[Перевод] Установка и настройка AlienVault SIEM (OSSIM)11.12.2019 19:03

Перевод статьи подготовлен специально для студентов курса «Безопасность Linux».

OSSIM (Open Source Security Information Management) — это проект с открытым исходным кодом от Alienvault, который обеспечивает функционал SIEM (Security information and event management). Он обеспечивает следующие функции SIEM, требующиеся специалистам по безопасности.

  • Сбор событий
  • Нормализация
  • Корреляция

OSSIM — это унифицированная платформа, предоставляющая фундаментальные средства безопасности. В платформу OSSIM встроены многие признанные программные обеспечения с открытым исходным кодом. Она продолжает быть самым быстрым способом сделать первые шаги к видимости единой безопасности.

Платформа OSSIM поддерживает следующие программы/плагины с открытым исходным кодом:

  • Apache
  • IIS
  • Syslog
  • Ossec
  • Snare
  • Snort
  • OpenVAS
  • Nessus
  • Nagios
  • Ntop
  • Nmap

Установка OSSIM


Загрузите ISO-образ с AlienVault и установите его в виртуальной машине. В этом руководстве вместо физического сервера мы установим OSSIM на виртуальную машину, которая имеет следующие спецификации:

Она имеет два интерфейса, один для управления сервером и второй для сбора логов и мониторинга сетевых устройств. Детали виртуальной машины приведены ниже.

Процессор: 2 VCPU, ОЗУ: 2 ГБ, Размер жесткого диска: 8 ГБ, IP-адрес управления: 192.168.1.150/24 и сеть устройств: 192.168.0.0/24

Когда виртуальная машина OSSIM загружается с ISO-образом, в мастере установки отображаются следующие два параметра.

5ixks53nfjkrhwkvjsygzn-rss0.png

На рисунке выше выделен вариант, который будет устанавливать OSSIM на этой виртуальной машине. Нажмите ввод, чтобы начать процесс установки. Выберите язык, местоположение и настройки клавиатуры в следующих шагах.

Конфигурация сети


На этом этапе настройте сеть виртуальной машины OSSIM. Для управления мы используем eth0, а остальная сеть подключена к eth1. Конфигурация сети для eth0 показана ниже.

k2h4kffdgykol-panmrezku3c2e.png
47nmksjqpfv5eovzmwqd-xnhbek.png

Настройка root-пользователя


После настройки сети в следующих окнах запрашивается пароль root-пользователя, который может получить доступ к CLI сервера OSSIM. Пароль root-пользователя должен быть надежным.

oapokvtqflmr42fcoreysarri7c.png

Настройка часового пояса


Информация о часовом поясе важна для системы логов. Она приведена ниже.

yehn2xc1pn2am8jsweokz8df9z8.png

После настройки часового пояса мастер автоматически выполнит шаг раздела пространства и начнет установку базовой системы. Этот шаг займет примерно 15–20 минут.

x6dl016wcqwmzs44kovtvor48qo.png

Завершающий этап установки показан на следующем рисунке.

jv8gcwzcq22gfcidhbjhrixf4x0.png

После завершения установки AlienVault OSSIM появится следующая подсказка Windows. Мы можем получить доступ к веб-интерфейсу, используя следующий URL:

https://192.168.1.150/

2dmxeu6oiwi4luq599irks-j2to.png

Авторизуемся с логином root и паролем test в CLI сервера OSSIM.

_2sq9yj8v4rkumbubgbefbxck6q.png

Последний браузер Mozilla Firefox не открывает ссылку, поэтому используйте браузер Chrome или IE для доступа к веб-интерфейсу. Chrome и IE предложат следующие окна, в которых говорится, что сертификат не является доверенным, поскольку OSSIM использует самозаверяющий сертификат.

vrahgkw9mnffmqjr1pqbaoohgnk.png

После принятия вышеуказанного исключения, для администратора сервера OSSIM требуется следующая информация. Заполните необходимые данные, которые запрашиваются на следующем рисунке.

vi2vdzmskwru-cums7l--gmelxi.png

Следующие окна появятся после создания учетной записи администратора. Имя пользователя — admin, а пароль — test@123.

xlhvvc3ze4hq8319e6omokuldrs.png

После успешного входа в веб-интерфейс появится следующий мастер для дальнейшей настройки сервера OSSIM.

5kdicrhwllifabdvkgpol80guba.png

Он показывает следующие три варианта:

  1. Monitor Network — Мониторинг сети (настройка сети, мониторинг которой осуществляет сервер OSSIM)
  2. Assets Discovery — Обнаружение устройств (Автоматическое обнаружение сетевых устройств в организации)
  3. Collecting logs and monitoring of network nodes — Сбор логов и мониторинг сетевых узлов

Для настройки сервера OSSIM нажмите на кнопку START на рисунке выше.

После нажатия на 1-й вариант, другое окно запросит конфигурацию сети, которая показана на рисунке ниже. Мы настроили eth1 для сборщика логов и интерфейса мониторинга сервера OSSIM.

byy4drodrxpwwrwdykfzfpw-0tu.png

На втором этапе OSSIM выполнит автоматическое обнаружение сетевых устройств. Выберите опцию Обнаружение устройств (2), и следующие окна запросят конфигурацию. Оно поддерживает автоматическое и ручное обнаружение устройств.

Типы хостов на сервере OSSIM:

  • Windows
  • Linux
  • Сетевое устройство

e43jdp5nhyq5k1ypudmroquo3qq.png

После настройки сети и обнаружения устройств следующим шагом является развертывание HIDS на устройствах Windows/Linux для обеспечения целостности файлов, мониторинга, обнаружения руткитов и сбора логов событий. Введите имя пользователя/пароль устройства для развертывания HIDS.

cm0ox1glke3cs9sjzlvrryzzn-e.png

Выберите нужный хост из списка и нажмите кнопку Deploy для развертывания HIDS. Далее нажмите кнопку «Continue», чтобы начать процесс развертывания, который показан на рисунке. Этот процесс займет несколько минут для развертывания HIDS на выбранном хосте.

tr9f4_zvvkgpa0tpei7e8p_4low.png

4kqa6klz7ojo2sswpnxhison1cs.png

Управление логами


На следующем рисунке показана конфигурация обнаруженного хоста для управления различными логами.

ju6uocyvfsnrsybmkg_r22ff8k0.png

Последний вариант мастера настройки — присоединиться к OTX (программа обмена угрозами AlienVault). Мы не собираемся подписываться на этот вариант. Завершите этап настройки, нажав кнопку «Finish».

Основная панель управления сервером OSSIM показана ниже.

suv3oyfsmo4lfumrgmpnfybgkt8.png

Веб интерфейс


Веб-интерфейс сервера OSSIM состоит из следующих опций в основном графическом интерфейсе.

  • Дашборд
  • Анализ
  • Среды
  • Отчеты
  • Конфигурация

Дашборд


Он показывает полное представление обо всех компонентах сервера OSSIM, таких как серьезность угрозы, уязвимости в сетевом узле, состояние развертывания, карты рисков и статистика OTX. Подменю дашборда показаны на следующем рисунке

rmby_xru3vd8fflmwuwdcarexeq.png

Анализ


Анализ является очень важной составляющей любого устройства SIEM. Сервер OSSIM проанализирует хосты на основе их логов. Это меню показывает сигналы тревоги, SIEM (события безопасности), тикеты и необработанные логи. Меню анализа далее разделено на следующие подменю.

nkvg13kopppvooj_ktvtneepeu0.png

Среда


В этом меню сервера OSSIM настройки связаны с устройствами организации. Оно показывает устройства, группу и сеть, уязвимости, сетевой поток и настройки обнаружения. Подменю для всех этих настроек показаны на рисунке ниже.

bm_x9vj_pjhasyneb_yetviltuy.png

Отчеты


Отчетность является важным компонентом любого сервера регистрации. Сервер OSSIM также генерирует отчеты, которые очень полезны для детального исследования любого конкретного хоста.

rixqsi0sw3cnvjqukmtxfi_7zpm.png

Конфигурация


В конфигурации meHow для установки и настройки AlienVault SIEM (OSSIM) пользователь может изменить настройку сервера OSSIM, например, изменить IP-адрес интерфейса управления, добавить дополнительный хост для мониторинга и логирования, а также добавить/удалить различные датчики или плагины. Подменю для всех сервисов показано ниже.

hjp0gsqlucthyzedhfbw4bcrwbw.png

В этой статье мы объясняем процесс установки и настройки программного обеспечения SIEM с открытым исходным кодом, поддерживаемого AlienVault. В нашей следующей статье мы сосредоточимся на деталях всех компонентов OSSIM.

Пишите в комментарии был ли перевод полезным для вас. А всех желающих ждем на открытом вебинаре, который пройдет уже 18 декабря.

© Habrahabr.ru