Лаборатория SIEM: AlienVault

Дата: 22.10.2020. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Лаборатория SIEM: AlienVault

В этой статье пойдет речь о AlienVault OSSIM, системе управления информацией о безопасности и событиях безопасности с открытым исходным кодом. Лаборатория обладает широким набором функций: сбором событий, их коррекцией и нормализацией.

OSSIM – это единая платформа, которая включает в себя следующие компоненты:

  • Обнаружение активных средств системы;
  • Оценка уязвимости системы;
  • Хост-системы для обнаружения вторжений;
  • Обнаружение сетевых вторжений;
  • Поведенческий мониторинг;
  • Корреляция событий SIEM.

Лаборатория относится к сообществу «Open Threat Exchange (OTX)». Оно предоставляет пользователям собранную сообществом информацию об угрозах и призывает их к сотрудничеству. Кроме этого, автоматизируется процесс обновления инфраструктуры безопасности данными об угрозах, полученными из других источников.

AlienVault очень полезна для мониторинга событий безопасности системы пользователя или выявления уязвимостей. Лаборатория может помочь человеку провести аудит оценки безопасности, такой как PCI-DSS.

Лаборатория SIEM: AlienVault

Итак, не стоит тратить больше времени, а сразу начать процесс установки. ISO AlienVault OSSIM можно легко найти на странице продукта AlienVault OSSIM.

Необходимые требования

Для установки AlienVault OSSIM есть минимальные требования, которые перечислены ниже:

  • Mware или Virtual Box;
  • 2 NIC (сетевые интерфейсные карты), совместимые с сетевой картой E1000. Пользователю нужно несколько сетевых карт для управления журналами и мониторинга сети;
  • 4-х ядерный процессор;
  • От 4 до 8 оперативной памяти;
  • 60GB HDD.

Установка

После того как пользователь загрузил ISO-файл AlienVault OSSIM, стоит начать его установку на свою виртуальную машину.

Чтобы установить AlienVault OSSIM:

  • На виртуальной машине пользователь создаст новый экземпляр VM, используя в качестве источника установки ISO AlienVault OSSIM;
  • Машина пользователя должна соответствовать требованиям AlienVault, как показано ниже.
Лаборатория SIEM: AlienVault

После запуска нового экземпляра AlienVault  нужно выбрать вариант «Install AlienVault OSSIM 5.7.4 (64 Bit)» и нажать на «Enter», как показано ниже.

Лаборатория SIEM: AlienVault

Процесс установки охватывает различные настройки, выбранные пользователем в соответствии с его требованиями.

Выбор языка, который он хочет использовать:

Лаборатория SIEM: AlienVault

Выбор своего местоположения:

Лаборатория SIEM: AlienVault

Настройка сети с помощью Assigning

Поскольку у пользователя есть 1 и более сетевых интерфейсных карт, ему следует выбрать только одну из них в качестве основной сетевой интерфейсной карты для сервера управления. Этот IP-адрес будет использоваться для доступа к веб-интерфейсу AlienVault OSSIM. Пользователь собирается использовать eth0 для управления сервером, а остальная часть сети подключена к eth1.

Лаборатория SIEM: AlienVault

Пользователю следует назначить уникальный IP-адрес серверу, как показано ниже. Если он не знает, что здесь вводить, нужно обратиться к сетевому администратору.

Лаборатория SIEM: AlienVault

Маске подсети присваивается уникальный IP-адрес.

Лаборатория SIEM: AlienVault

Выбор шлюза: указывает на маршрутизатор шлюза, установленный как маршрутизатор по умолчанию. Весь трафик, выходящий за пределы данной локальной сети, передается через этот маршрутизатор.

Лаборатория SIEM: AlienVault

Затем в процессе установки пользователь устанавливает пароль root, который будет использоваться для учетной записи на странице входа в AlienVault OSSIM.

Лаборатория SIEM: AlienVault

После этого необходимо выбрать свой часовой пояс. Это заключительный шаг.

Будет установлен базовый вариант. Обычно установка занимает довольно много времени (зависит от скорости системы), в среднем — это 10-15 минут.

Лаборатория SIEM: AlienVault

Теперь пользователь может войти в консоль AlienVault OSSIM с данными пользователя root и ввести пароль, указанный в процессе установки.

Лаборатория SIEM: AlienVault

Вход в систему с учетными данными учетной записи root.

Установка интерфейса для мониторинга журнала

После успешного входа в систему необходимо настроить интерфейс управления журналами.

Чтобы настроить сетевой интерфейс для управления журналами и проведения сканирования, следует выполнить следующие действия.

Перейти по пути: System Preferences > Configure Network > Setup Network Interface > eth1 > IP address > netmask.

Пользователь переходит в раздел «System Preferences».

Лаборатория SIEM: AlienVault

Выбирает «Configure Network ».

Лаборатория SIEM: AlienVault

Выбирает далее «Network Interface».

Лаборатория SIEM: AlienVault

Он также выбирает eth1 для управления журналами и сканирования.

Лаборатория SIEM: AlienVault

Назначает уникальный IP-адрес для настройки интерфейса управления сетью.

Лаборатория SIEM: AlienVault

Маске подсети присваивается уникальный IP-адрес.

Лаборатория SIEM: AlienVault

А затем человек возвращается к настройке AlienVault и принимает все изменения, как показано ниже.

Лаборатория SIEM: AlienVault

Стоит проверить правильность внесенных изменений и подтвердить их с помощью клавиши «Yes».

Лаборатория SIEM: AlienVault

Пользователь успешно настроил сетевой интерфейс для управления журналами.

blank

Он также успешно установил и настроил новый AlienVault в VMware.

Доступ к веб-интерфейсу

После завершения процесса установки пользователь может получить доступ к веб-интерфейсу и настроить свою учетную запись администратора.

Чтобы получить доступ к веб-интерфейсу, нужно открыть свой любимый браузер и перейти по адресу:

https://192.168.1.70
blank

Ubuntu 20.04

Rsyslog – это программное обеспечение, которое используется для пересылки сообщений журнала в IP-сети. Оно реализует базовый протокол системных журналов и расширяет его с помощью возможностей фильтрации контента. ПО также поддерживает различные модули, включает в себя гибкие параметры конфигурации и обладает такими функциями, как TCP для передачи данных.

Следует убедиться, что порт номер 514 (протокол UDP) находится на стороне сервера Ubuntu 20.04; что сервер AlienVault OSSIM открыт и журналы можно пересылать через UDP на порт номер 514

Человек откроет файл rsyslog.conf и проверит его.

Для этого используется следующая команда:

cd /etc
nano rsyslog.conf
blank

Следует раскомментировать следующую строку, чтобы охватить все файлы конфигурации.

$IncludeConfig /etc/rsyslog.d/*.conf
blank

Если эта строка по умолчанию раскомментирована, то пользователь сохранит все и закроет файл.

Теперь он будет пересылать журналы rsyslog на сервер AlienVault OSSIM.

Следует создать новый конфигурационный файл alienvault.conf и добавить следующую строку, как показано ниже:

nano alienvault.conf
*.* @192.168.1.70

192.168.1.70 — это IP-адрес сервера OSSIM.

blank

Чтобы изменения вступили в силу, пользователь перезапустит службу rsyslog с помощью следующей команды:

/etc/init.d/rsyslog restart
blank

Сервер OSSIM

Следует авторизоваться на сервере OSSIM. Пользователь осуществит Jailbreak сервера CLI, как показано ниже:

blank

В следующем окне у пользователя будет запрошено разрешение на доступ к командной строке. Нужно выбрать вариант «Yes» и двигаться дальше.

blank

Здесь пользователь будет использовать tcpdump на сервере OSSIM, чтобы увидеть связь журналов между Ubuntu 20.04 и OSSIM. Это можно сделать, если пользователь запустит tcpdump для захвата журналов с помощью следующей команды:

tcpdump -i eth0 udp port 514
blank

Стоит проверить, получает ли он журналы с сервера Ubuntu 20.04 или нет.

Ubuntu 20.04

В машине ubuntu человек переключает пользователей, выполнив определенную команду. После того, как видно на картинке, журналы переключения пользователей отражаются на сервере OSSIM.

sudo su
blank

Нужно вновь вернуться к серверу OSSIM.

Сервер OSSIM

Стоит проверить, что здесь происходит.

blank

Ура! Как видно на картинке, журналы с сервера Ubuntu попали в сервер OSSIM. Теперь пользователь поместит журналы, отправленные в OSSIM, в файл.

Он собирается настроить фильтрацию в Rsyslog.

Для этого выполняются следующие действия.

Находится файл rsyslog.conf в каталоге etc.

cd /etc
nano rsyslog.conf
blank

В разделе «GLOBAL DIRECTIVES» строка “$IncludeConfig /etc/rsyslog.d/*.conf” по умолчанию включает в себя весь конфигурационный файл системы.

blank

Чтобы установить фильтр для определенных конфигураций rsyslog и журналов, следует ввести конкретное имя на место «*», как показано ниже на картинке.

Например:

$IncludeConfig /etc/rsyslog.d/debian.conf
blank

Теперь следует перейти в каталог rsyslog.d и создать там конфигурационный файл debian.conf.

blank

И добавить в него следующее правило:

If $fromhost-ip == ‘192.168.1.8’ then -/var/log/auth.log
&~

Затем сохранить изменения и закрыть файл.

blank

Теперь пользователь проверит, журналы сервера Ubuntu в auth.log.

Прежде чем будет выполнен rsyslog, следует перезагрузить компьютер и ввести следующие команды:

cd /var/log
/etc/init.d/rsyslog restart
tail -f auth.log
blank

Как видно на картинке, журналы начинают передаваться с сервера Ubuntu.

Теперь пользователь возвращается к AlienVault.

OSSIM нуждается в плагине t для подключения любого источника данных к серверу. Плагины имеют конфигурацию на основе XML.

Плагины имеют два элемента: cfg и SQL.

Стоит перейти к настройке cfg

Для этого пользователь откроет каталог /etc/ossim/agent/plugins.

cd /etc/ossim
cd agent/
cd plugins/

В каталоге плагинов есть множество доступных плагинов, которые можно добавить в OSSIM.

Пользователь продолжил модифицировать один из них вручную (SSH).

Для этого используется следующая команда:

cp ssh.cfg debianssh.cfg
blank

Затем открывается конфигурационный файл debianssh.cfg.

nano debiannssh.cfg
blank

И изменяется идентификатор плагина на желаемый. чтобы сделать его идентифицируемым для дальнейшего процесса.

Здесь человек заменяет идентификатор плагина 4003 на 9001, как показано ниже:

blank

Теперь пользователь может активировать плагин. Нужно вернуться к настройке AlienVault и ввести следующую команду:

alienvault-setup
blank

А затем настроить сенсор с помощью следующих шагов:

Выбрать «Configure sensor».

blank

Нажать на «Configure Data Source Plugins».

blank

В предыдущих шагах пользователь модифицировал SSH-плагин в плагин debianssh. Нужно выбрать его в списке плагинов. Пользователь сделает это, нажав на пробел.

blank

А затем он вернется к настройке AlienVault и применит все изменения.

blank

Наконец, программа попросит разрешения применить все изменения.

Нужно нажать на «yes».

blank

В следующем окне будет видно, что изменения приняты.

blank

Стоит теперь перейти к настройке SQL-части плагина.

Пользователь переходит в каталог /usr/share/doc/ossim-mysql/contrib/plugins, введя следующую команду:

cd /usr/share
cd /doc
cd /ossim-mysql
cd /contrib
cd /plugins

Запустив команду ls, пользователь может увидеть примеры SQL-плагинов.

Он собирается скопировать ssh.sql в debianssh.sql, выполнив следующую команду:

cp ssh.sql debianssh.sql
blank

Открыть файл debianssh.sql.

nano debianssh.sql
blank

Стоит внести некоторые изменения в конфигурационный файл, чтобы он мог сопоставить plugin.cfg с базой данных SQL.

Конфигурация выглядит примерно так же, как показано ниже:

blank

Следует изменить идентификатор плагина с 4001 на 9001.

blank

Как можно увидеть, этот конфигурационный файл содержит предопределенную базу данных SSH-журналов, так что если какая-либо подозрительная SSH-активность или запрос поступают на сервер Ubuntu, он будет совпадать с этим запросом.

Нужно сохранить изменения и выйти.

Стоит начать действовать и активировать базу данных, перенастроив ее.

Для этого вводится следующая команда:

ossim-db < debianssh.sql
ossim-db
select * from plugin where id = 9001;
quit

И, наконец, необходимо заново сконфигурировать сервер AlienVault OSSIM, введя следующую команду:

alienvault-reconfig
blank

На следующем скрине видно, что начинается переконфигурация сервера.

blank

Автор переведенной статьи: Vijay.

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *