Geekly articles weekly

Instalando e configurando o AlienVault SIEM (OSSIM)

Uma tradução do artigo foi preparada especificamente para os alunos do curso Linux Security .




OSSIM (Open Source Security Information Management) é um projeto de código aberto da Alienvault que fornece a funcionalidade SIEM (Security information and event management). Ele fornece os seguintes recursos SIEM exigidos pelos profissionais de segurança.

  • Coleta de eventos
  • Normalização
  • Correlação

OSSIM é uma plataforma unificada que fornece recursos fundamentais de segurança. A plataforma OSSIM possui muitos softwares de código aberto reconhecidos. Continua sendo a maneira mais rápida de dar os primeiros passos em direção a uma visibilidade de segurança unificada.

A plataforma OSSIM suporta os seguintes programas / plugins de código aberto:

  • Apache
  • IIS
  • Syslog
  • Ossec
  • Snare
  • Snort
  • Openvas
  • Nessus
  • Nagios
  • Ntop
  • Nmap

Instale o OSSIM


Faça o download da imagem ISO do AlienVault e instale-a na máquina virtual. Neste guia, em vez de um servidor físico, instalamos o OSSIM em uma máquina virtual que possui as seguintes especificações:

Possui duas interfaces, uma para gerenciar o servidor e outra para coletar logs e monitorar dispositivos de rede. Detalhes da máquina virtual são fornecidos abaixo.

Processador: 2 VCPU, RAM: 2 GB, tamanho do disco rígido: 8 GB, endereço IP de gerenciamento: 192.168.1.150/24 e rede do dispositivo: 192.168.0.0/24

Quando a máquina virtual OSSIM inicializa com uma imagem ISO, as duas opções a seguir são exibidas no assistente de instalação.



A figura acima destaca a opção que instalará o OSSIM nesta máquina virtual. Pressione Enter para iniciar o processo de instalação. Selecione as configurações de idioma, local e teclado nas etapas a seguir.

Configuração de rede


Neste ponto, configure a rede da máquina virtual OSSIM. Para controle, usamos eth0 e o restante da rede está conectado a eth1 . A configuração de rede para eth0 é mostrada abaixo.




Configurar usuário root


Após configurar a rede, as seguintes janelas solicitam a senha root, que pode acessar a CLI do servidor OSSIM. A senha root deve ser forte.



Configuração de fuso horário


As informações de fuso horário são importantes para o sistema de log. É dado abaixo.



Após definir o fuso horário, o assistente executará automaticamente a etapa de partição de espaço e começará a instalação do sistema base. Esta etapa levará aproximadamente 15 a 20 minutos.



A etapa final da instalação é mostrada na figura a seguir.



Após a instalação do AlienVault OSSIM, o seguinte prompt do Windows será exibido. Podemos acessar a interface da web usando o seguinte URL:

https://192.168.1.150/



Efetue login com o nome de usuário root e a senha do teste na CLI do servidor OSSIM.



O navegador Mozilla Firefox mais recente não abre o link; portanto, use o navegador Chrome ou IE para acessar a interface da web. O Chrome e o IE oferecerão as seguintes janelas informando que o certificado não é confiável porque o OSSIM usa um certificado autoassinado.



Após aceitar a exceção acima, as seguintes informações são necessárias para o administrador do servidor OSSIM. Preencha os dados necessários, conforme solicitado na figura a seguir.



As seguintes janelas aparecerão após a criação de uma conta de administrador. O nome de usuário é admin e a senha é test @ 123 .



Após o login bem-sucedido na interface da web, o assistente a seguir aparecerá para configurar ainda mais o servidor OSSIM.



Ele mostra as três opções a seguir:

  1. Rede de monitores - Monitoramento de rede (configuração da rede monitorada pelo servidor OSSIM)
  2. Descoberta de ativos - Descoberta de dispositivos (descoberta automática de dispositivos de rede na organização)
  3. Coletando Logs e Monitorando Nós da Rede - Coletando Logs e Monitorando Nós da Rede

Para configurar o servidor OSSIM, clique no botão INICIAR na figura acima.

Após clicar na 1ª opção, outra janela solicitará a configuração da rede, mostrada na figura abaixo. Configuramos o eth1 para o coletor de logs e a interface de monitoramento do servidor OSSIM.



Na segunda etapa, o OSSIM detectará automaticamente os dispositivos de rede. Selecione a opção Descoberta de dispositivos (2) e as seguintes janelas solicitarão a configuração. Ele suporta a descoberta automática e manual de dispositivos.

Tipos de hosts no servidor OSSIM:

  • Windows
  • Linux
  • Dispositivo de rede



Após a configuração da rede e a descoberta do dispositivo, a próxima etapa é implantar o HIDS em dispositivos Windows / Linux para garantir a integridade do arquivo, o monitoramento, a detecção de rootkit e a coleta de logs de eventos. Digite o nome de usuário / senha do dispositivo para implantar o HIDS.



Selecione o host desejado na lista e clique no botão Implementar para implantar o HIDS. Em seguida, clique no botão Continuar para iniciar o processo de implantação, que é mostrado na figura. Esse processo levará alguns minutos para implantar o HIDS no host selecionado.





Gerenciamento de Log


A figura a seguir mostra a configuração do host descoberto para gerenciar vários logs.



A última opção do assistente de configuração é ingressar no OTX (programa de compartilhamento de ameaças AlienVault). Não vamos assinar esta opção. Conclua a etapa de configuração clicando no botão "Concluir".

O painel de controle do servidor OSSIM principal é mostrado abaixo.



Interface da web


A interface da web do servidor OSSIM consiste nas seguintes opções na interface gráfica principal.

  • Dashboard
  • Análise
  • Quarta-feira
  • Relatórios
  • Configuração

Dashboard


Ele mostra uma visão completa de todos os componentes do servidor OSSIM, como gravidade da ameaça, vulnerabilidades no nó da rede, status da implantação, mapas de risco e estatísticas OTX. Os submenus do painel são mostrados na figura a seguir.



Análise


A análise é um componente muito importante de qualquer dispositivo SIEM. O servidor OSSIM analisará hosts com base em seus logs. Este menu mostra alarmes, SIEM (eventos de segurança), tickets e logs não processados. O menu de análise é dividido ainda mais nos seguintes submenus.



Quarta-feira


Neste menu do servidor OSSIM, as configurações estão associadas aos dispositivos da organização. Ele mostra dispositivos, grupo e rede, vulnerabilidades, fluxo de rede e configurações de descoberta. Os submenus para todas essas configurações são mostrados na figura abaixo.



Relatórios


Os relatórios são um componente essencial de qualquer servidor de registro. O servidor OSSIM também gera relatórios que são muito úteis para a exploração aprofundada de qualquer host específico.



Configuração


Na configuração meHow para instalar e configurar o AlienVault SIEM (OSSIM), o usuário pode alterar as configurações do servidor OSSIM, por exemplo, alterar o endereço IP da interface de gerenciamento, adicionar um host adicional para monitoramento e registro e adicionar / remover vários sensores ou plug-ins. O submenu para todos os serviços é mostrado abaixo.



Neste artigo, explicamos a instalação e a configuração do software SIEM de código aberto suportado pelo AlienVault. Em nosso próximo artigo, focaremos nos detalhes de todos os componentes OSSIM.

Escreva nos comentários se a tradução foi útil para você. E aguardamos todos no seminário on-line aberto , que será realizado em 18 de dezembro.

Source: https://habr.com/ru/post/pt479768/

More articles:


All Articles