Geekly articles weekly

Menginstal dan Mengkonfigurasi AlienVault SIEM (OSSIM)

Terjemahan artikel disiapkan khusus untuk siswa kursus Keamanan Linux .




OSSIM (Manajemen Sumber Informasi Keamanan Terbuka) adalah proyek sumber terbuka dari Alienvault yang menyediakan fungsionalitas SIEM (Informasi keamanan dan manajemen acara). Ini menyediakan fitur SIEM berikut yang dibutuhkan oleh para profesional keamanan.

  • Koleksi acara
  • Normalisasi
  • Korelasi

OSSIM adalah platform terpadu yang menyediakan fitur keamanan mendasar. Platform OSSIM memiliki banyak perangkat lunak open source yang diakui. Ini terus menjadi cara tercepat untuk mengambil langkah pertama menuju visibilitas keamanan terpadu.

Platform OSSIM mendukung program / plugin open source berikut:

  • Apache
  • IIS
  • Syslog
  • Ossec
  • Snare
  • Mendengus
  • Openvas
  • Nessus
  • Nagios
  • Tidak
  • Nmap

Instal OSSIM


Unduh gambar ISO dari AlienVault dan instal di mesin virtual. Dalam panduan ini, alih-alih server fisik, kami menginstal OSSIM pada mesin virtual yang memiliki spesifikasi berikut:

Ini memiliki dua antarmuka, satu untuk mengelola server dan satu untuk mengumpulkan log dan memonitor perangkat jaringan. Detail dari mesin virtual diberikan di bawah ini.

Prosesor: 2 VCPU, RAM: 2 GB, Ukuran hard disk: 8 GB, alamat IP manajemen: 192.168.1.150/24 dan jaringan perangkat: 192.168.0.0/24

Saat mesin virtual OSSIM melakukan booting dengan gambar ISO, dua opsi berikut ini ditampilkan di wisaya instalasi.



Gambar di atas menyoroti opsi yang akan menginstal OSSIM di mesin virtual ini. Tekan enter untuk memulai proses instalasi. Pilih bahasa, lokasi, dan pengaturan keyboard Anda di langkah-langkah berikut.

Konfigurasi jaringan


Pada titik ini, konfigurasikan jaringan mesin virtual OSSIM. Untuk kontrol kami menggunakan eth0 , dan sisa jaringan terhubung ke eth1 . Konfigurasi jaringan untuk eth0 ditunjukkan di bawah ini.




Konfigurasikan pengguna root


Setelah mengatur jaringan, jendela berikut meminta kata sandi root, yang dapat mengakses CLI server OSSIM. Kata sandi root harus kuat.



Pengaturan Zona Waktu


Informasi zona waktu penting untuk sistem log. Itu diberikan di bawah ini.



Setelah mengatur zona waktu, wizard akan secara otomatis melakukan langkah partisi ruang dan memulai instalasi sistem dasar. Langkah ini akan memakan waktu sekitar 15-20 menit.



Langkah instalasi terakhir ditunjukkan pada gambar berikut.



Setelah instalasi AlienVault OSSIM selesai, prompt Windows berikut akan muncul. Kami dapat mengakses antarmuka web menggunakan URL berikut:

https://192.168.1.150/



Masuk dengan uji nama pengguna dan kata sandi di CLI server OSSIM.



Browser Mozilla Firefox terbaru tidak membuka tautan, jadi gunakan browser Chrome atau IE untuk mengakses antarmuka web. Chrome dan IE akan menawarkan jendela berikut yang menyatakan bahwa sertifikat tersebut tidak tepercaya karena OSSIM menggunakan sertifikat yang ditandatangani sendiri.



Setelah menerima pengecualian di atas, informasi berikut diperlukan untuk administrator server OSSIM. Isi data yang diperlukan seperti yang diminta pada gambar berikut.



Jendela berikut akan muncul setelah membuat akun administrator. Nama pengguna adalah admin dan kata sandi adalah test @ 123 .



Setelah berhasil masuk ke antarmuka web, panduan berikut ini muncul untuk mengkonfigurasi lebih lanjut server OSSIM.



Ini menunjukkan tiga opsi berikut:

  1. Monitor Network - Network monitoring (pengaturan jaringan yang dipantau oleh server OSSIM)
  2. Asset Discovery - Device Discovery (Penemuan otomatis perangkat jaringan di organisasi)
  3. Mengumpulkan log dan memonitor node jaringan - Mengumpulkan log dan memonitor node jaringan

Untuk mengkonfigurasi server OSSIM, klik tombol MULAI pada gambar di atas.

Setelah mengklik opsi 1, jendela lain akan meminta konfigurasi jaringan, yang ditunjukkan pada gambar di bawah ini. Kami mengkonfigurasi eth1 untuk pengumpul log dan antarmuka pemantauan server OSSIM.



Pada langkah kedua, OSSIM akan secara otomatis mendeteksi perangkat jaringan. Pilih opsi Device Discovery (2) dan jendela berikut akan meminta konfigurasi. Ini mendukung penemuan perangkat otomatis dan manual.

Jenis host di server OSSIM:

  • Windows
  • Linux
  • Perangkat jaringan



Setelah mengatur jaringan dan mendeteksi perangkat, langkah selanjutnya adalah menggunakan HIDS pada perangkat Windows / Linux untuk memastikan integritas file, pemantauan, deteksi rootkit, dan pencatatan peristiwa. Masukkan nama pengguna / kata sandi perangkat untuk menyebarkan HIDS.



Pilih host yang diinginkan dari daftar dan klik tombol Deploy untuk menggunakan HIDS. Selanjutnya, klik tombol Lanjutkan untuk memulai proses penyebaran, yang ditunjukkan pada gambar. Proses ini akan memakan waktu beberapa menit untuk menggunakan HIDS pada host yang dipilih.





Manajemen Log


Gambar berikut menunjukkan konfigurasi host yang ditemukan untuk mengelola berbagai log.



Opsi terakhir dari wizard pengaturan adalah bergabung dengan OTX (program berbagi ancaman AlienVault). Kami tidak akan berlangganan opsi ini. Selesaikan langkah pengaturan dengan mengklik tombol "Selesai".

Panel kontrol server OSSIM utama ditunjukkan di bawah ini.



Antarmuka web


Antarmuka web server OSSIM terdiri dari opsi berikut di antarmuka grafis utama.

  • Dasbor
  • Analisis
  • Rabu
  • Laporan
  • Konfigurasi

Dasbor


Ini menunjukkan tampilan lengkap dari semua komponen server OSSIM, seperti tingkat keparahan ancaman, kerentanan dalam node jaringan, status penyebaran, peta risiko, dan statistik OTX. Submenu dasbor ditunjukkan pada gambar berikut.



Analisis


Analisis adalah komponen yang sangat penting dari setiap perangkat SIEM. Server OSSIM akan menganalisis host berdasarkan log mereka. Menu ini menampilkan alarm, SIEM (acara keamanan), tiket dan log yang belum diproses. Menu analisis selanjutnya dibagi ke dalam submenu berikut.



Rabu


Dalam menu server OSSIM ini, pengaturan dikaitkan dengan perangkat organisasi. Ini menunjukkan perangkat, grup dan jaringan, kerentanan, aliran jaringan dan pengaturan penemuan. Submenu untuk semua pengaturan ini ditunjukkan pada gambar di bawah ini.



Laporan


Pelaporan adalah komponen penting dari setiap server pendaftaran. Server OSSIM juga menghasilkan laporan yang sangat berguna untuk eksplorasi mendalam dari host tertentu.



Konfigurasi


Dalam konfigurasi meHow untuk menginstal dan mengkonfigurasi AlienVault SIEM (OSSIM), pengguna dapat mengubah pengaturan server OSSIM, misalnya, mengubah alamat IP dari antarmuka manajemen, menambahkan host tambahan untuk pemantauan dan pencatatan, dan menambah / menghapus berbagai sensor atau plug-in. Submenu untuk semua layanan ditampilkan di bawah ini.



Pada artikel ini, kami menjelaskan instalasi dan konfigurasi perangkat lunak SIEM open source yang didukung oleh AlienVault. Dalam artikel kami berikutnya, kami akan fokus pada detail semua komponen OSSIM.

Tulis di komentar jika terjemahannya bermanfaat bagi Anda. Dan kami sedang menunggu semua orang di webinar terbuka , yang akan diselenggarakan pada 18 Desember.

Source: https://habr.com/ru/post/id479768/

More articles:


All Articles