Geekly articles weekly

安装和配置AlienVault SIEM(OSSIM)

本文的翻译是专门为Linux安全课程的学生准备的。




OSSIM(开源安全信息管理)是Alienvault的开源项目,提供SIEM(安全信息和事件管理)功能。 它提供了安全专业人员所需的以下SIEM功能。

  • 活动收集
  • 归一化
  • 相关性

OSSIM是提供基本安全功能的统一平台。 OSSIM平台内置了许多公认的开源软件。 它仍然是迈出迈向统一安全可见性的第一步的最快方法。

OSSIM平台支持以下开源程序/插件:

  • 阿帕奇
  • IIS
  • 系统日志
  • 奥斯卡
  • 军鼓
  • 鼻息
  • Openvas
  • Nessus
  • 纳吉奥斯
  • Ntop
  • 地图

安装OSSIM


AlienVault下载ISO映像并将其安装在虚拟机中。 在本指南中,我们将OSSIM安装在具有以下规格的虚拟机上,而不是物理服务器:

它具有两个接口,一个用于管理服务器,一个用于收集日志和监视网络设备。 虚拟机的详细信息如下。

处理器:2个VCPU,RAM:2 GB,硬盘大小:8 GB,管理IP地址:192.168.1.150/24和设备网络:192.168.0.0/24

当OSSIM虚拟机使用ISO映像启动时,安装向导中将显示以下两个选项。



上图突出显示了将在此虚拟机上安装OSSIM的选项。 按Enter键开始安装过程。 在以下步骤中选择您的语言,位置和键盘设置。

网络配置


此时,配置OSSIM虚拟机网络。 为了控制,我们使用eth0 ,其余网络连接到eth1eth0的网络配置如下所示。




配置root用户


设置网络后,以下窗口会要求输入root密码,该密码可以访问OSSIM服务器CLI。 根密码必须是强密码。



时区设定


时区信息对于日志系统很重要。 它在下面给出。



设置时区后,向导将自动执行空间分区步骤并开始安装基本系统。 此步骤大约需要15-20分钟。



下图显示了最终的安装步骤。



完成AlienVault OSSIM的安装后,将出现以下Windows提示。 我们可以使用以下URL访问Web界面:

https://192.168.1.150/



在OSSIM服务器的CLI中使用用户名root和password test登录。



最新的Mozilla Firefox浏览器无法打开链接,因此请使用Chrome或IE浏览器访问Web界面。 Chrome和IE将提供以下窗口,说明该证书不受信任,因为OSSIM使用自签名证书。



接受上述例外后,OSSIM服务器管理员需要以下信息。 根据下图的要求填写所需的数据。



创建管理员帐户后,将出现以下窗口。 用户名是admin ,密码是test @ 123



成功登录Web界面后,将显示以下向导以进一步配置OSSIM服务器。



它显示以下三个选项:

  1. 监视网络-网络监视(设置由OSSIM服务器监视的网络)
  2. 资产发现-设备发现(自动发现组织中的网络设备)
  3. 收集日志和监视网络节点-收集日志和监视网络节点

要配置OSSIM服务器,请单击上图中的START按钮。

单击第一个选项后,另一个窗口将询问网络配置,如下图所示。 我们为日志收集器和OSSIM服务器监视接口配置了eth1。



在第二步中,OSSIM将自动检测网络设备。 选择设备发现选项(2),以下窗口将要求进行配置。 它支持自动和手动设备发现。

OSSIM服务器上的主机类型:

  • 窗户
  • 的Linux
  • 网络设备



设置网络并检测设备后,下一步是在Windows / Linux设备上部署HIDS,以确保文件完整性,监视,rootkit检测和事件日志记录。 输入用于部署HIDS的设备的用户名/密码。



从列表中选择所需的主机,然后单击“部署”按钮以部署HIDS。 接下来,单击继续按钮以开始部署过程,如图所示。 此过程将需要几分钟才能在选定主机上部署HIDS。





日志管理


下图显示了用于管理各种日志的已发现主机的配置。



设置向导的最后一个选项是加入OTX(AlienVault威胁共享程序)。 我们不会订阅该选项。 单击“完成”按钮完成设置步骤。

OSSIM服务器主控制面板如下所示。



网页界面


OSSIM服务器Web界面在主图形界面中包含以下选项。

  • 仪表板
  • 分析方法
  • 星期三
  • 报告书
  • 构型

仪表板


它显示了所有OSSIM服务器组件的完整视图,例如威胁严重性,网络节点中的漏洞,部署状态,风险图和OTX统计信息。 仪表板子菜单如下图所示。



分析方法


分析是任何SIEM设备的重要组成部分。 OSSIM服务器将基于主机日志分析主机。 该菜单显示警报,SIEM(安全事件),故障单和未处理的日志。 分析菜单进一步分为以下子菜单。



星期三


在OSSIM服务器的此菜单中,设置与组织的设备相关联。 它显示设备,组和网络,漏洞,网络流和发现设置。 下图显示了所有这些设置的子菜单。



报告书


报告是任何注册服务器的重要组成部分。 OSSIM服务器还生成报告,这些报告对于深入探索任何特定主机非常有用。



构型


在用于安装和配置AlienVault SIEM(OSSIM)的方法配置中,用户可以更改OSSIM服务器设置,例如,更改管理界面的IP地址,添加用于监视和记录日志的其他主机,以及添加/删除各种传感器或插件。 所有服务的子菜单如下所示。



在本文中,我们解释了AlienVault支持的开源SIEM软件的安装和配置。 在下一篇文章中,我们将重点介绍所有OSSIM组件的详细信息。

如果翻译对您有用,请在评论中写下。 我们正在12月18日举行的公开网络研讨会上等待所有人。

Source: https://habr.com/ru/post/zh-CN479768/

More articles:


All Articles