LINUX

Cómo instalar y configurar AlienVault SIEM (OSSIM)

0 3.135 4 minutos de lectura

OSSIM (Gestión de información de seguridad de código abierto) es un proyecto de código abierto de Alienvault que proporciona la funcionalidad SIEM (Gestión de eventos e información de seguridad). Proporciona las siguientes características SIEM que son requeridas por los profesionales de la seguridad.

  • Colección de eventos
  • Normalización
  • Correlación

OSSIM es una plataforma unificada que proporciona las capacidades de seguridad esenciales. Muchos software de seguridad de código abierto probados están integrados en la plataforma OSSIM. Sigue siendo la forma más rápida de dar los primeros pasos hacia una visibilidad de seguridad unificada.

La plataforma OSSIM admite los siguientes complementos / software de código abierto:

  • apache
  • IIS
  • Syslog
  • Ossec
  • Trampa
  • Bufido
  • OpenVAS
  • Nessus
  • Nagios
  • Ntop
  • Nmap

Instalación de OSSIM

Descargue una iso de AlienVault (http://downloads.alienvault.com/c/download?version=current_ossim_iso) e instálelo en la VM. En este tutorial, instalaremos OSSIM en VM en lugar del servidor físico que tiene las siguientes especificaciones

Tiene dos interfaces, una es para la administración del servidor y la segunda es para recopilar registros y monitorear los dispositivos de red. Los detalles de la VM se dan a continuación.

Procesador: 2 CPU virtuales, RAM: 2 GB, Tamaño del disco duro: 8 GB, IP de administración: 192.168.1.150/24 y Red de activos: 192.168.0.0/24

Cuando OSSIM VM arranca con una imagen iso, se muestran las siguientes dos opciones en el asistente de instalación.

Opciones de instalación principales

Se selecciona la opción resaltada en la figura anterior que instalará OSSIM en esta VM. Presione enter para iniciar el proceso de instalación. Seleccione el idioma, la ubicación y la configuración del teclado en los siguientes pasos.

configuración de la red

En este paso, configure la red de OSSIM VM. Estamos usando eth0 para la gestión y el resto de la red está conectada a eth1. La configuración de red para eth0 se muestra a continuación.

configuración de la red

Dirección IP, máscara de red

Configuración de usuario raíz

Después de la configuración de la red, la siguiente ventana solicita la contraseña del usuario raíz que puede acceder a la CLI del servidor OSSIM. La contraseña del usuario root debe ser segura.

configuración de usuario raíz

Configuración de zona horaria

La información de la zona horaria es importante en el sistema de registro y se muestra a continuación.

zona horariaDespués de configurar la zona horaria, el asistente realiza automáticamente el paso de partición y comienza a instalar el sistema base. Este paso tardará entre 15 y 20 minutos.

Instalación del sistema baseLa etapa final de instalación se muestra en la siguiente figura.

Etapa final del proceso de instalación

Siguiendo el mensaje de Windows después de la instalación completa de AlienVault OSSIM. Podemos acceder a la interfaz web usando la siguiente URL:

https://192.168.1.150/

Interfaz CLI de ossim

Iniciar sesión con usuario raíz y contraseña prueba en CLI del servidor OSSIM.

pantalla de ingreso al sistema

El último navegador Mozilla Firefox no abre el enlace, así que utilice el navegador Chrome o IE para acceder a la interfaz web. Chrome e IE mostrarán las siguientes ventanas que dicen que el certificado no es de confianza porque OSSIM usa un certificado autofirmado.

Excepción de certificado de ChromeDespués de la aceptación de la excepción anterior, se requiere la siguiente información para el administrador del servidor OSSIM. Complete los detalles requeridos que se solicitan en la siguiente figura.

Información de usuario del administrador

Las siguientes ventanas aparecerán después de completar la cuenta de administración. El nombre de usuario es administración y la contraseña es prueba @ 123.

Pantalla de inicio de sesión de GUI

Después de iniciar sesión correctamente en la interfaz web, aparece el siguiente asistente para configurar más el servidor OSSIM.

mago

Muestra las siguientes tres opciones

  1. Monitorear la red (configurar la red que está siendo monitoreada por el servidor OSSIM)
  2. Descubrimiento de activos (descubrimiento automático de dispositivos de red en la organización)
  3. Recopilación de registros y monitoreo de nodos de red.

Haga clic en el botón de inicio de la figura anterior para la configuración del servidor OSSIM.

Después de hacer clic en el 1S t opción, otra ventana solicitará la configuración de red que se muestra en la siguiente figura. Configuramos eth1 para el recopilador de registros y la interfaz de monitoreo del servidor OSSIM.

configuración de la red

En el 2Dakota del Norte paso, OSSIM realizará el descubrimiento automático de los activos de la red. seleccione la opción Descubrimiento de activos (2) y las siguientes ventanas le solicitarán la configuración. Admite el descubrimiento automático y manual de activos.

Los tipos de activos en el servidor OSSIM son

  • Ventanas
  • Linux
  • Dispositivo de red

Descubrimiento de Assest

Después de la configuración de la red y el descubrimiento de activos, el siguiente paso es la implementación de HIDS en dispositivos Windows / Linux para realizar la integridad de los archivos, el monitoreo, la detección de rootkits y la recopilación de registros de eventos. Ingrese el nombre de usuario / contraseña del activo para la implementación de HIDS.

Despliegue de HIDSSeleccione el host deseado de la lista y haga clic en el botón Implementar para la implementación de HIDS. De nuevo, haga clic en el botón Continuar para iniciar el proceso de implementación que se muestra en la figura. Este proceso llevará unos minutos para la implementación de HIDS en el host seleccionado.

Ventana de opciones

Despliegue

Gestión de registros

La siguiente figura muestra la configuración del activo descubierto para la gestión de diferentes logs.

gestión de registrosLa última opción del asistente de configuración es unirse a OTX (programa de intercambio de amenazas de AlienVault). No vamos a suscribirnos a esta opción. Finalice el paso de configuración haciendo clic en el botón Finalizar.

El panel principal del servidor OSSIM se muestra a continuación.

interfaz web

Interfaz web

La interfaz web del servidor OSSIM consta de las siguientes opciones en la GUI principal.

  • Cuadros de mando
  • Análisis
  • Ambientes
  • Informes
  • Configuración

Tablero

Muestra una vista completa de todos los componentes del servidor OSSIM, como la gravedad de la amenaza, las vulnerabilidades en el host de la red, el estado de implementación, los mapas de riesgo y las estadísticas de OTX. El submenú del tablero se muestra en la siguiente figura

Submenú del tableroAnálisis

El análisis es un componente muy importante de cualquier dispositivo SIEM. El servidor OSSIM analizó los hosts en función de sus registros. Este menú muestra las alarmas, SIEM (eventos de seguridad), tickets y registros sin procesar. El menú de análisis se divide en el siguiente submenú.

Submenú de análisisAmbiente

En este menú del servidor OSSIM, la configuración está relacionada con los activos de la organización. Muestra los activos, el grupo y la red, las vulnerabilidades, el flujo de red y la configuración de detección. El submenú para todos estos ajustes se muestra en la figura.

Submenú de entornoInformes

Los informes son un componente importante de cualquier servidor de registro. El servidor OSSIM también genera informes que son muy útiles para la investigación detallada de cualquier host específico.

informes-submenúConfiguración

En la configuración meHow to Install and Configure AlienVault SIEM (OSSIM) nu, el usuario puede cambiar la configuración del servidor OSSIM, como cambiar la dirección IP de la interfaz de administración, agregar más host para monitorear y registrar y agregar / eliminar diferentes sensores / complementos. El submenú de todos los servicios se muestra a continuación.

submenú de configuración

En este artículo, explicamos el proceso de instalación y configuración del software SIEM de código abierto respaldado por AlienVault. En nuestro próximo artículo, nos centraremos en los detalles de todos los componentes de OSSIM.

Publicaciones relacionadas

Cómo instalar PrestaShop en CentOS 7

Comandos Nmap con ejemplos

Cómo instalar Drupal 7 con Apache en Ubuntu 14.04

15 comandos de pantalla de Linux para manejar sesiones de terminal

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar