cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

în acest tutorial, vom învăța cum să instalăm și să configurăm AlienVault OSSIM 5.5 Siem pe VirtualBox.

dacă sunteți analist de securitate al echipei albastre, într-un fel sau altul trebuie să fi auzit sau să interacționați cu nu una, nu cu două soluții Siem (Security Information and Event Management). Ei bine, AlienVault este una dintre cele mai importante soluții SIEM. AlienVault OSSIM este versiunea open source a AlienVault Siem. Acesta vine îmbogățit cu caracteristici cum ar fi colectarea de evenimente, normalizare și Corelare. Ce vă trece prin minte când vorbim despre colectarea, normalizarea și corelarea evenimentelor? Să punem acest lucru în alb și negru:

  • colecția de evenimente: AlienVault are capacitatea de a colecta jurnale din diverse surse din mediul dvs., servere și sisteme gazdă, aplicații care rulează pe servere, dispozitive de rețea, cum ar fi firewall-uri și routere, denumiți-le puncte finale din mediul dvs.
  • normalizare eveniment: Atributele jurnalele colectate sunt extrase și stocate în câmpurile de date comune hat defini un eveniment, cum ar fi adrese IP, nume de gazdă, nume de utilizator, interfac – nume, porturi, programe etc. Acest lucru permite analiștilor să ruleze interogări în cadrul evenimentelor colectate pentru o analiză mai bună și mai rapidă.
  • corelarea evenimentelor: aceasta implică analizarea relațiilor dintre evenimentele colectate pentru a identifica modelul evenimentelor.

OSSIM oferă o platformă unificată care îmbină capabilitățile de securitate, cum ar fi descoperirea activelor, detectarea intruziunilor gazdă, detectarea intruziunilor în rețea, monitorizarea comportamentală, descoperirea activelor, evaluarea vulnerabilității, gestionarea jurnalului. De asemenea, utilizează puterea AlienVault Open Threat Exchange (OTX), comunitatea open threat intelligence oferă date despre amenințări generate de comunitate, permite cercetarea colaborativă și automatizează procesul de actualizare a infrastructurii de securitate cu date despre amenințări din orice sursă.

fără prea multă teorie, să trecem la instalarea OSSIM. În mediul nostru, vom instala siem pe VirtualBox. Deoarece aceasta este doar o demonstrație, cerințele minime de sistem sunt:

  • 2 nuclee CPU
  • 8GB RAM
  • 32gb spațiu pe disc
  • două NIC-uri (puteți avea mai multe NIC – uri pentru gestionarea, monitorizarea rețelei sau colectarea și scanarea Jurnalului)

puteți descărca iso de instalare OSSIM de aici

pe VirtualBOX;
1.Creați un nou vm

 cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

2.Alocați o memorie de 8 GB

cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

3.Alocați un spațiu de stocare de 30 GB și faceți clic pe butonul Creare pentru a crea un VM

 cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

4.Odată creat un VM, Deschideți Setări și reglați numărul de nuclee CPU

cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

5.La stocare, adăugați OSSIM iso la controlerul IDE.

cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

6.În rețele, adăugați un al doilea Nic ca adaptor numai pentru gazdă.

cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

7.Lansați instalarea. Când OSSIM vm pornește cu imagine iso, vă întâmpină un asistent de instalare așa cum se arată mai jos.

cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

alegeți prima opțiune instalați AlienVault OSSIM 5.5.1 (64 biți) pentru a instala serverul OSSIM.

8.În pașii următori, Alegeți limba, locația și setările corespunzătoare ale tastaturii.

9.Pe Configurare rețea, selectați prima interfață ca interfață de rețea primară (interfața Natată).

cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

în configurațiile sub-secvențiale, atribuiți adresa IPv4 corespunzătoare, masca de rețea, gateway-ul și DNS. În acest caz, atribuiți detaliile implicite ale rețelei nat ca 10.0.2.15, 255.255.255.0, 10.0.2.2, respectiv 10.0.2.3.

10.Odată ce rețeaua este configurată, configurați utilizatorii și parolele. Setați parola rădăcină și păstrați-o așa cum va fi necesară pentru contul de conectare rădăcină din consola AlienVault OSSIM.

cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

11.Faceți clic pe Continuare pentru a continua cu instalarea OSSIM. Dacă instalarea are succes, ar trebui să puteți vedea un ecran similar cu cel prezentat mai jos.

cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

  • după cum se vede în captura de ecran de mai sus, putem accesa interfața web OSSIM prin intermediul adresei. https://10.0.2.15/. Cu toate acestea, deoarece acesta este un IP NATed, nu vom putea accesa OSSIM-ul nostru prin această adresă.
  • pentru a accesa serverul nostru OSSIM prin browser, trebuie să atribuim o adresă IP statică interfeței numai pentru gazdă pe care am adăugat-o mai sus și să o facem interfața noastră de gestionare.
  • pentru a face acest lucru, conectați-vă la Siem ca root cu parola setată anterior. Odată ce vă conectați, AlienVault Setup Menu vă întâmpină. cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox
  • Faceți clic pe System Preferences > Configure Network > Setup Management Network > eth1 > IP address > Netmask> Gateway
    • înlocuiți adresa NAT și netmask cu adresa și masca numai pentru gazdă
  • reveniți la meniul de configurare AlienVault și faceți clic pe Aplicați toate modificările.
  • odată ce modificările sunt aplicate, trebuie să configurăm adresa IP NAT pe prima interfață, astfel încât să putem ajunge la rețeaua externă de la AV.
    • Preferințe sistem > Configurare rețea > configurare interfață rețea > eth0 > adresă IP > mască de rețea
    • aplicați toate modificările
    • utilizați 10.0.2.15 / 24 ca IP
  • Editați interfețele de rețea și specificați gateway-ul pentru eth0 astfel încât configurația dvs. să arate;
    # vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3
  • odată ce IP-ul este setat, reporniți serviciul de rețea;
    # service networking restart
  • acum Puteți accesa AV pe browser prin https://192.168.59.113/
  • Dacă primiți avertismente browser de conexiune nesigură, faceți clic pe Avansat și adăugați excepție de securitate permanent și continuați adresa IP introdusă.

creați un cont de administrator pe pagina de întâmpinare completând toate câmpurile. Faceți Clic Pe Începeți Să Utilizați AlienVault. Acest lucru vă duce la ecranul de conectare așa cum se arată mai jos.

cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

Conectați-vă la AlienVault SIEM și începeți configurarea inițială. Odată ce ați terminat cu configurarea inițială, ar trebui să tabloul de bord principal al serverului OSSIM.

cum se instalează și se configurează AlienVault OSSIM 5.5 pe VirtualBox

în următorul nostru articol, vom acoperi modul de importare a activelor pe serverul OSSIM. Rămâneți conectați pentru mai multe tutoriale despre AV OSSIM.

Write a Comment

Adresa ta de email nu va fi publicată.