Cómo instalar y configurar AlienVault SIEM (OSSIM)
OSSIM (Gestión de información de seguridad de código abierto) es un proyecto de código abierto de Alienvault que proporciona la funcionalidad SIEM (Gestión de eventos e información de seguridad). Proporciona las siguientes características SIEM que son requeridas por los profesionales de la seguridad.
- Colección de eventos
- Normalización
- Correlación
OSSIM es una plataforma unificada que proporciona las capacidades de seguridad esenciales. Muchos software de seguridad de código abierto probados están integrados en la plataforma OSSIM. Sigue siendo la forma más rápida de dar los primeros pasos hacia una visibilidad de seguridad unificada.
La plataforma OSSIM admite los siguientes complementos / software de código abierto:
- apache
- IIS
- Syslog
- Ossec
- Trampa
- Bufido
- OpenVAS
- Nessus
- Nagios
- Ntop
- Nmap
Instalación de OSSIM
Descargue una iso de AlienVault (http://downloads.alienvault.com/c/download?version=current_ossim_iso) e instálelo en la VM. En este tutorial, instalaremos OSSIM en VM en lugar del servidor físico que tiene las siguientes especificaciones
Tiene dos interfaces, una es para la administración del servidor y la segunda es para recopilar registros y monitorear los dispositivos de red. Los detalles de la VM se dan a continuación.
Procesador: 2 CPU virtuales, RAM: 2 GB, Tamaño del disco duro: 8 GB, IP de administración: 192.168.1.150/24 y Red de activos: 192.168.0.0/24
Cuando OSSIM VM arranca con una imagen iso, se muestran las siguientes dos opciones en el asistente de instalación.
Se selecciona la opción resaltada en la figura anterior que instalará OSSIM en esta VM. Presione enter para iniciar el proceso de instalación. Seleccione el idioma, la ubicación y la configuración del teclado en los siguientes pasos.
configuración de la red
En este paso, configure la red de OSSIM VM. Estamos usando eth0 para la gestión y el resto de la red está conectada a eth1. La configuración de red para eth0 se muestra a continuación.
Configuración de usuario raíz
Después de la configuración de la red, la siguiente ventana solicita la contraseña del usuario raíz que puede acceder a la CLI del servidor OSSIM. La contraseña del usuario root debe ser segura.
Configuración de zona horaria
La información de la zona horaria es importante en el sistema de registro y se muestra a continuación.
Después de configurar la zona horaria, el asistente realiza automáticamente el paso de partición y comienza a instalar el sistema base. Este paso tardará entre 15 y 20 minutos.
La etapa final de instalación se muestra en la siguiente figura.
Siguiendo el mensaje de Windows después de la instalación completa de AlienVault OSSIM. Podemos acceder a la interfaz web usando la siguiente URL:
https://192.168.1.150/
Iniciar sesión con usuario raíz y contraseña prueba en CLI del servidor OSSIM.
El último navegador Mozilla Firefox no abre el enlace, así que utilice el navegador Chrome o IE para acceder a la interfaz web. Chrome e IE mostrarán las siguientes ventanas que dicen que el certificado no es de confianza porque OSSIM usa un certificado autofirmado.
Después de la aceptación de la excepción anterior, se requiere la siguiente información para el administrador del servidor OSSIM. Complete los detalles requeridos que se solicitan en la siguiente figura.
Las siguientes ventanas aparecerán después de completar la cuenta de administración. El nombre de usuario es administración y la contraseña es prueba @ 123.
Después de iniciar sesión correctamente en la interfaz web, aparece el siguiente asistente para configurar más el servidor OSSIM.
Muestra las siguientes tres opciones
- Monitorear la red (configurar la red que está siendo monitoreada por el servidor OSSIM)
- Descubrimiento de activos (descubrimiento automático de dispositivos de red en la organización)
- Recopilación de registros y monitoreo de nodos de red.
Haga clic en el botón de inicio de la figura anterior para la configuración del servidor OSSIM.
Después de hacer clic en el 1S t opción, otra ventana solicitará la configuración de red que se muestra en la siguiente figura. Configuramos eth1 para el recopilador de registros y la interfaz de monitoreo del servidor OSSIM.
En el 2Dakota del Norte paso, OSSIM realizará el descubrimiento automático de los activos de la red. seleccione la opción Descubrimiento de activos (2) y las siguientes ventanas le solicitarán la configuración. Admite el descubrimiento automático y manual de activos.
Los tipos de activos en el servidor OSSIM son
- Ventanas
- Linux
- Dispositivo de red
Después de la configuración de la red y el descubrimiento de activos, el siguiente paso es la implementación de HIDS en dispositivos Windows / Linux para realizar la integridad de los archivos, el monitoreo, la detección de rootkits y la recopilación de registros de eventos. Ingrese el nombre de usuario / contraseña del activo para la implementación de HIDS.
Seleccione el host deseado de la lista y haga clic en el botón Implementar para la implementación de HIDS. De nuevo, haga clic en el botón Continuar para iniciar el proceso de implementación que se muestra en la figura. Este proceso llevará unos minutos para la implementación de HIDS en el host seleccionado.
Gestión de registros
La siguiente figura muestra la configuración del activo descubierto para la gestión de diferentes logs.
La última opción del asistente de configuración es unirse a OTX (programa de intercambio de amenazas de AlienVault). No vamos a suscribirnos a esta opción. Finalice el paso de configuración haciendo clic en el botón Finalizar.
El panel principal del servidor OSSIM se muestra a continuación.
Interfaz web
La interfaz web del servidor OSSIM consta de las siguientes opciones en la GUI principal.
- Cuadros de mando
- Análisis
- Ambientes
- Informes
- Configuración
Tablero
Muestra una vista completa de todos los componentes del servidor OSSIM, como la gravedad de la amenaza, las vulnerabilidades en el host de la red, el estado de implementación, los mapas de riesgo y las estadísticas de OTX. El submenú del tablero se muestra en la siguiente figura
Análisis
El análisis es un componente muy importante de cualquier dispositivo SIEM. El servidor OSSIM analizó los hosts en función de sus registros. Este menú muestra las alarmas, SIEM (eventos de seguridad), tickets y registros sin procesar. El menú de análisis se divide en el siguiente submenú.
Ambiente
En este menú del servidor OSSIM, la configuración está relacionada con los activos de la organización. Muestra los activos, el grupo y la red, las vulnerabilidades, el flujo de red y la configuración de detección. El submenú para todos estos ajustes se muestra en la figura.
Informes
Los informes son un componente importante de cualquier servidor de registro. El servidor OSSIM también genera informes que son muy útiles para la investigación detallada de cualquier host específico.
Configuración
En la configuración meHow to Install and Configure AlienVault SIEM (OSSIM) nu, el usuario puede cambiar la configuración del servidor OSSIM, como cambiar la dirección IP de la interfaz de administración, agregar más host para monitorear y registrar y agregar / eliminar diferentes sensores / complementos. El submenú de todos los servicios se muestra a continuación.
En este artículo, explicamos el proceso de instalación y configuración del software SIEM de código abierto respaldado por AlienVault. En nuestro próximo artículo, nos centraremos en los detalles de todos los componentes de OSSIM.