В этой статье пойдет речь о AlienVault OSSIM, системе управления информацией о безопасности и событиях безопасности с открытым исходным кодом. Лаборатория обладает широким набором функций: сбором событий, их коррекцией и нормализацией.
OSSIM – это единая платформа, которая включает в себя следующие компоненты:
- Обнаружение активных средств системы;
- Оценка уязвимости системы;
- Хост-системы для обнаружения вторжений;
- Обнаружение сетевых вторжений;
- Поведенческий мониторинг;
- Корреляция событий SIEM.
Лаборатория относится к сообществу «Open Threat Exchange (OTX)». Оно предоставляет пользователям собранную сообществом информацию об угрозах и призывает их к сотрудничеству. Кроме этого, автоматизируется процесс обновления инфраструктуры безопасности данными об угрозах, полученными из других источников.
AlienVault очень полезна для мониторинга событий безопасности системы пользователя или выявления уязвимостей. Лаборатория может помочь человеку провести аудит оценки безопасности, такой как PCI-DSS.
Итак, не стоит тратить больше времени, а сразу начать процесс установки. ISO AlienVault OSSIM можно легко найти на странице продукта AlienVault OSSIM.
Необходимые требования
Для установки AlienVault OSSIM есть минимальные требования, которые перечислены ниже:
- Mware или Virtual Box;
- 2 NIC (сетевые интерфейсные карты), совместимые с сетевой картой E1000. Пользователю нужно несколько сетевых карт для управления журналами и мониторинга сети;
- 4-х ядерный процессор;
- От 4 до 8 оперативной памяти;
- 60GB HDD.
Установка
После того как пользователь загрузил ISO-файл AlienVault OSSIM, стоит начать его установку на свою виртуальную машину.
Чтобы установить AlienVault OSSIM:
- На виртуальной машине пользователь создаст новый экземпляр VM, используя в качестве источника установки ISO AlienVault OSSIM;
- Машина пользователя должна соответствовать требованиям AlienVault, как показано ниже.
После запуска нового экземпляра AlienVault нужно выбрать вариант «Install AlienVault OSSIM 5.7.4 (64 Bit)» и нажать на «Enter», как показано ниже.
Процесс установки охватывает различные настройки, выбранные пользователем в соответствии с его требованиями.
Выбор языка, который он хочет использовать:
Выбор своего местоположения:
Настройка сети с помощью Assigning
Поскольку у пользователя есть 1 и более сетевых интерфейсных карт, ему следует выбрать только одну из них в качестве основной сетевой интерфейсной карты для сервера управления. Этот IP-адрес будет использоваться для доступа к веб-интерфейсу AlienVault OSSIM. Пользователь собирается использовать eth0 для управления сервером, а остальная часть сети подключена к eth1.
Пользователю следует назначить уникальный IP-адрес серверу, как показано ниже. Если он не знает, что здесь вводить, нужно обратиться к сетевому администратору.
Маске подсети присваивается уникальный IP-адрес.
Выбор шлюза: указывает на маршрутизатор шлюза, установленный как маршрутизатор по умолчанию. Весь трафик, выходящий за пределы данной локальной сети, передается через этот маршрутизатор.
Затем в процессе установки пользователь устанавливает пароль root, который будет использоваться для учетной записи на странице входа в AlienVault OSSIM.
После этого необходимо выбрать свой часовой пояс. Это заключительный шаг.
Будет установлен базовый вариант. Обычно установка занимает довольно много времени (зависит от скорости системы), в среднем – это 10-15 минут.
Теперь пользователь может войти в консоль AlienVault OSSIM с данными пользователя root и ввести пароль, указанный в процессе установки.
Вход в систему с учетными данными учетной записи root.
Установка интерфейса для мониторинга журнала
После успешного входа в систему необходимо настроить интерфейс управления журналами.
Чтобы настроить сетевой интерфейс для управления журналами и проведения сканирования, следует выполнить следующие действия.
Перейти по пути: System Preferences > Configure Network > Setup Network Interface > eth1 > IP address > netmask.
Пользователь переходит в раздел «System Preferences».
Выбирает «Configure Network ».
Выбирает далее «Network Interface».
Он также выбирает eth1 для управления журналами и сканирования.
Назначает уникальный IP-адрес для настройки интерфейса управления сетью.
Маске подсети присваивается уникальный IP-адрес.
А затем человек возвращается к настройке AlienVault и принимает все изменения, как показано ниже.
Стоит проверить правильность внесенных изменений и подтвердить их с помощью клавиши «Yes».
Пользователь успешно настроил сетевой интерфейс для управления журналами.
Он также успешно установил и настроил новый AlienVault в VMware.
Доступ к веб-интерфейсу
После завершения процесса установки пользователь может получить доступ к веб-интерфейсу и настроить свою учетную запись администратора.
Чтобы получить доступ к веб-интерфейсу, нужно открыть свой любимый браузер и перейти по адресу:
https://192.168.1.70
Ubuntu 20.04
Rsyslog – это программное обеспечение, которое используется для пересылки сообщений журнала в IP-сети. Оно реализует базовый протокол системных журналов и расширяет его с помощью возможностей фильтрации контента. ПО также поддерживает различные модули, включает в себя гибкие параметры конфигурации и обладает такими функциями, как TCP для передачи данных.
Следует убедиться, что порт номер 514 (протокол UDP) находится на стороне сервера Ubuntu 20.04; что сервер AlienVault OSSIM открыт и журналы можно пересылать через UDP на порт номер 514
Человек откроет файл rsyslog.conf и проверит его.
Для этого используется следующая команда:
cd /etc
nano rsyslog.conf
Следует раскомментировать следующую строку, чтобы охватить все файлы конфигурации.
$IncludeConfig /etc/rsyslog.d/*.conf
Если эта строка по умолчанию раскомментирована, то пользователь сохранит все и закроет файл.
Теперь он будет пересылать журналы rsyslog на сервер AlienVault OSSIM.
Следует создать новый конфигурационный файл alienvault.conf и добавить следующую строку, как показано ниже:
nano alienvault.conf
*.* @192.168.1.70
192.168.1.70 – это IP-адрес сервера OSSIM.
Чтобы изменения вступили в силу, пользователь перезапустит службу rsyslog с помощью следующей команды:
/etc/init.d/rsyslog restart
Сервер OSSIM
Следует авторизоваться на сервере OSSIM. Пользователь осуществит Jailbreak сервера CLI, как показано ниже:
В следующем окне у пользователя будет запрошено разрешение на доступ к командной строке. Нужно выбрать вариант «Yes» и двигаться дальше.
Здесь пользователь будет использовать tcpdump на сервере OSSIM, чтобы увидеть связь журналов между Ubuntu 20.04 и OSSIM. Это можно сделать, если пользователь запустит tcpdump для захвата журналов с помощью следующей команды:
tcpdump -i eth0 udp port 514
Стоит проверить, получает ли он журналы с сервера Ubuntu 20.04 или нет.
Ubuntu 20.04
В машине ubuntu человек переключает пользователей, выполнив определенную команду. После того, как видно на картинке, журналы переключения пользователей отражаются на сервере OSSIM.
sudo su
Нужно вновь вернуться к серверу OSSIM.
Сервер OSSIM
Стоит проверить, что здесь происходит.
Ура! Как видно на картинке, журналы с сервера Ubuntu попали в сервер OSSIM. Теперь пользователь поместит журналы, отправленные в OSSIM, в файл.
Он собирается настроить фильтрацию в Rsyslog.
Для этого выполняются следующие действия.
Находится файл rsyslog.conf в каталоге etc.
cd /etc
nano rsyslog.conf
В разделе «GLOBAL DIRECTIVES» строка “$IncludeConfig /etc/rsyslog.d/*.conf” по умолчанию включает в себя весь конфигурационный файл системы.
Чтобы установить фильтр для определенных конфигураций rsyslog и журналов, следует ввести конкретное имя на место «*», как показано ниже на картинке.
Например:
$IncludeConfig /etc/rsyslog.d/debian.conf
Теперь следует перейти в каталог rsyslog.d и создать там конфигурационный файл debian.conf.
И добавить в него следующее правило:
If $fromhost-ip == ‘192.168.1.8’ then -/var/log/auth.log
&~
Затем сохранить изменения и закрыть файл.
Теперь пользователь проверит, журналы сервера Ubuntu в auth.log.
Прежде чем будет выполнен rsyslog, следует перезагрузить компьютер и ввести следующие команды:
cd /var/log
/etc/init.d/rsyslog restart
tail -f auth.log
Как видно на картинке, журналы начинают передаваться с сервера Ubuntu.
Теперь пользователь возвращается к AlienVault.
OSSIM нуждается в плагине t для подключения любого источника данных к серверу. Плагины имеют конфигурацию на основе XML.
Плагины имеют два элемента: cfg и SQL.
Стоит перейти к настройке cfg
Для этого пользователь откроет каталог /etc/ossim/agent/plugins.
cd /etc/ossim
cd agent/
cd plugins/
В каталоге плагинов есть множество доступных плагинов, которые можно добавить в OSSIM.
Пользователь продолжил модифицировать один из них вручную (SSH).
Для этого используется следующая команда:
cp ssh.cfg debianssh.cfg
Затем открывается конфигурационный файл debianssh.cfg.
nano debiannssh.cfg
И изменяется идентификатор плагина на желаемый. чтобы сделать его идентифицируемым для дальнейшего процесса.
Здесь человек заменяет идентификатор плагина 4003 на 9001, как показано ниже:
Теперь пользователь может активировать плагин. Нужно вернуться к настройке AlienVault и ввести следующую команду:
alienvault-setup
А затем настроить сенсор с помощью следующих шагов:
Выбрать «Configure sensor».
Нажать на «Configure Data Source Plugins».
В предыдущих шагах пользователь модифицировал SSH-плагин в плагин debianssh. Нужно выбрать его в списке плагинов. Пользователь сделает это, нажав на пробел.
А затем он вернется к настройке AlienVault и применит все изменения.
Наконец, программа попросит разрешения применить все изменения.
Нужно нажать на «yes».
В следующем окне будет видно, что изменения приняты.
Стоит теперь перейти к настройке SQL-части плагина.
Пользователь переходит в каталог /usr/share/doc/ossim-mysql/contrib/plugins, введя следующую команду:
cd /usr/share
cd /doc
cd /ossim-mysql
cd /contrib
cd /plugins
Запустив команду ls, пользователь может увидеть примеры SQL-плагинов.
Он собирается скопировать ssh.sql в debianssh.sql, выполнив следующую команду:
cp ssh.sql debianssh.sql
Открыть файл debianssh.sql.
nano debianssh.sql
Стоит внести некоторые изменения в конфигурационный файл, чтобы он мог сопоставить plugin.cfg с базой данных SQL.
Конфигурация выглядит примерно так же, как показано ниже:
Следует изменить идентификатор плагина с 4001 на 9001.
Как можно увидеть, этот конфигурационный файл содержит предопределенную базу данных SSH-журналов, так что если какая-либо подозрительная SSH-активность или запрос поступают на сервер Ubuntu, он будет совпадать с этим запросом.
Нужно сохранить изменения и выйти.
Стоит начать действовать и активировать базу данных, перенастроив ее.
Для этого вводится следующая команда:
ossim-db < debianssh.sql
ossim-db
select * from plugin where id = 9001;
quit
И, наконец, необходимо заново сконфигурировать сервер AlienVault OSSIM, введя следующую команду:
alienvault-reconfig
На следующем скрине видно, что начинается переконфигурация сервера.
Автор переведенной статьи: Vija.
ЧИТАТЬ ВСЕ СТАТЬИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
