Geekly articles weekly

Instalación y configuración de AlienVault SIEM (OSSIM)

Se preparó una traducción del artículo específicamente para estudiantes del curso de seguridad de Linux .




OSSIM (Open Source Security Information Management) es un proyecto de código abierto de Alienvault que proporciona la funcionalidad SIEM (información de seguridad y gestión de eventos). Proporciona las siguientes características SIEM requeridas por los profesionales de seguridad.

  • Colección de eventos
  • Normalización
  • Correlación

OSSIM es una plataforma unificada que proporciona características de seguridad fundamentales. La plataforma OSSIM tiene muchos softwares de código abierto reconocidos integrados. Sigue siendo la forma más rápida de dar los primeros pasos hacia una visibilidad de seguridad unificada.

La plataforma OSSIM admite los siguientes programas / complementos de código abierto:

  • Apache
  • IIS
  • Syslog
  • Ossec
  • Trampa
  • Resoplar
  • Openvas
  • Nessus
  • Nagios
  • Ntop
  • Nmap

Instalar OSSIM


Descargue la imagen ISO de AlienVault e instálela en la máquina virtual. En esta guía, en lugar de un servidor físico, instalamos OSSIM en una máquina virtual que tiene las siguientes especificaciones:

Tiene dos interfaces, una para administrar el servidor y otra para recopilar registros y monitorear dispositivos de red. Los detalles de la máquina virtual se dan a continuación.

Procesador: 2 VCPU, RAM: 2 GB, tamaño del disco duro: 8 GB, dirección IP de administración: 192.168.1.150/24 y red del dispositivo: 192.168.0.0/24

Cuando la máquina virtual OSSIM arranca con una imagen ISO, las siguientes dos opciones se muestran en el asistente de instalación.



La figura anterior resalta la opción que instalará OSSIM en esta máquina virtual. Presione enter para comenzar el proceso de instalación. Seleccione su idioma, ubicación y configuración del teclado en los siguientes pasos.

Configuración de red


En este punto, configure la red de máquinas virtuales OSSIM. Para el control usamos eth0 , y el resto de la red está conectada a eth1 . La configuración de red para eth0 se muestra a continuación.




Configurar usuario root


Después de configurar la red, las siguientes ventanas solicitan la contraseña de root, que puede acceder a la CLI del servidor OSSIM. La contraseña de root debe ser segura.



Configuración de zona horaria


La información de zona horaria es importante para el sistema de registro. Se da a continuación.



Después de configurar la zona horaria, el asistente realizará automáticamente el paso de partición de espacio y comenzará la instalación del sistema base. Este paso tomará aproximadamente 15-20 minutos.



El paso final de instalación se muestra en la siguiente figura.



Una vez completada la instalación de AlienVault OSSIM, aparecerá el siguiente mensaje de Windows. Podemos acceder a la interfaz web utilizando la siguiente URL:

https://192.168.1.150/



Inicie sesión con la raíz del nombre de usuario y la prueba de contraseña en la CLI del servidor OSSIM.



El último navegador Mozilla Firefox no abre el enlace, así que use el navegador Chrome o IE para acceder a la interfaz web. Chrome e IE ofrecerán las siguientes ventanas indicando que el certificado no es confiable porque OSSIM usa un certificado autofirmado.



Después de aceptar la excepción anterior, se requiere la siguiente información para el administrador del servidor OSSIM. Complete los datos requeridos como se solicita en la siguiente figura.



Las siguientes ventanas aparecerán después de crear una cuenta de administrador. El nombre de usuario es admin y la contraseña es test @ 123 .



Después de iniciar sesión correctamente en la interfaz web, aparecerá el siguiente asistente para configurar aún más el servidor OSSIM.



Muestra las siguientes tres opciones:

  1. Monitorizar red: monitorización de red (configuración de la red supervisada por el servidor OSSIM)
  2. Descubrimiento de activos: descubrimiento de dispositivos (descubrimiento automático de dispositivos de red en la organización)
  3. Recopilación de registros y supervisión de nodos de red: recopilación de registros y supervisión de nodos de red

Para configurar el servidor OSSIM, haga clic en el botón INICIAR en la figura anterior.

Después de hacer clic en la primera opción, otra ventana le pedirá la configuración de red, que se muestra en la figura a continuación. Configuramos eth1 para el recopilador de registros y la interfaz de monitoreo del servidor OSSIM.



En el segundo paso, OSSIM detectará automáticamente los dispositivos de red. Seleccione la opción Device Discovery (2) y las siguientes ventanas solicitarán la configuración. Es compatible con el descubrimiento automático y manual de dispositivos.

Tipos de hosts en el servidor OSSIM:

  • Ventanas
  • Linux
  • Dispositivo de red



Después de configurar la red y detectar los dispositivos, el siguiente paso es implementar HIDS en dispositivos Windows / Linux para garantizar la integridad de los archivos, el monitoreo, la detección de rootkits y el registro de eventos. Ingrese el nombre de usuario / contraseña del dispositivo para implementar HIDS.



Seleccione el host deseado de la lista y haga clic en el botón Implementar para implementar HIDS. Luego, haga clic en el botón Continuar para comenzar el proceso de implementación, que se muestra en la figura. Este proceso tomará varios minutos para implementar HIDS en el host seleccionado.





Gestión de registros


La siguiente figura muestra la configuración del host descubierto para administrar varios registros.



La última opción del asistente de configuración es unirse a OTX (programa de intercambio de amenazas AlienVault). No vamos a suscribirnos a esta opción. Complete el paso de configuración haciendo clic en el botón "Finalizar".

El panel de control del servidor OSSIM principal se muestra a continuación.



Interfaz web


La interfaz web del servidor OSSIM consta de las siguientes opciones en la interfaz gráfica principal.

  • Tablero de instrumentos
  • Análisis
  • Miercoles
  • Informes
  • Configuracion

Tablero de instrumentos


Muestra una vista completa de todos los componentes del servidor OSSIM, como la gravedad de la amenaza, las vulnerabilidades en el nodo de red, el estado de implementación, los mapas de riesgos y las estadísticas OTX. Los submenús del tablero se muestran en la siguiente figura.



Análisis


El análisis es un componente muy importante de cualquier dispositivo SIEM. El servidor OSSIM analizará los hosts en función de sus registros. Este menú muestra alarmas, SIEM (eventos de seguridad), tickets y registros no procesados. El menú de análisis se divide en los siguientes submenús.



Miercoles


En este menú del servidor OSSIM, la configuración está asociada con los dispositivos de la organización. Muestra dispositivos, grupos y redes, vulnerabilidades, flujo de red y configuraciones de descubrimiento. Los submenús para todas estas configuraciones se muestran en la figura a continuación.



Informes


Los informes son un componente esencial de cualquier servidor de registro. El servidor OSSIM también genera informes que son muy útiles para la exploración en profundidad de cualquier host en particular.



Configuracion


En la configuración de meHow para instalar y configurar AlienVault SIEM (OSSIM), el usuario puede cambiar la configuración del servidor OSSIM, por ejemplo, cambiar la dirección IP de la interfaz de administración, agregar un host adicional para monitoreo y registro, y agregar / eliminar varios sensores o complementos. El submenú para todos los servicios se muestra a continuación.



En este artículo, explicamos la instalación y configuración del software SIEM de código abierto compatible con AlienVault. En nuestro próximo artículo, nos centraremos en los detalles de todos los componentes de OSSIM.

Escriba en los comentarios si la traducción le fue útil. Y estamos esperando a todos en el seminario web abierto , que se realizará el 18 de diciembre.

Source: https://habr.com/ru/post/479768/

More articles:


All Articles