Une traduction de l'article a été préparée spécialement pour les étudiants du cours Linux Security .
OSSIM (Open Source Security Information Management) est un projet open source d'Alienvault qui fournit la fonctionnalité SIEM (Security information and event management). Il fournit les fonctionnalités SIEM suivantes requises par les professionnels de la sécurité.
- Collection d'événements
- Normalisation
- Corrélation
OSSIM est une plate-forme unifiée qui fournit des fonctionnalités de sécurité fondamentales. La plateforme OSSIM intègre de nombreux logiciels open source reconnus. Il reste le moyen le plus rapide de faire les premiers pas vers une visibilité de sécurité unifiée.
La plateforme OSSIM prend en charge les programmes / plugins open source suivants:
- Apache
- IIS
- Syslog
- Ossec
- Caisse claire
- Renifler
- Openvas
- Nessus
- Nagios
- Ntop
- Nmap
Installer OSSIM
Téléchargez l'image ISO depuis
AlienVault et installez-la dans la machine virtuelle. Dans ce guide, au lieu d'un serveur physique, nous installons OSSIM sur une machine virtuelle qui a les spécifications suivantes:
Il dispose de deux interfaces, une pour la gestion du serveur et une pour la collecte des journaux et la surveillance des périphériques réseau. Les détails de la machine virtuelle sont donnés ci-dessous.
Processeur: 2 VCPU, RAM: 2 Go, taille du disque dur: 8 Go, adresse IP de gestion: 192.168.1.150/24 et réseau de périphériques: 192.168.0.0/24
Lorsque la machine virtuelle OSSIM démarre avec une image ISO, les deux options suivantes s'affichent dans l'assistant d'installation.
La figure ci-dessus met en évidence l'option qui installera OSSIM sur cette machine virtuelle. Appuyez sur entrée pour démarrer le processus d'installation. Sélectionnez votre langue, votre emplacement et vos paramètres de clavier dans les étapes suivantes.
Configuration du réseau
À ce stade, configurez le réseau de machines virtuelles OSSIM. Pour le contrôle, nous utilisons
eth0 , et le reste du réseau est connecté à
eth1 . La configuration réseau pour
eth0 est illustrée ci-dessous.
Configurer l'utilisateur root
Après avoir configuré le réseau, les fenêtres suivantes demandent le mot de passe root, qui peut accéder à la CLI du serveur OSSIM. Le mot de passe root doit être fort.
Réglage du fuseau horaire
Les informations de fuseau horaire sont importantes pour le système de journalisation. Il est donné ci-dessous.
Après avoir défini le fuseau horaire, l'assistant exécute automatiquement l'étape de partition d'espace et commence l'installation du système de base. Cette étape prendra environ 15 à 20 minutes.
L'étape d'installation finale est illustrée dans la figure suivante.
Une fois l'installation d'AlienVault OSSIM terminée, l'invite Windows suivante s'affiche. Nous pouvons accéder à l'interface Web à l'aide de l'URL suivante:
https://192.168.1.150/
Connectez-vous avec la
racine du nom d'utilisateur et le
test du mot de passe dans la CLI du serveur OSSIM.
Le dernier navigateur Mozilla Firefox n'ouvre pas le lien, utilisez donc le navigateur Chrome ou IE pour accéder à l'interface Web. Chrome et IE offriront les fenêtres suivantes indiquant que le certificat n'est pas approuvé car OSSIM utilise un certificat auto-signé.
Après avoir accepté l'exception ci-dessus, les informations suivantes sont requises pour l'administrateur du serveur OSSIM. Remplissez les données requises comme demandé dans la figure suivante.
Les fenêtres suivantes apparaîtront après la création d'un compte administrateur. Le nom d'utilisateur est
admin et le mot de passe est
test @ 123 .
Une fois la connexion à l'interface Web réussie, l'assistant suivant apparaît pour configurer davantage le serveur OSSIM.
Il présente les trois options suivantes:
- Monitor Network - Surveillance du réseau (configuration du réseau surveillé par le serveur OSSIM)
- Découverte des actifs - Découverte des périphériques (découverte automatique des périphériques réseau dans l'organisation)
- Collecte des journaux et surveillance des nœuds de réseau - Collecte des journaux et surveillance des nœuds de réseau
Pour configurer le serveur OSSIM, cliquez sur le bouton START dans la figure ci-dessus.
Après avoir cliqué sur la 1ère option, une autre fenêtre vous demandera la configuration du réseau, qui est illustrée dans la figure ci-dessous. Nous avons configuré eth1 pour le collecteur de journaux et l'interface de surveillance du serveur OSSIM.
Dans la deuxième étape, OSSIM détectera automatiquement les périphériques réseau. Sélectionnez l'option Device Discovery (2) et les fenêtres suivantes vous demanderont la configuration. Il prend en charge la découverte automatique et manuelle des périphériques.
Types d'hôtes sur le serveur OSSIM:
- Windows
- Linux
- Périphérique réseau
Après avoir configuré le réseau et détecté les appareils, l'étape suivante consiste à déployer HIDS sur les appareils Windows / Linux pour garantir l'intégrité des fichiers, la surveillance, la détection des rootkits et la journalisation des événements. Entrez le nom d'utilisateur / mot de passe de l'appareil pour déployer HIDS.
Sélectionnez l'hôte souhaité dans la liste et cliquez sur le bouton Déployer pour déployer HIDS. Ensuite, cliquez sur le bouton Continuer pour commencer le processus de déploiement, comme illustré dans la figure. Ce processus prendra plusieurs minutes pour déployer HIDS sur l'hôte sélectionné.
Gestion des journaux
La figure suivante montre la configuration de l'hôte découvert pour gérer divers journaux.
La dernière option de l'assistant de configuration consiste à rejoindre OTX (programme de partage de menaces AlienVault). Nous n'allons pas souscrire à cette option. Terminez l'étape de configuration en cliquant sur le bouton «Terminer».
Le panneau de configuration principal du serveur OSSIM est illustré ci-dessous.
Interface Web
L'interface Web du serveur OSSIM comprend les options suivantes dans l'interface graphique principale.
- Tableau de bord
- Analyse
- Mercredi
- Rapports
- La configuration
Tableau de bord
Il affiche une vue complète de tous les composants du serveur OSSIM, tels que la gravité des menaces, les vulnérabilités du nœud de réseau, l'état du déploiement, les cartes de risques et les statistiques OTX. Les sous-menus du tableau de bord sont illustrés dans la figure suivante.
Analyse
L'analyse est un élément très important de tout appareil SIEM. Le serveur OSSIM analysera les hôtes en fonction de leurs journaux. Ce menu affiche les alarmes, SIEM (événements de sécurité), les tickets et les journaux non traités. Le menu d'analyse est divisé en plusieurs sous-menus.
Mercredi
Dans ce menu du serveur OSSIM, les paramètres sont associés aux appareils de l'organisation. Il affiche les périphériques, le groupe et le réseau, les vulnérabilités, le flux réseau et les paramètres de découverte. Les sous-menus de tous ces paramètres sont illustrés dans la figure ci-dessous.
Rapports
Le reporting est un composant essentiel de tout serveur d'enregistrement. Le serveur OSSIM génère également des rapports très utiles pour l'exploration approfondie d'un hôte particulier.
La configuration
Dans la configuration meHow pour l'installation et la configuration d'AlienVault SIEM (OSSIM), l'utilisateur peut modifier les paramètres du serveur OSSIM, par exemple, modifier l'adresse IP de l'interface de gestion, ajouter un hôte supplémentaire pour la surveillance et la journalisation, et ajouter / supprimer divers capteurs ou plug-ins. Le sous-menu de tous les services est illustré ci-dessous.
Dans cet article, nous expliquons l'installation et la configuration du logiciel open source SIEM pris en charge par AlienVault. Dans notre prochain article, nous nous concentrerons sur les détails de tous les composants OSSIM.
Écrivez dans les commentaires si la traduction vous a été utile. Et nous attendons tout le monde lors du
webinaire ouvert , qui se tiendra le 18 décembre.