interface de rede (Você pode ter várias Placas de rede para Gerenciamento, Monitoramento de Rede ou de Registo de Recolha e Digitalização)
Você pode baixar o OSSIM iso de instalação aqui
No VirtualBOX;
1.Criar nova vm2.Atribuir uma memória de 8GB
3.Atribuir um armazenamento de 30 gb e clique em criar para criar uma VM
4.Depois que uma VM for criada, abra Configurações e ajuste o número de núcleos DA CPU
5.No armazenamento, adicione OSSIM iso ao controlador IDE.
6.Nas redes, adicione um segundo NIC como adaptador somente Host.
7.Inicie a instalação. Quando o OSSIM VM inicializa com imagem iso, um assistente de instalação, conforme mostrado abaixo, recebe você.
Escolha a primeira opção de Instalar AlienVault OSSIM 5.5.1 (64 Bits) para instalar o OSSIM servidor.
8.Nas próximas etapas, escolha o idioma, a localização e as configurações apropriadas do teclado.
9.Em Configurar Rede, selecione a primeira interface como a interface de rede primária (a interface NATed).
No subsequentes configurações, atribuir apropriado de endereços IPv4, a netmask, a gateway e o DNS. Nesse caso, atribua os detalhes padrão da rede NAT como 10.0.2.15, 255.255.255.0, 10.0.2.2, 10.0.2.3, respectivamente.
10.Depois que a rede estiver configurada, configure usuários e senhas. Defina a senha raiz e mantenha-a, pois ela será necessária para a conta de login raiz no Console AlienVault OSSIM.
11.Clique em Continuar para prosseguir com a instalação do OSSIM. Se a instalação for bem-sucedida, você poderá ver uma tela semelhante à mostrada abaixo.
- Como visto na imagem acima, podemos acessar OSSIM interface web através do endereço. https://10.0.2.15/. No entanto, como este é um IP NATed, não poderemos acessar nosso OSSIM por meio deste endereço.
- para acessar nosso servidor OSSIM via navegador, precisamos atribuir um endereço IP estático à interface somente Host que adicionamos acima e torná-la nossa Interface de gerenciamento.
- para fazer isso, faça login no SIEM como root com a senha definida anteriormente. Depois de fazer o login, o menu de configuração do AlienVault lhe dá as boas-vindas.
- Clique em Preferências do Sistema > Configurar Rede > Gerenciamento de Configuração de Rede > eth1 > endereço IP > Netmask > Gateway
- Substitua o NAT endereço e máscara de rede com o Host-only endereço e máscara de
- voltar para AlienVault Menu de Configuração e clique em Aplicar todas as Alterações.
- uma vez que as alterações são aplicadas, precisamos configurar o endereço IP NAT na primeira interface para que possamos chegar à rede externa a partir do AV.
- Preferências do Sistema > Configurar Rede > Configuração de Interface de Rede > eth0 > endereço IP > Netmask
- Aplicar todas as Alterações
- Usar 10.0.2.15 /24 IP
- Editar as interfaces de rede e especificar o gateway para eth0 tal que a sua configuração se parece com;
# vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3
- uma Vez que o IP está definido, reinicie o serviço de rede;
# service networking restart
- agora você pode acessar seu AV no navegador via https://192.168.59.113/
- se você receber avisos do navegador de conexão insegura, clique em Avançado e Adicionar exceção de segurança permanentemente e prossiga com o endereço IP que você digitou.
crie uma conta de administrador na página de boas-vindas preenchendo todos os campos. Clique Em Iniciar Usando AlienVault. Isso leva você à tela de login, conforme mostrado abaixo.
Login na sua AlienVault SIEM e começar a sua Configuração Inicial. Depois de terminar a configuração inicial, você deve o painel principal do OSSIM server.
Em nosso próximo artigo, estaremos cobrindo como importar recursos para OSSIM servidor. Fique conectado para mais tutoriais no AV OSSIM.