OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью

в 3:56, , рубрики: AlienVault, ArcSight, Arpwatch, nagios, open source, OpenVAS, OSSEC, ossim, OTX, p0f, PADS, SIEM, Suricata, ИБ, информационная безопасность, ит-инфраструктура, корреляция данных, Настройка Linux, системное администрирование

OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 1
OSSIM (Open Source Security Information Management) — система управления, контроля и обеспечения информационной безопасности.
OSSIM «из коробки» включает в себя такой функционал как:

  • Сбор анализ и корреляция событий — SIEM
  • Хостовая система предотвращения вторжений (HIDS) — OSSEC
  • Сетевая система предотвращения вторжений (NIDS) — Suricata
  • Беспроводная система предотвращения вторжений (WIDS) — Kismet
  • Мониторинг узлов сети- Nagios
  • Анализ сетевых аномалий – P0f, PADS, FProbe, Arpwatch и др.
  • Сканер уязвимостей – OpenVAS
  • Мощнейшая система обмена информацией об угрозах между пользователями OSSIM — OTX
  • Более 200 плагинов для парсинга и корреляции логов со всевозможных внешних устройств и служб

И это далеко не всё, что умеет делать OSSIM, установка которого займёт не более 15 минут, в чём Вы можете убедиться сами!

Предисловие

В данной статье речь пойдёт в первую очередь об установке, первичной настройке и конфигурации OSSIM, всю информацию о возможностях и функционале можно взять с официального сайта, или посмотреть в этом ролике:

Стоит заметить, у AlienVault есть 2 продукта, бесплатный OSSIM и более продвинутая версия — USM, различия можно посмотреть по этой ссылке.
В качестве бонуса последней главой статьи выложил информацию об интеграции OSSIM с SIEM системой ArcSight.

Оглавление

Установка OSSIM

Настройка OSSIM

Использованные источники

Установка OSSIM

Установка open source SIEM системы осуществляется с помощью готового установочного образа, содержащего в себе операционную систему Debian и все необходимые предустановленные компоненты и модули.
Для установки OSSIM, необходимо открыть ссылку, после чего сразу-же начнётся загрузка последней версии дистрибутива OSSIM.
Установку мы будем проводить на VMware ESXi.

Настройка ESXi

Для начала необходимо сконфигурировать сам ESXi, а именно настроить интерфейс, работающий в «неразборчивом» режиме (Promiscuous mode). Данный режим нам нужен для настройки мониторинга сети. В OSSIM эту роль выполняет Suricata.
Для этого откроем настройки хоста, выберем настройки сети:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 2
Теперь добавляем новую конфигурацию:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 3
Настраиваем всё, как на скриншотах ниже:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 4
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 5
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 6
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 7
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 8
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 9
На этом настройка закончена, теперь добавим виртуальную машину. На скриншотах ниже только те пункты настройки, которые мы меняем.
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 10
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 11
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 12
Многие службы в OSSIM умеют работать в многопоточном режиме, поэтому желательно установить несколько ядер.
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 13
Оперативной памяти, желательно, поставить больше. Минимальный размер, до которого всё работает более-менее стабильно и без подтормаживаний – 3GB.
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 14
1 интерфейс для управления OSSIM, 1 для Network IDS Suricata, один для OpenVAS (не обязательный).
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 15
На этом конфигурация виртуальной машины закончена.

Установка

Включим виртуальную машину и подключим к ней, загруженный нами ранее, установочный образ OSSIM.
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 16
Теперь установим OSSIM. Установка ничем не отличается от установки Debian, только пунктов в установке гораздо меньше.
Настройки языка:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 17
Настройки сети:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 18
Настройка учётной записи:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 19
Настройка времени:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 20
Настройка совсем проста, поэтому для краткости некоторые скриншоты опущены.
После ввода всех настроек начнётся установка.
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 21
На этапе «Запуск cdsetup…» установка может остановиться на некоторое время, так и должно быть, дождитесь окончания установки.
По окончанию появится консоль:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 22
Заходим по ссылке, указанной в консоли и вводим учётные данные:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 23
На этом установка закончена.

Настройка OSSIM

Для настройки OSSIM были сконфигурированы 3 операционные системы: Windows server 2008 R2, Windows 7 SP1, Ubuntu 14.04 LTS, которые мы, непосредственно и будем подключать к мониторингу. Помимо этого, мы настроим беспроводную IDS систему, основанную на Kismet, используя в качестве «сенсора» хост с предустановленной ОС Debian 6.

Мастер настройки

Вводим учётные данные, указанные в предыдущем пункте настройки:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 24
И перед нами открывается окно мастера настройки:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 25
Конфигурируем интерфейсы:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 26
На следующем пункте OSSIM автоматически просканирует сеть и предложит указать тип найденных узлов, в нашем случае удалено всё, что не относится к тестовому стенду:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 27
На следующем этапе можно автоматически установить хостовую систему обнаружения вторжений (OSSEC). Попробуем установить её для Windows Server. Вводим учётные данные и нажимаем «DEPLOY»:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 28
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 29
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 30
В случае успеха:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 31
Производить то же самое для Linux не рекомендую, т.к. в этом случае OSSEC будет работать без агента (Agentless).
На следующем этапе нам предлагают настроить мониторинг логов, этот пункт мы пропускаем и вернёмся к нему позже, в соответствующей главе:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 32
На последнем пункте нам предложат присоедениться к OTX, если есть желание, регистрируемся по ссылке www.alienvault.com/my-account/customer/signup и вводим токен:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 33
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 34
Далее видим всплывающее окно следующего содержания:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 35
Нажимаем Explore Alienvault OSSIM и на этом работа менеджера настройки закончена.

Настройка почтовых уведомлений

В OSSIM есть раздел «Alarm», в котором отображены скоррелированные события безопасности, однако по таким событиям получать уведомления не получится. Зато в системе есть раздел «Tickets», в котором по каждому событию или событиям можно открыть задачу.
«Тикеты» могут создаваться вручную специалистом или автоматически при попадании событий из логов «Security Events (SIEM)» в «Alarms», в случае автоматического открытия «тикета», OSSIM может автоматически отправлять уведомления, чего мы сейчас и настроим.
Настройка почтовых уведомлений проходит в 2 этапа, во первых необходимо настроить postfix, во вторых включить отправку уведомлений.
Открываем SSH и подключаемся к OSSIM:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 36
Выбираем пункт Jailbreak System и попадаем в консоль, вводим:

sed -i -e "s@mailserver_relay=no@mailserver_relay=my.corporate.mail.server@" /etc/ossim/ossim_setup.conf
echo relayhost = my.corporate.mail.server:25 >> /etc/postfix/main.cf
service postfix restart

Примечание: вместо my.corporate.mail.server укажите свой почтовый сервер, при необходимости настройки любых других параметров postfix (авторизвция, защищённое соединение и т.п.) – смотрите документацию по postfix.
Теперь открываем настройки и в разделе администрирования включаем автоматическую отправку уведомлений:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 37
После данной манипуляции, любое скоррелированное событие будет автоматически создавать тикет и уведомлять администратора.

Настройка HIDS

В роли хостовой системы предотвращения вторжений в OSSIM выступает не безызвестный OSSEC, настройку которого мы разберём далее.
Для настройки HIDS переходим в Environment -> Detection -> HIDS -> Agents и видим 2 хоста, первый непосредственно сам AlienVault, второй – Windows Server, который мы установили на пункте «Deploy HIDS» в разделе «Мастера настройки». Заходим в меню агентов HIDS:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 38
Добавим Windows 7 и Ubuntu:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 39

Windows

Для установки HIDS можно использовать режим автоматической установки OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 40 или скачать готовый exe файл OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 41.
Установка в автоматическом режиме не отличается от той, что мы уже делали:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 42
При установке в ручном режиме, с помощью exe файла, OSSEC агент установится в «1 клик», без ввода каких-либо дополнительных параметров:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 43
В случае успеха мы увидим:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 44

Ubuntu

Теперь настроим Ubuntu, подключаемся по SSH и установим OSSEC:

sudo -s
apt-get install curl
curl --header 'Host: www.ossec.net' --header 'User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0' --header 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8' --header 'Accept-Language: en-US,en;q=0.5' --header 'DNT: 1' --header 'Referer: http://www.ossec.net/?page_id=19' --header 'Connection: keep-alive' 'http://www.ossec.net/files/ossec-hids-2.8.tar.gz' -o 'ossec-hids-2.8.1.tar.gz' –L

Примечание: через wget загрузка не работает, на стороне сервера ossec.net проверяется User-Agent.

tar xzf ossec-hids-2.8.1.tar.gz
cd ossec-hids-2.8/
/bin/bash ./install.sh

OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 45

OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 46
Примечание: пункт 3.4, режим активной защиты (IPS вместо IDS) включайте осторожно, в данном случае мы используем только режим детектирования, поэтому оставляет «n» вместо «y».
Теперь получим ключ, для этого возвращаемся обратно в меню агентов HIDS и кликаем на OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 47:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 48
Запустим настройку с помощью утилиты /var/ossec/bin/manage_agents, нажимаем I, вводим ключ и выходим(Q):
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 49
Перезагрузим OSSEC:

service ossec restart

В случае успеха мы увидим «Active» напротив хоста:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 50
Если какой-либо агент не появился, как активный в списке, можно перезагрузить OSSEC, для этого подключаемся по SSH к OSSIM и производим следующие действия:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 51
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 52
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 53
На этом установка HIDS закончена, теперь на закладке Environment -> Detection можно увидеть логи OSSEC:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 54

Настройка WIDS

Установку WIDS мы будем осуществлять следующим образом:

  1. Создадим хост с ОС Debian 6
  2. Подключим к нему и настроим Wi-Fi карту
  3. Установим и настроим kismet
  4. Настроим на OSSIM OpenVPN сервер
  5. Сконфигурируем связь между OSSIM и Debian 6
  6. Настроим отправку и запись логов в rsyslog
  7. Включим плагин kismet
  8. Настроим импорт по крону логов в формате XML из kismet-а
  9. Добавим новый сенсор в OSSIM
  10. Проверим работоспособность решения
Настройка виртуальной машины

Для установки беспроводной IDS системы нам потребуется хост с предустановленным Debian 6.
Создаём новую виртуальную машину на ESXi и добавляем туда USB контроллер и USB Wi-Fi карту:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 55
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 56
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 57
Теперь добавим устройство:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 58
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 59
Сохраняем:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 60
В данном примере используется USB Wi-Fi карта TOTOLink N500UD.

Установка и настройка Debian

Устанавливаем Debian 6. Все настройки на своё усмотрение, установка Debian стандартная, поэтому в этом мануале опущена.
После установки ОС, подключаемся к SSH и установим драйвера сетевой карты:

wget http://totolink.ru/files/soft/N500UD_Linux_V2.6.1.3.zip
apt-get install unzip
unzip N500UD_Linux_V2.6.1.3.zip
apt-get install build-essential 
apt-get install linux-headers-$(uname -r)
make
make install
aptitude install wireless-tools
apt-get install ssh openvpn kismet ntp
reboot

После этого проверяем наличие нового интерфейса в iwconfig:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 61
Настроим отправку логов из Debian в OSSIM:

echo "*.* @10.67.68.1" > /etc/rsyslog.d/wids_alienvault.conf

IP адрес не меняйте, он таким и должен быть. Это IP адрес OpenVPN сервера, который будет впоследствии поднят в OSSIM.
Теперь создадим скрипт /etc/init.d/wids_alienvault.sh следующего содержания:

#!/bin/sh
/usr/bin/kismet_server -l xml -t kismet -f /etc/kismet/kismet.conf 2>&1 | logger -t kismet -p local7.1

Дадим ему права на запуск:

chmod 755 /etc/init.d/wids_alienvault.sh

И впишем его на автозагрузку в /etc/rc.local до exit 0:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 62
Теперь настроим kismet.
В файле /etc/kismet/kismet.conf
Сначала настроим адаптер:

source=rt2500,ra0,ra0-wids

Название чипсета можно посмотреть командой:

lsmod | grep ^usbcore

Настроим время создания XML отчёта:

logexpiry=3600

Настроим имя создаваемых логов, для того, чтобы OSSIM правильно определил, какие файлы нужно импортировать и чистить:

logdefault=10.67.68.10
logtemplate=/var/log/kismet/%n_%D-%i.%l

после перезагрузимся:

reboot
Настройка OpenVPN

Подключаемся к OSSIM по SSH, выбираем пункт «Jailbreak system» и вводим комманду:

alienvault-reconfig --add_vpnnode=WIDS-Sensor

Возвращаемся к Debian и копируем сконфигурированный архив OpenVPN с настройками:

scp root@10.1.193.123:/etc/openvpn/nodes/WIDS-Sensor.tar.gz ~

Применим конфиг:

tar xzf WIDS-Sensor.tar.gz
rm -f WIDS-Sensor.tar.gz
mv * /etc/openvpn/

Проверим OpenVPN:

/etc/init.d/openvpn restart
Ifconfig tun0

OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 63

Настройка Kismet

Переходим обратно в OSSIM.
Настроим rsyslog:

echo if $programname contains 'ismet' then /var/log/kismet.log >> /etc/rsyslog.d/kismet.conf
echo & ~ >> /etc/rsyslog.d/kismet.conf
service rsyslog restart

Изменим путь к файлу, из которого плагин будет забирать логи:

sed –i –e "s@/var/log/syslog@/var/log/kismet.log@" /etc/ossim/agent/plugins/kismet.cfg

Теперь включим плагин, который будет обрабатывать логи kismet, для этого командой exit выходим в меню OSSIM и включаем плагин:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 64
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 65
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 66
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 67
Если всё сделано верно, мы увидим логи в «Analysis -> Security Events (SIEM)»:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 68

Настройка импорта XML логов

Теперь осталось настроить импорт логов формата XML из Debian.
Это необходимо для того, чтобы OSSIM мог получить не только алерты, а все доступные данные о Wi-Fi клиентах и сетях по близости, которые в последствии будут отражены в Environment -> Detection -> Wireless IDS.
Настроим авторизацию SSH без пароля, для того, чтобы скрипт, получающий XML отчёты и чистящий их с сенсора правильно работал.
В OSSIM выполним:

ssh-keygen	
ssh-copy-id root@10.67.68.10

OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 69
Теперь создадим файл /etc/cron.hourly/kismet следующего содержания:

#!/bin/bash
/usr/bin/perl /usr/share/ossim/www/wireless/fetch_kismet.pl

Cкопируем сам скрипт:

cp /usr/share/ossim/www/wireless/kismet_sites.pl /var/ossim/kismet/kismet_sites.pl

И поправим в нём адрес:

echo $sites{'10.67.68.10'}='/var/log/kismet'; >> /var/ossim/kismet/kismet_sites.pl
Настройка сенсора

Теперь перейдём в веб интерфейс:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 70
Добавим новый сенсор:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 71
Статус сенсора будет с красным крестиком, так и должно быть:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 72
Теперь переходим в Environment -> Detection -> Wireless IDS и добавляем расположение и сенсор:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 73
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 74
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 75
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 76
После выполним команду:

/usr/bin/perl /usr/share/ossim/www/wireless/fetch_kismet.pl

И в случае успеха получим:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 77
И после этого действия в пункте Environment -> Detection -> Wireless IDS появятся данные:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 78

Настройка сбора системных логов

Настроим сбор логов с VMware ESXi, Windows сервера и Ubuntu.
Для сбора логов нам необходимо произвести следующие действия:

  1. Настроить отправку логов с хостов в OSSIM
  2. Посмотреть, из какого файла плагин OSSIM, обрабатывающий события, считывает логи
  3. Настроить запись логов с хостов в отдельные файлы, через конфигурацию rsyslog
  4. Включить плагин
  5. Проверить работоспособность
VMware

Сначала настроим отправку логов в ESXi, для этого открываем расширенные настройки:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 79
И включаем отправку логов по UDP:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 80
После посмотрим, откуда плагин ESXi будет забирать логи

cat /etc/ossim/agent/plugins/vmware-esxi.cfg | grep location

OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 81
Настроим rsyslog:

echo if $fromhost-ip == '10.1.193.76' then -/var/log/vmware-esxi.log >> /etc/rsyslog.d/esxi.conf
service rsyslog restart

Теперь включим плагин, подключаемся по SSH к OSSIM:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 82
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 83
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 84
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 85
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 86
Открываем Analysis -> Security Events (SIEM) и проверяем:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 87

Windows Server

Для отправки логов с Windows, нам потребуется программа Snare, которая позволяет отправлять системные логи в формате syslog-а.
Скачиваем и запускаем:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 88
Включаем web доступ:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 89
Завершаем установку:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 90
Открываем в браузере адрес: localhost:6161
Вводим логин snare, пароль тот, который указывали во время установки, переходим в «Network configuration» и указываем:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 91
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 92
После сохраняем настройки, открываем консоль и перезагружаем snare:

net stop snare
net start snare

OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 93
Проверяем, откуда плагин получает логи:

cat /etc/ossim/agent/plugins/snare.cfg | grep location

OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 94
Теперь настроим rsyslog. В настройках rsyslog уже есть предустановленный конфиг snare(zzzzz_snare.conf), который мы сейчас немного исправим, руководствуясь форумом OSSIM, заменив всего 1 параметр:

sed -i -e "s@msg@rawmsg@" /etc/rsyslog.d/zzzzz_snare.conf
service rsyslog restart

теперь настроим плагин, по аналогии с настройкой VMware, за исключением выбора самого плагина:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 95
После перезапуска проверим в Analysis -> Security Events (SIEM):
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 96

Ubuntu

Для настройки Ubuntu мы будем использовать rsyslog. Подключаемся к Ubuntu по SSH и настраиваем отправку логов в OSSIM:

echo *.* @10.1.193.123 > /etc/rsyslog.d/alienvault.conf
service rsyslog restart

Проверяем, откуда плагин берёт логи:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 97

cat /etc/ossim/agent/plugins/syslog.cfg

Меняем путь к файлу, откуда плагин OSSIM будет получать логи:

sed –i –e "s@/var/log/syslog@/var/log/ubuntusyslog.log@" /etc/ossim/agent/plugins/syslog.cfg

Теперь настроим rsyslog в OSSIM:

echo if $fromhost-ip == '10.1.193.77' then -/var/log/ubuntusyslog.log >> /etc/rsyslog.d/ubuntu.conf
service rsyslog restart

Включаем плагин, по аналогии с предыдущими пунктами, только в списке плагинов выбираем нужный:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 98
Применяем и проверяем:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 99

Примечание

Если после выбора пункта «Apply changes» вы не увидели окно «AlienVault Reconfig»
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 100
Перезагрузите OSSIM (в последней версии 4.15.2 периодически появляется такой баг)

Интеграция с ArcSight

Теперь попробуем настроить интеграцию OSSIM с SIEM системой ArcSight.
Подобная связка может сэкономить десятки миллионов на лицензиях ArcSight, если кроме основного офиса у компании есть десятки небольших филиалов, которые необходимо защищать и мониторить.
Цель данного раздела – отправлять в ArcSight уже скоррелированные OSSIM-ом логи, а не коррелировать их на стороне ArcSight, увеличивая нагрузку.
Для этого необходимо установить коннектор (тип коннектора Syslog), добавить следующий FlexAgent:

# FlexAgent Regex Configuration File
do.unparsed.events=true
regex=\D+ AV-FREE-FEED (\D+) DST_IP -- SRC_IP: (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) , DST_IP: (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}), Alarm: directive_event: AV-FREE-FEED \D+ (\d) (.*)
token.count=5
token[0].name=Event_Name
token[0].type=String
token[1].name=SRC_IP
token[1].type=IPAddress
token[2].name=DST_IP
token[2].type=IPAddress
token[3].name=Dev_Severity
token[3].type=String
token[4].name=Event_Message
token[4].type=String
event.name=Event_Name
event.sourceAddress=SRC_IP
event.destinationAddress=DST_IP
event.deviceSeverity=Dev_Severity
event.message=Event_Message
event.deviceVendor=__getVendor(AlienVault)
event.deviceProduct=__stringConstant(OSSIM)

В папку коннектора и далее в «useragentflexagentsyslog». Название файла сделать «ossim.sdkrfilereader.properties»
В файле agent.properties изменить строчку agents[0].customsubagentlist, дописав туда «ossim», пример:
agents[0].customsubagentlist= ossim|ciscopix_syslog|netscreen_syslog|…
и строчку agents[0].usecustomsubagentlist поставить true.
Далее зайти в настройки OSSIM:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 101
И включить отправку alarm в syslog:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 102
После настроить отправку логов в rsyslog OSSIM.
В файле /etc/rsyslog.conf добавить строчку:
*.* ip.вашего.Flex.агента
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 103
После этого в коннекторе ArcSight появится уже распарсенные, скоррелированные логи:
OSSIM — разворачиваем лучшую комплексную open source систему управления безопасностью - 104

Использованные источники

Автор: Libert

Источник

Поделиться новостью

* - обязательные к заполнению поля