hur man installerar och konfigurerar AlienVault OSSIM 5.5 på VirtualBox

i denna handledning kommer vi att lära oss hur man installerar och konfigurerar AlienVault OSSIM 5.5 SIEM på VirtualBox.

om du är en Blue Team security analyst måste du på ett eller annat sätt ha hört talas om eller interagera med inte en, inte två Siem-lösningar (Security Information and Event Management). AlienVault är en av de ledande Siem-lösningarna. AlienVault OSSIM är Open source-versionen av AlienVault SIEM. Det kommer berikad med funktioner som Händelse samling, normalisering och korrelation. Vad korsar dig när vi pratar om evenemangssamling, normalisering och korrelation? Låt oss lägga detta i svart och vitt:

• Event collection: AlienVault har förmågan att samla in loggar från olika källor i din miljö, värdservrar och system, program som körs på servrar, nätverksenheter, såsom brandväggar och routrar, namnge dem slutpunkter i din miljö.
• händelse normalisering: Attributen för de insamlade loggarna extraheras och lagras i gemensamma datafält hat definiera en händelse som IP – adresser, värdnamn, användarnamn, gränssnitt-namn, portar, program etc. Detta gör det möjligt för analytiker att köra frågor över insamlade händelser för bättre och snabbare analys.
• Händelsekorrelation: Detta innebär att analysera relationer mellan de insamlade händelserna för att identifiera händelsemönstret.

OSSIM tillhandahåller en enhetlig plattform som kombinerar säkerhetsfunktioner som Tillgångsupptäckt, Värdintrångsdetektering, Nätverksintrångsdetektering, beteendeövervakning, Tillgångsupptäckt, sårbarhetsbedömning, logghantering. Det utnyttjar också kraften i AlienVault Open Threat Exchange (OTX), open threat intelligence community levererar samhällsgenererade hotdata, möjliggör samarbetsforskning och automatiserar processen att uppdatera din säkerhetsinfrastruktur med hotdata från vilken källa som helst.

utan mycket teori, låt oss komma till installationen av OSSIM. I vår miljö kommer vi att installera vår siem på VirtualBox. Eftersom detta bara är en demonstration är de minsta systemkraven:

• 2 CPU-kärnor
• 8GB RAM
• 32GB diskutrymme
• två nätverkskort (du kan ha flera nätverkskort för hantering, Nätverksövervakning eller Loggsamling och skanning)

du kan ladda ner ossim-installationen iso härifrån

på VirtualBOX;
1.Skapa ny vm

2.Tilldela ett minne på 8 GB

3.Tilldela en lagring på 30 GB och klicka på Skapa för att skapa en VM

4.När en VM har skapats öppnar du Inställningar och justerar antalet CPU-kärnor

5.Vid lagring, lägg till OSSIM iso till IDE controller.

6.På nätverk lägger du till en andra NIC som värdadapter.

7.Starta installationen. När OSSIM VM startar med iso-bild välkomnar en installationsguide som visas nedan dig.

Välj det första alternativet Installera AlienVault OSSIM 5.5.1 (64 bitar) för att installera OSSIM-servern.

8.I nästa steg väljer du lämpligt språk, plats och tangentbordsinställningar.

9.På Konfigurera nätverk väljer du det första gränssnittet som det primära nätverksgränssnittet (det NATed-gränssnittet).

tilldela lämplig IPv4-adress, nätmasken, gatewayen och DNS på sub-sequent-konfigurationerna. I det här fallet tilldelar du standard nat-nätverksinformation som 10.0.2.15, 255.255.255.0, 10.0.2.2, 10.0.2.3 respektive.

10.När nätverket är konfigurerat konfigurerar du Användare och lösenord. Ställ in root-lösenordet och behåll det som det kommer att krävas för root-inloggningskontot i AlienVault OSSIM-konsolen.

11.Klicka på Fortsätt för att fortsätta med ossim-installationen. Om installationen lyckas bör du kunna se en skärm som liknar den som visas nedan.

• som framgår av skärmdumpen ovan kan vi komma åt OSSIM-webbgränssnittet via adressen. https://10.0.2.15/. Men eftersom det här är en NATed IP, kommer vi inte att kunna komma åt vår OSSIM via den här adressen.
• för att komma åt vår OSSIM-server via webbläsaren måste vi tilldela en statisk IP-adress till det Host-Only-gränssnittet som vi lagt till ovan och göra det till vårt hanteringsgränssnitt.
• för att göra detta, logga in på SIEM som root med lösenordet som tidigare ställts in. När du har loggat in välkomnar AlienVault Setup Menu dig.
• klicka på Systeminställningar > konfigurera nätverk > Setup Management Network > eth1 > IP-adress > nätmask > Gateway
  • ersätt nat-adressen och nätmasken med värdadress och mask
• gå tillbaka till AlienVault Setup-menyn och klicka på Använd alla ändringar.
• när ändringarna tillämpas måste vi konfigurera NAT IP-adressen på första gränssnittet så att vi kan komma till externt nätverk från AV.
  • systeminställningar > konfigurera nätverk > konfigurera nätverksgränssnitt > eth0 > IP-adress > nätmask
  • tillämpa alla ändringar
  • använd 10.0.2.15 / 24 som IP
• redigera nätverksgränssnitten och ange gatewayen för eth0 så att din konfiguration ser ut;

  # vim /etc/network/interfacesauto eth0iface eth0 inet static address 10.0.2.15 netmask 255.255.255.0 network 10.0.2.0 broadcast 10.0.2.255 gateway 10.0.2.2 dns-nameservers 10.0.2.3

• när IP-adressen är inställd startar du om nätverkstjänsten;

  # service networking restart

• du kan nu komma åt din webbläsare via https://192.168.59.113/
• om du får webbläsarvarningar om osäker anslutning klickar du på Avancerat och lägger till Säkerhetsundantag permanent och fortsätter IP-adressen du angav.

skapa ett administratörskonto på välkomstsidan genom att fylla i alla fält. Klicka På Börja Använda AlienVault. Detta tar dig till inloggningsskärmen som visas nedan.

logga in på din AlienVault SIEM och börja din första installation. När du är klar med den första installationen bör du huvudpanelen på OSSIM-servern.

i vår nästa artikel kommer vi att täcka hur man importerar tillgångar till OSSIM-servern. Håll kontakten för fler tutorials på av OSSIM.