AlienVault: развертывание OSSEC (IDS)

В этой статье пойдет речь о развертывании агентов OSSEC (IDS) на сервере AlienVault.

OSSEC — это система обнаружения вторжений со стороны на основе хоста с открытым исходным кодом (еще она называется IDS). OSSEC позиционирует себя как одна из наиболее популярных систем обнаружения вторжений в мире. Она помогает выполнять мониторинг такого типа, как:

аномалии сети;
анализ журнала;
проверка целостности системы;
мониторинг реестра Windows;
обнаружение руткитов;
мониторинг текущих процессов;
отправление оповещений в режиме реального времени;
ответы active directory;
мониторинг политики безопасности.

Системы обнаружения вторжений настраиваются подобно межсетевому экрану, а также они могут быть сконфигурированы для отправки тревожных сообщений во время нарушения политики безопасности, чтобы пользователь мог сразу отреагировать на угрозу его сети или устройства.

OSSEC (IDS) может предупредить пользователя о DDOS, брутфорс, эксплойтах, утечке данных и других внешних атаках. Он проводит мониторинг сети пользователя в режиме реального времени и взаимодействует с системой, когда человек вносит какие-то изменения в нее. OSSEC может использоваться для мониторинга одного или даже тысячи серверов в режиме «сервер/агент».

Необходимые компоненты

Для установки агента OSSEC на Ubuntu 20.04.1 нужны определенные компоненты. Они указаны ниже:

GCC
Make
Libevent-dev
Zlib-dev
Libssl-dev
Libpcre2-dev
Wget
Tar

Пользователь может скачать все эти компоненты, просто выполнив данную команду:

apt install gcc make libevent-dev zlib1g-dev  libssl-dev libpcre2-dev wget tar

Скачивание исходного кода OSSEC

Пользователи могут скачать последнюю версию исходного кода OSSEC с официальной страницы на GitHub или просто выполнить эту команду:

wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz -P /tmp

Извлечение и установка агента OSSEC

После завершения загрузки исходного кода пользователю нужно извлечь его, просто выполнив эту команду:

cd /tmp
tar xzf 3.6.0.tar.gz

Чтобы установить агент OSSEC, человек откроет каталог исходного кода и запустит скрипт установки, как показано ниже:

cd ossec-hids-3.6.0/
./install.sh

Далее он выберет язык установки или нажмет на клавишу ENTER, чтобы выбрать параметры установки по умолчанию.

Среди них:

Тип установки. В данном случае пользователь устанавливает агент OSSEC-HIDS, поэтому он выбирает этот вариант.
Путь установки. По умолчанию это: «/var/ossec», но пользователь может выбрать путь в соответствии с его требованиями.
Ввод IP-адреса сервера OSSEC-HIDS или IP-адреса сервера AlienVault.
Включение проверки целостности системы.
Включение обнаружения руткитов.
Включение или отключение ответов active directory.
После того как пользователь закончит с определением параметров по умолчанию, он перейдет к установке агента OSSEC, нажав на клавишу ENTER;
Затем после нажатия клавиши ENTER он закроет установщик, как показано ниже:

Развертывание агента OSSEC на сервере AlienVault

Чтобы установить связь агента с сервером, нужно:

добавить его на сервер HIDS или сервер AlienVault;
извлечь ключ аутентификации агента с сервера AlienVault.

Чтобы извлечь ключ агента с сервера, следует открыть веб-интерфейс AlienVault, а затем перейти по следующему пути: «Environment > Detection», как показано ниже:

Затем выбрать или добавить агент оттуда, где пользователь установил OSSEC. После этого пользователь извлекает или копирует ключ, как показано ниже на рисунке:

После извлечения ключа пользователь импортирует его в агент, выполнив следующую команду:

/var/ossec/bin/manage_agents

Нужно ввести «I», вставить ключ, скопированный из AlienVault Web UI, и подтвердить его добавление, а затем выйти из этого окна, нажав на «Q», как показано ниже:

Запуск агента OSSEC

После завершения установки пользователь запустит агент OSSEC, просто выполнив следующую команду:

/var/ossec/bin/ossec-control start

Или:

systemctl start ossec

Чтобы остановить работу агента, следует выполнить следующую команду:

/var/ossec/bin/ossec-control stop
Or
systemctl stop ossec

Другие команды для управления агентом представлены ниже:

/var/ossec/bin/ossec-control {start|stop|reload|restart|status}

Чтобы проверить его статус, следует выполнить следующую команду:

/var/ossec/bin/ossec-control status

Необходимо также проверить, подключился ли агент к серверу.

tail -f /var/ossec/logs/ossec.log

Как можно увидеть на картинке, агент успешно подключился к серверу AlienVault.

Отлично! Пользователь успешно провел развертывание своей машины Ubuntu на сервере AlienVault.

Для компьютеров на базе ОС Windows

Сначала нужно скачать агент OSSEC для Windows.

Пользователи могут скачать агент OSSEC для Windows с официальной страницы OSSEC.

Следует найти нужный агент OSSEC (это ossec-agent-win-32-3.6.exe или его последняя версия).

Установка агента OSSEC

Пользователь перейдет в раздел «Загрузки», запустит установщик агента OSSEC и нажмет на кнопку «Next», как показано ниже:

Он выберет путь, по которому хочет установить агент OSSEC, и нажмет на кнопку «Install».

Далее, пользователь дождется завершения установки и нажмет на кнопку «Next».

Пользователь нажимает на кнопку «Finish» и выходит из программы установки.

Создание ключа для агента OSSEC

Пользователь выполняет следующие действия:

в AlienVault Web UI он переходит по следующему пути: «Environment > Detection > HIDS»;
открывает вкладку «Agents» (верхний правый угол);
нажимает на «Add a new agent» (добавить нового агента);
копирует ключ и вставляет его, как показано ниже на картинке.

Теперь следует вернуться к системе Windows.

Пользователь вводит IP-адрес сервера AlienVault и вставляет ключ, как показано ниже:

После этого он подтверждает развертывание агента, нажав на кнопку «ОК».

Нужно открыть его и убедиться, что агент OSSEC подключен и работает нормально.

После успешного развертывания агента OSSEC следует открыть службу агента OSSEC, перейдя в раздел «Manage > Start OSSEC», как показано ниже на картинке: