Eine Übersetzung des Artikels wurde speziell für Studenten des Linux-Sicherheitskurses erstellt .
OSSIM (Open Source Security Information Management) ist ein Open Source-Projekt von Alienvault, das SIEM-Funktionen (Security Information and Event Management) bereitstellt. Es bietet die folgenden SIEM-Funktionen, die von Sicherheitsexperten benötigt werden.
- Ereignissammlung
- Normalisierung
- Korrelation
OSSIM ist eine einheitliche Plattform, die grundlegende Sicherheitsfunktionen bietet. In die OSSIM-Plattform sind viele anerkannte Open-Source-Programme integriert. Dies ist nach wie vor der schnellste Weg, um die ersten Schritte zu einer einheitlichen Sichtbarkeit der Sicherheit zu unternehmen.
Die OSSIM-Plattform unterstützt die folgenden Open Source-Programme / Plugins:
- Apache
- IIS
- Syslog
- Ossec
- Schlinge
- Schnauben
- Openvas
- Nessus
- Nagios
- Ntop
- Nmap
Installieren Sie OSSIM
Laden Sie das ISO-Image von
AlienVault herunter und installieren Sie es auf der virtuellen Maschine. In diesem Handbuch wird anstelle eines physischen Servers OSSIM auf einer virtuellen Maschine installiert, die die folgenden Spezifikationen aufweist:
Es verfügt über zwei Schnittstellen, eine zum Verwalten des Servers und eine zum Sammeln von Protokollen und Überwachen von Netzwerkgeräten. Details der virtuellen Maschine sind unten angegeben.
Prozessor: 2 VCPU, RAM: 2 GB, Festplattengröße: 8 GB, Verwaltungs-IP-Adresse: 192.168.1.150/24 und Gerätenetzwerk: 192.168.0.0/24
Wenn die virtuelle OSSIM-Maschine mit einem ISO-Image gestartet wird, werden im Installationsassistenten die folgenden zwei Optionen angezeigt.
Die obige Abbildung zeigt die Option, mit der OSSIM auf dieser virtuellen Maschine installiert wird. Drücken Sie die Eingabetaste, um den Installationsvorgang zu starten. Wählen Sie in den folgenden Schritten Ihre Sprach-, Standort- und Tastatureinstellungen aus.
Netzwerkkonfiguration
Konfigurieren Sie zu diesem Zeitpunkt das Netzwerk der virtuellen OSSIM-Maschine. Zur Steuerung verwenden wir
eth0 , und der Rest des Netzwerks ist mit
eth1 verbunden . Die Netzwerkkonfiguration für
eth0 ist unten dargestellt.
Konfigurieren Sie den Root-Benutzer
Nach dem Einrichten des Netzwerks werden Sie in den folgenden Fenstern nach dem Root-Kennwort gefragt, das auf die OSSIM-Server-CLI zugreifen kann. Das root-Passwort muss sicher sein.
Zeitzoneneinstellung
Zeitzoneninformationen sind für das Protokollsystem wichtig. Es ist unten angegeben.
Nach dem Festlegen der Zeitzone führt der Assistent automatisch den Schritt der Speicherplatzpartition aus und beginnt mit der Installation des Basissystems. Dieser Schritt dauert ungefähr 15-20 Minuten.
Der letzte Installationsschritt ist in der folgenden Abbildung dargestellt.
Nach Abschluss der Installation von AlienVault OSSIM wird die folgende Windows-Eingabeaufforderung angezeigt. Wir können über die folgende URL auf das Webinterface zugreifen:
https://192.168.1.150/
Melden Sie sich mit dem Benutzernamen
root und Passwort
test in der CLI des OSSIM-Servers an.
Der neueste Mozilla Firefox-Browser öffnet den Link nicht. Verwenden Sie daher den Chrome- oder IE-Browser, um auf die Weboberfläche zuzugreifen. Chrome und IE bieten die folgenden Fenster an, in denen angegeben wird, dass das Zertifikat nicht vertrauenswürdig ist, da OSSIM ein selbstsigniertes Zertifikat verwendet.
Nach dem Akzeptieren der obigen Ausnahme sind die folgenden Informationen für den OSSIM-Serveradministrator erforderlich. Füllen Sie die erforderlichen Daten wie in der folgenden Abbildung angegeben aus.
Nach dem Erstellen eines Administratorkontos werden die folgenden Fenster angezeigt. Der Benutzername lautet
admin und das Passwort lautet
test @ 123 .
Nach der erfolgreichen Anmeldung an der Weboberfläche wird der folgende Assistent angezeigt, um den OSSIM-Server weiter zu konfigurieren.
Es zeigt die folgenden drei Optionen:
- Netzwerk überwachen - Netzwerküberwachung (Einrichtung des vom OSSIM-Server überwachten Netzwerks)
- Assets Discovery - Geräteerkennung (Automatische Erkennung von Netzwerkgeräten in der Organisation)
- Sammeln von Protokollen und Überwachen von Netzwerkknoten - Sammeln von Protokollen und Überwachen von Netzwerkknoten
Klicken Sie zum Konfigurieren des OSSIM-Servers auf die Schaltfläche START in der obigen Abbildung.
Nachdem Sie auf die erste Option geklickt haben, werden Sie in einem anderen Fenster nach der Netzwerkkonfiguration gefragt, die in der folgenden Abbildung dargestellt ist. Wir haben eth1 für die Überwachungsschnittstelle des Protokollkollektors und des OSSIM-Servers konfiguriert.
Im zweiten Schritt erkennt OSSIM automatisch Netzwerkgeräte. Wählen Sie die Device Discovery-Option (2). In den folgenden Fenstern werden Sie zur Konfiguration aufgefordert. Es unterstützt die automatische und manuelle Geräteerkennung.
Hosttypen auf dem OSSIM-Server:
- Windows
- Linux
- Netzwerkgerät
Nach dem Einrichten des Netzwerks und dem Erkennen der Geräte besteht der nächste Schritt darin, HIDS auf Windows / Linux-Geräten bereitzustellen, um die Dateiintegrität, Überwachung, Rootkit-Erkennung und Ereignisprotokollierung sicherzustellen. Geben Sie den Benutzernamen / das Kennwort des Geräts für die Bereitstellung von HIDS ein.
Wählen Sie den gewünschten Host aus der Liste aus und klicken Sie auf die Schaltfläche Bereitstellen, um HIDS bereitzustellen. Klicken Sie anschließend auf die Schaltfläche Weiter, um den in der Abbildung gezeigten Bereitstellungsprozess zu starten. Dieser Vorgang dauert einige Minuten, um HIDS auf dem ausgewählten Host bereitzustellen.
Protokollverwaltung
Die folgende Abbildung zeigt die Konfiguration des erkannten Hosts zum Verwalten verschiedener Protokolle.
Die letzte Option des Setup-Assistenten ist die Teilnahme an OTX (AlienVault Threat-Sharing-Programm). Wir werden diese Option nicht abonnieren. Schließen Sie den Einrichtungsschritt ab, indem Sie auf die Schaltfläche „Fertig stellen“ klicken.
Das Hauptbedienfeld des OSSIM-Servers ist unten dargestellt.
Weboberfläche
Die OSSIM-Server-Weboberfläche besteht aus den folgenden Optionen in der grafischen Hauptoberfläche.
- Dashboard
- Analyse
- Mittwoch
- Berichte
- Konfiguration
Dashboard
Es zeigt eine vollständige Ansicht aller OSSIM-Serverkomponenten, z. B. Schweregrad der Bedrohung, Schwachstellen im Netzwerkknoten, Bereitstellungsstatus, Risikokarten und OTX-Statistiken. Die Dashboard-Untermenüs sind in der folgenden Abbildung dargestellt.
Analyse
Die Analyse ist eine sehr wichtige Komponente jedes SIEM-Geräts. Der OSSIM-Server analysiert Hosts anhand ihrer Protokolle. In diesem Menü werden Alarme, SIEM (Sicherheitsereignisse), Tickets und unverarbeitete Protokolle angezeigt. Das Analyse-Menü ist weiter in die folgenden Untermenüs unterteilt.
Mittwoch
In diesem Menü des OSSIM-Servers werden die Einstellungen den Geräten der Organisation zugeordnet. Hier werden Geräte, Gruppen und Netzwerke, Schwachstellen, Netzwerkfluss und Erkennungseinstellungen angezeigt. Die Untermenüs für all diese Einstellungen sind in der folgenden Abbildung dargestellt.
Berichte
Die Berichterstellung ist eine wesentliche Komponente eines Registrierungsservers. Der OSSIM-Server generiert auch Berichte, die für die eingehende Untersuchung eines bestimmten Hosts sehr nützlich sind.
Konfiguration
In der Konfiguration von meHow für die Installation und Konfiguration von AlienVault SIEM (OSSIM) kann der Benutzer die OSSIM-Servereinstellungen ändern, z. B. die IP-Adresse der Verwaltungsschnittstelle ändern, einen zusätzlichen Host für die Überwachung und Protokollierung hinzufügen und verschiedene Sensoren oder Plug-Ins hinzufügen / entfernen. Das Untermenü für alle Dienste wird unten angezeigt.
In diesem Artikel erklären wir die Installation und Konfiguration der von AlienVault unterstützten Open-Source-SIEM-Software. In unserem nächsten Artikel werden wir uns auf die Details aller OSSIM-Komponenten konzentrieren.
Schreiben Sie in die Kommentare, ob die Übersetzung für Sie hilfreich war. Und wir warten auf alle beim
offenen Webinar , das am 18. Dezember stattfindet.