Geekly articles weekly

تثبيت وتكوين AlienVault SIEM (OSSIM)

تم إعداد ترجمة للمقال خصيصًا لطلاب دورة Linux Security .




OSSIM (إدارة معلومات الأمن مفتوحة المصدر) هو مشروع مفتوح المصدر من Alienvault يوفر وظائف SIEM (معلومات الأمان وإدارة الأحداث). يوفر ميزات SIEM التالية المطلوبة من قبل متخصصي الأمن.

  • جمع الحدث
  • تطبيع
  • ارتباط

OSSIM هي عبارة عن منصة موحدة توفر ميزات أمان أساسية. تحتوي منصة OSSIM على العديد من البرامج المفتوحة المصدر المعترف بها. لا يزال هو أسرع طريقة لاتخاذ الخطوات الأولى نحو رؤية أمنية موحدة.

تدعم منصة OSSIM البرامج / المكونات الإضافية مفتوحة المصدر التالية:

  • أباتشي
  • IIS
  • سيسلوغ
  • Ossec
  • كمين
  • تذمر
  • OpenVAS
  • Nessus
  • Nagios
  • NTOP
  • NMAP

تثبيت OSSIM


قم بتنزيل صورة ISO من AlienVault وتثبيتها في الجهاز الظاهري. في هذا الدليل ، بدلاً من خادم فعلي ، نقوم بتثبيت OSSIM على جهاز ظاهري يحتوي على المواصفات التالية:

يحتوي على واجهتين ، واحدة لإدارة الخادم وواحدة لجمع السجلات ومراقبة أجهزة الشبكة. وترد تفاصيل الجهاز الظاهري أدناه.

المعالج: 2 VCPU ، ذاكرة الوصول العشوائي: 2 جيجابايت ، حجم القرص الصلب: 8 جيجابايت ، عنوان IP للإدارة: 192.168.1.150/24 وشبكة الجهاز: 192.168.0.0/24

عندما يتم تشغيل الجهاز الظاهري OSSIM مع صورة ISO ، يتم عرض الخيارين التاليين في معالج التثبيت.



يوضح الشكل أعلاه الخيار الذي سيقوم بتثبيت OSSIM على هذا الجهاز الظاهري. اضغط على Enter لبدء عملية التثبيت. حدد إعدادات اللغة والموقع ولوحة المفاتيح في الخطوات التالية.

تكوين الشبكة


في هذه المرحلة ، قم بتكوين شبكة الجهاز الظاهري OSSIM. للتحكم ، نستخدم eth0 ، وبقية الشبكة متصلة بـ eth1 . يظهر تكوين الشبكة لـ eth0 أدناه.




تكوين المستخدم الجذر


بعد إعداد الشبكة ، تطلب النوافذ التالية كلمة مرور الجذر ، والتي يمكنها الوصول إلى خادم OSSIM CLI. يجب أن تكون كلمة مرور الجذر قوية.



إعداد المنطقة الزمنية


معلومات المنطقة الزمنية مهمة لنظام السجل. ويرد أدناه.



بعد ضبط المنطقة الزمنية ، سيقوم المعالج تلقائيًا بتنفيذ خطوة تقسيم المساحة ويبدأ عملية تثبيت النظام الأساسي. سوف تستغرق هذه الخطوة حوالي 15-20 دقيقة.



تظهر خطوة التثبيت النهائي في الشكل التالي.



بعد اكتمال تثبيت AlienVault OSSIM ، ستظهر مطالبة Windows التالية. يمكننا الوصول إلى واجهة الويب باستخدام عنوان URL التالي:

https://192.168.1.150/



قم بتسجيل الدخول باستخدام اختبار اسم المستخدم وكلمة المرور في CLI لخادم OSSIM.



لا يفتح أحدث متصفح Mozilla Firefox الرابط ، لذا استخدم متصفح Chrome أو IE للوصول إلى واجهة الويب. سيقدم Chrome و IE الإطارات التالية التي تفيد بأن الشهادة غير موثوق بها لأن OSSIM يستخدم شهادة موقعة ذاتيًا.



بعد قبول الاستثناء أعلاه ، المعلومات التالية مطلوبة لمسؤول خادم OSSIM. املأ البيانات المطلوبة كما هو مطلوب في الشكل التالي.



ستظهر النوافذ التالية بعد إنشاء حساب مسؤول. اسم المستخدم هو المسؤول وكلمة المرور هي اختبار @ 123 .



بعد تسجيل الدخول بنجاح إلى واجهة الويب ، سيظهر المعالج التالي لتكوين خادم OSSIM.



يعرض الخيارات الثلاثة التالية:

  1. شبكة المراقبة - مراقبة الشبكة (إعداد الشبكة التي يراقبها خادم OSSIM)
  2. اكتشاف الأصول - اكتشاف الجهاز (الاكتشاف التلقائي لأجهزة الشبكة في المؤسسة)
  3. جمع السجلات ومراقبة عقد الشبكة - جمع السجلات ومراقبة عقد الشبكة

لتكوين خادم OSSIM ، انقر على زر START في الشكل أعلاه.

بعد النقر فوق الخيار الأول ، ستطلب نافذة أخرى تكوين الشبكة ، والذي يظهر في الشكل أدناه. لقد قمنا بتكوين eth1 لجامع السجل وواجهة مراقبة خادم OSSIM.



في الخطوة الثانية ، سيكتشف OSSIM أجهزة الشبكة تلقائيًا. حدد خيار Device Discovery (2) وستطلب الإطارات التالية التكوين. وهو يدعم اكتشاف الجهاز التلقائي واليدوي.

أنواع المضيفين على خادم OSSIM:

  • نوافذ
  • لينكس
  • جهاز الشبكة



بعد تكوين الشبكة واكتشاف الجهاز ، تتمثل الخطوة التالية في نشر HIDS على أجهزة Windows / Linux لضمان سلامة الملفات ومراقبتها واكتشاف الجذور الخفية وجمع سجل الأحداث. أدخل اسم المستخدم / كلمة المرور للجهاز لنشر HIDS.



حدد المضيف المطلوب من القائمة وانقر فوق الزر نشر لنشر HIDS. بعد ذلك ، انقر فوق الزر "متابعة" لبدء عملية النشر ، التي تظهر في الشكل. سوف تستغرق هذه العملية عدة دقائق لنشر HIDS على المضيف المحدد.





إدارة السجل


يوضح الشكل التالي تكوين المضيف الذي تم اكتشافه لإدارة السجلات المختلفة.



الخيار الأخير لمعالج الإعداد هو الانضمام إلى OTX (برنامج مشاركة تهديدات AlienVault). لن نشترك في هذا الخيار. أكمل خطوة الإعداد بالنقر فوق الزر "إنهاء".

فيما يلي لوحة تحكم خادم OSSIM الرئيسية.



واجهة الويب


تتكون واجهة الويب لخادم OSSIM من الخيارات التالية في الواجهة الرسومية الرئيسية.

  • لوحات
  • تحليل
  • بيئة
  • تقارير
  • ترتيب

لوحات


يعرض عرضًا كاملاً لجميع مكونات خادم OSSIM ، مثل شدة التهديد ونقاط الضعف في عقدة الشبكة وحالة النشر وخرائط المخاطر وإحصائيات OTX. تظهر القوائم الفرعية للوحة القيادة في الشكل التالي.



تحليل


يعتبر التحليل مكونًا مهمًا جدًا لأي جهاز SIEM. سيقوم خادم OSSIM بتحليل المضيفين بناءً على سجلاتهم. تعرض هذه القائمة أجهزة الإنذار و SIEM (الأحداث الأمنية) وتذاكر السفر والسجلات غير المجهزة. تنقسم قائمة التحليل إلى القوائم الفرعية التالية.



الأربعاء


في هذه القائمة من خادم OSSIM ، ترتبط الإعدادات بأجهزة المؤسسة. يعرض الأجهزة والمجموعة والشبكة ونقاط الضعف وتدفق الشبكة وإعدادات الاكتشاف. تظهر القوائم الفرعية لجميع هذه الإعدادات في الشكل أدناه.



تقارير


يعد الإبلاغ مكونًا أساسيًا لأي خادم تسجيل. ينشئ خادم OSSIM أيضًا تقارير مفيدة للغاية للاستكشاف المتعمق لأي مضيف معين.



ترتيب


في تكوين meHow لتثبيت وتكوين AlienVault SIEM (OSSIM) ، يمكن للمستخدم تغيير إعدادات خادم OSSIM ، على سبيل المثال ، تغيير عنوان IP لواجهة الإدارة ، وإضافة مضيف إضافي للمراقبة والتسجيل ، وإضافة / إزالة أجهزة استشعار مختلفة أو مكونات إضافية. القائمة الفرعية لجميع الخدمات موضحة أدناه.



في هذه المقالة ، نوضح تركيب وتكوين برنامج SIEM مفتوح المصدر المدعوم من AlienVault. في مقالتنا التالية ، سنركز على تفاصيل جميع مكونات OSSIM.

اكتب التعليقات إذا كانت الترجمة مفيدة لك. ونحن في انتظار الجميع في الندوة المفتوحة على الإنترنت ، والتي ستعقد في 18 ديسمبر.

Source: https://habr.com/ru/post/ar479768/

More articles:


All Articles