Перевод статьи подготовлен специально для студентов курса «Безопасность Linux».
![](https://habrastorage.org/webt/7v/gr/ra/7vgrratzc-rxzhdaukxoum8rbtw.png)
OSSIM (Open Source Security Information Management) — это проект с открытым исходным кодом от Alienvault, который обеспечивает функционал SIEM (Security information and event management). Он обеспечивает следующие функции SIEM, требующиеся специалистам по безопасности.
OSSIM — это унифицированная платформа, предоставляющая фундаментальные средства безопасности. В платформу OSSIM встроены многие признанные программные обеспечения с открытым исходным кодом. Она продолжает быть самым быстрым способом сделать первые шаги к видимости единой безопасности.
Платформа OSSIM поддерживает следующие программы/плагины с открытым исходным кодом:
Загрузите ISO-образ с AlienVault и установите его в виртуальной машине. В этом руководстве вместо физического сервера мы установим OSSIM на виртуальную машину, которая имеет следующие спецификации:
Она имеет два интерфейса, один для управления сервером и второй для сбора логов и мониторинга сетевых устройств. Детали виртуальной машины приведены ниже.
Процессор: 2 VCPU, ОЗУ: 2 ГБ, Размер жесткого диска: 8 ГБ, IP-адрес управления: 192.168.1.150/24 и сеть устройств: 192.168.0.0/24
Когда виртуальная машина OSSIM загружается с ISO-образом, в мастере установки отображаются следующие два параметра.
![](https://habrastorage.org/webt/5i/xk/s5/5ixks53nfjkrhwkvjsygzn-rss0.png)
На рисунке выше выделен вариант, который будет устанавливать OSSIM на этой виртуальной машине. Нажмите ввод, чтобы начать процесс установки. Выберите язык, местоположение и настройки клавиатуры в следующих шагах.
На этом этапе настройте сеть виртуальной машины OSSIM. Для управления мы используем eth0, а остальная сеть подключена к eth1. Конфигурация сети для eth0 показана ниже.
![](https://habrastorage.org/webt/k2/h4/kf/k2h4kffdgykol-panmrezku3c2e.png)
![](https://habrastorage.org/webt/47/nm/ks/47nmksjqpfv5eovzmwqd-xnhbek.png)
После настройки сети в следующих окнах запрашивается пароль root-пользователя, который может получить доступ к CLI сервера OSSIM. Пароль root-пользователя должен быть надежным.
![](https://habrastorage.org/webt/oa/po/kv/oapokvtqflmr42fcoreysarri7c.png)
Информация о часовом поясе важна для системы логов. Она приведена ниже.
![](https://habrastorage.org/webt/ye/hn/2x/yehn2xc1pn2am8jsweokz8df9z8.png)
После настройки часового пояса мастер автоматически выполнит шаг раздела пространства и начнет установку базовой системы. Этот шаг займет примерно 15-20 минут.
![](https://habrastorage.org/webt/x6/dl/01/x6dl016wcqwmzs44kovtvor48qo.png)
Завершающий этап установки показан на следующем рисунке.
![](https://habrastorage.org/webt/jv/8g/cw/jv8gcwzcq22gfcidhbjhrixf4x0.png)
После завершения установки AlienVault OSSIM появится следующая подсказка Windows. Мы можем получить доступ к веб-интерфейсу, используя следующий URL:
![](https://habrastorage.org/webt/2d/mx/eu/2dmxeu6oiwi4luq599irks-j2to.png)
Авторизуемся с логином root и паролем test в CLI сервера OSSIM.
![](https://habrastorage.org/webt/_2/sq/9y/_2sq9yj8v4rkumbubgbefbxck6q.png)
Последний браузер Mozilla Firefox не открывает ссылку, поэтому используйте браузер Chrome или IE для доступа к веб-интерфейсу. Chrome и IE предложат следующие окна, в которых говорится, что сертификат не является доверенным, поскольку OSSIM использует самозаверяющий сертификат.
![](https://habrastorage.org/webt/vr/ah/gk/vrahgkw9mnffmqjr1pqbaoohgnk.png)
После принятия вышеуказанного исключения, для администратора сервера OSSIM требуется следующая информация. Заполните необходимые данные, которые запрашиваются на следующем рисунке.
![](https://habrastorage.org/webt/vi/2v/dz/vi2vdzmskwru-cums7l--gmelxi.png)
Следующие окна появятся после создания учетной записи администратора. Имя пользователя — admin, а пароль — test@123.
![](https://habrastorage.org/webt/xl/hv/vc/xlhvvc3ze4hq8319e6omokuldrs.png)
После успешного входа в веб-интерфейс появится следующий мастер для дальнейшей настройки сервера OSSIM.
![](https://habrastorage.org/webt/5k/di/cr/5kdicrhwllifabdvkgpol80guba.png)
Он показывает следующие три варианта:
Для настройки сервера OSSIM нажмите на кнопку START на рисунке выше.
После нажатия на 1-й вариант, другое окно запросит конфигурацию сети, которая показана на рисунке ниже. Мы настроили eth1 для сборщика логов и интерфейса мониторинга сервера OSSIM.
![](https://habrastorage.org/webt/by/y4/dr/byy4drodrxpwwrwdykfzfpw-0tu.png)
На втором этапе OSSIM выполнит автоматическое обнаружение сетевых устройств. Выберите опцию Обнаружение устройств (2), и следующие окна запросят конфигурацию. Оно поддерживает автоматическое и ручное обнаружение устройств.
Типы хостов на сервере OSSIM:
![](https://habrastorage.org/webt/e4/3j/dp/e43jdp5nhyq5k1ypudmroquo3qq.png)
После настройки сети и обнаружения устройств следующим шагом является развертывание HIDS на устройствах Windows/Linux для обеспечения целостности файлов, мониторинга, обнаружения руткитов и сбора логов событий. Введите имя пользователя/пароль устройства для развертывания HIDS.
![](https://habrastorage.org/webt/cm/0o/x1/cm0ox1glke3cs9sjzlvrryzzn-e.png)
Выберите нужный хост из списка и нажмите кнопку Deploy для развертывания HIDS. Далее нажмите кнопку «Continue», чтобы начать процесс развертывания, который показан на рисунке. Этот процесс займет несколько минут для развертывания HIDS на выбранном хосте.
![](https://habrastorage.org/webt/tr/9f/4_/tr9f4_zvvkgpa0tpei7e8p_4low.png)
![](https://habrastorage.org/webt/4k/qa/6k/4kqa6klz7ojo2sswpnxhison1cs.png)
На следующем рисунке показана конфигурация обнаруженного хоста для управления различными логами.
![](https://habrastorage.org/webt/ju/6u/oc/ju6uocyvfsnrsybmkg_r22ff8k0.png)
Последний вариант мастера настройки — присоединиться к OTX (программа обмена угрозами AlienVault). Мы не собираемся подписываться на этот вариант. Завершите этап настройки, нажав кнопку «Finish».
Основная панель управления сервером OSSIM показана ниже.
![](https://habrastorage.org/webt/su/v3/oy/suv3oyfsmo4lfumrgmpnfybgkt8.png)
Веб-интерфейс сервера OSSIM состоит из следующих опций в основном графическом интерфейсе.
Он показывает полное представление обо всех компонентах сервера OSSIM, таких как серьезность угрозы, уязвимости в сетевом узле, состояние развертывания, карты рисков и статистика OTX. Подменю дашборда показаны на следующем рисунке
![](https://habrastorage.org/webt/rm/by/_x/rmby_xru3vd8fflmwuwdcarexeq.png)
Анализ является очень важной составляющей любого устройства SIEM. Сервер OSSIM проанализирует хосты на основе их логов. Это меню показывает сигналы тревоги, SIEM (события безопасности), тикеты и необработанные логи. Меню анализа далее разделено на следующие подменю.
![](https://habrastorage.org/webt/nk/vg/13/nkvg13kopppvooj_ktvtneepeu0.png)
В этом меню сервера OSSIM настройки связаны с устройствами организации. Оно показывает устройства, группу и сеть, уязвимости, сетевой поток и настройки обнаружения. Подменю для всех этих настроек показаны на рисунке ниже.
![](https://habrastorage.org/webt/bm/_x/9v/bm_x9vj_pjhasyneb_yetviltuy.png)
Отчетность является важным компонентом любого сервера регистрации. Сервер OSSIM также генерирует отчеты, которые очень полезны для детального исследования любого конкретного хоста.
![](https://habrastorage.org/webt/ri/xq/si/rixqsi0sw3cnvjqukmtxfi_7zpm.png)
В конфигурации meHow для установки и настройки AlienVault SIEM (OSSIM) пользователь может изменить настройку сервера OSSIM, например, изменить IP-адрес интерфейса управления, добавить дополнительный хост для мониторинга и логирования, а также добавить/удалить различные датчики или плагины. Подменю для всех сервисов показано ниже.
![](https://habrastorage.org/webt/hj/p0/gs/hjp0gsqlucthyzedhfbw4bcrwbw.png)
В этой статье мы объясняем процесс установки и настройки программного обеспечения SIEM с открытым исходным кодом, поддерживаемого AlienVault. В нашей следующей статье мы сосредоточимся на деталях всех компонентов OSSIM.
Пишите в комментарии был ли перевод полезным для вас. А всех желающих ждем на открытом вебинаре, который пройдет уже 18 декабря.
![](https://habrastorage.org/webt/7v/gr/ra/7vgrratzc-rxzhdaukxoum8rbtw.png)
OSSIM (Open Source Security Information Management) — это проект с открытым исходным кодом от Alienvault, который обеспечивает функционал SIEM (Security information and event management). Он обеспечивает следующие функции SIEM, требующиеся специалистам по безопасности.
- Сбор событий
- Нормализация
- Корреляция
OSSIM — это унифицированная платформа, предоставляющая фундаментальные средства безопасности. В платформу OSSIM встроены многие признанные программные обеспечения с открытым исходным кодом. Она продолжает быть самым быстрым способом сделать первые шаги к видимости единой безопасности.
Платформа OSSIM поддерживает следующие программы/плагины с открытым исходным кодом:
- Apache
- IIS
- Syslog
- Ossec
- Snare
- Snort
- OpenVAS
- Nessus
- Nagios
- Ntop
- Nmap
Установка OSSIM
Загрузите ISO-образ с AlienVault и установите его в виртуальной машине. В этом руководстве вместо физического сервера мы установим OSSIM на виртуальную машину, которая имеет следующие спецификации:
Она имеет два интерфейса, один для управления сервером и второй для сбора логов и мониторинга сетевых устройств. Детали виртуальной машины приведены ниже.
Процессор: 2 VCPU, ОЗУ: 2 ГБ, Размер жесткого диска: 8 ГБ, IP-адрес управления: 192.168.1.150/24 и сеть устройств: 192.168.0.0/24
Когда виртуальная машина OSSIM загружается с ISO-образом, в мастере установки отображаются следующие два параметра.
![](https://habrastorage.org/webt/5i/xk/s5/5ixks53nfjkrhwkvjsygzn-rss0.png)
На рисунке выше выделен вариант, который будет устанавливать OSSIM на этой виртуальной машине. Нажмите ввод, чтобы начать процесс установки. Выберите язык, местоположение и настройки клавиатуры в следующих шагах.
Конфигурация сети
На этом этапе настройте сеть виртуальной машины OSSIM. Для управления мы используем eth0, а остальная сеть подключена к eth1. Конфигурация сети для eth0 показана ниже.
![](https://habrastorage.org/webt/k2/h4/kf/k2h4kffdgykol-panmrezku3c2e.png)
![](https://habrastorage.org/webt/47/nm/ks/47nmksjqpfv5eovzmwqd-xnhbek.png)
Настройка root-пользователя
После настройки сети в следующих окнах запрашивается пароль root-пользователя, который может получить доступ к CLI сервера OSSIM. Пароль root-пользователя должен быть надежным.
![](https://habrastorage.org/webt/oa/po/kv/oapokvtqflmr42fcoreysarri7c.png)
Настройка часового пояса
Информация о часовом поясе важна для системы логов. Она приведена ниже.
![](https://habrastorage.org/webt/ye/hn/2x/yehn2xc1pn2am8jsweokz8df9z8.png)
После настройки часового пояса мастер автоматически выполнит шаг раздела пространства и начнет установку базовой системы. Этот шаг займет примерно 15-20 минут.
![](https://habrastorage.org/webt/x6/dl/01/x6dl016wcqwmzs44kovtvor48qo.png)
Завершающий этап установки показан на следующем рисунке.
![](https://habrastorage.org/webt/jv/8g/cw/jv8gcwzcq22gfcidhbjhrixf4x0.png)
После завершения установки AlienVault OSSIM появится следующая подсказка Windows. Мы можем получить доступ к веб-интерфейсу, используя следующий URL:
https://192.168.1.150/
![](https://habrastorage.org/webt/2d/mx/eu/2dmxeu6oiwi4luq599irks-j2to.png)
Авторизуемся с логином root и паролем test в CLI сервера OSSIM.
![](https://habrastorage.org/webt/_2/sq/9y/_2sq9yj8v4rkumbubgbefbxck6q.png)
Последний браузер Mozilla Firefox не открывает ссылку, поэтому используйте браузер Chrome или IE для доступа к веб-интерфейсу. Chrome и IE предложат следующие окна, в которых говорится, что сертификат не является доверенным, поскольку OSSIM использует самозаверяющий сертификат.
![](https://habrastorage.org/webt/vr/ah/gk/vrahgkw9mnffmqjr1pqbaoohgnk.png)
После принятия вышеуказанного исключения, для администратора сервера OSSIM требуется следующая информация. Заполните необходимые данные, которые запрашиваются на следующем рисунке.
![](https://habrastorage.org/webt/vi/2v/dz/vi2vdzmskwru-cums7l--gmelxi.png)
Следующие окна появятся после создания учетной записи администратора. Имя пользователя — admin, а пароль — test@123.
![](https://habrastorage.org/webt/xl/hv/vc/xlhvvc3ze4hq8319e6omokuldrs.png)
После успешного входа в веб-интерфейс появится следующий мастер для дальнейшей настройки сервера OSSIM.
![](https://habrastorage.org/webt/5k/di/cr/5kdicrhwllifabdvkgpol80guba.png)
Он показывает следующие три варианта:
- Monitor Network — Мониторинг сети (настройка сети, мониторинг которой осуществляет сервер OSSIM)
- Assets Discovery — Обнаружение устройств (Автоматическое обнаружение сетевых устройств в организации)
- Collecting logs and monitoring of network nodes — Сбор логов и мониторинг сетевых узлов
Для настройки сервера OSSIM нажмите на кнопку START на рисунке выше.
После нажатия на 1-й вариант, другое окно запросит конфигурацию сети, которая показана на рисунке ниже. Мы настроили eth1 для сборщика логов и интерфейса мониторинга сервера OSSIM.
![](https://habrastorage.org/webt/by/y4/dr/byy4drodrxpwwrwdykfzfpw-0tu.png)
На втором этапе OSSIM выполнит автоматическое обнаружение сетевых устройств. Выберите опцию Обнаружение устройств (2), и следующие окна запросят конфигурацию. Оно поддерживает автоматическое и ручное обнаружение устройств.
Типы хостов на сервере OSSIM:
- Windows
- Linux
- Сетевое устройство
![](https://habrastorage.org/webt/e4/3j/dp/e43jdp5nhyq5k1ypudmroquo3qq.png)
После настройки сети и обнаружения устройств следующим шагом является развертывание HIDS на устройствах Windows/Linux для обеспечения целостности файлов, мониторинга, обнаружения руткитов и сбора логов событий. Введите имя пользователя/пароль устройства для развертывания HIDS.
![](https://habrastorage.org/webt/cm/0o/x1/cm0ox1glke3cs9sjzlvrryzzn-e.png)
Выберите нужный хост из списка и нажмите кнопку Deploy для развертывания HIDS. Далее нажмите кнопку «Continue», чтобы начать процесс развертывания, который показан на рисунке. Этот процесс займет несколько минут для развертывания HIDS на выбранном хосте.
![](https://habrastorage.org/webt/tr/9f/4_/tr9f4_zvvkgpa0tpei7e8p_4low.png)
![](https://habrastorage.org/webt/4k/qa/6k/4kqa6klz7ojo2sswpnxhison1cs.png)
Управление логами
На следующем рисунке показана конфигурация обнаруженного хоста для управления различными логами.
![](https://habrastorage.org/webt/ju/6u/oc/ju6uocyvfsnrsybmkg_r22ff8k0.png)
Последний вариант мастера настройки — присоединиться к OTX (программа обмена угрозами AlienVault). Мы не собираемся подписываться на этот вариант. Завершите этап настройки, нажав кнопку «Finish».
Основная панель управления сервером OSSIM показана ниже.
![](https://habrastorage.org/webt/su/v3/oy/suv3oyfsmo4lfumrgmpnfybgkt8.png)
Веб интерфейс
Веб-интерфейс сервера OSSIM состоит из следующих опций в основном графическом интерфейсе.
- Дашборд
- Анализ
- Среды
- Отчеты
- Конфигурация
Дашборд
Он показывает полное представление обо всех компонентах сервера OSSIM, таких как серьезность угрозы, уязвимости в сетевом узле, состояние развертывания, карты рисков и статистика OTX. Подменю дашборда показаны на следующем рисунке
![](https://habrastorage.org/webt/rm/by/_x/rmby_xru3vd8fflmwuwdcarexeq.png)
Анализ
Анализ является очень важной составляющей любого устройства SIEM. Сервер OSSIM проанализирует хосты на основе их логов. Это меню показывает сигналы тревоги, SIEM (события безопасности), тикеты и необработанные логи. Меню анализа далее разделено на следующие подменю.
![](https://habrastorage.org/webt/nk/vg/13/nkvg13kopppvooj_ktvtneepeu0.png)
Среда
В этом меню сервера OSSIM настройки связаны с устройствами организации. Оно показывает устройства, группу и сеть, уязвимости, сетевой поток и настройки обнаружения. Подменю для всех этих настроек показаны на рисунке ниже.
![](https://habrastorage.org/webt/bm/_x/9v/bm_x9vj_pjhasyneb_yetviltuy.png)
Отчеты
Отчетность является важным компонентом любого сервера регистрации. Сервер OSSIM также генерирует отчеты, которые очень полезны для детального исследования любого конкретного хоста.
![](https://habrastorage.org/webt/ri/xq/si/rixqsi0sw3cnvjqukmtxfi_7zpm.png)
Конфигурация
В конфигурации meHow для установки и настройки AlienVault SIEM (OSSIM) пользователь может изменить настройку сервера OSSIM, например, изменить IP-адрес интерфейса управления, добавить дополнительный хост для мониторинга и логирования, а также добавить/удалить различные датчики или плагины. Подменю для всех сервисов показано ниже.
![](https://habrastorage.org/webt/hj/p0/gs/hjp0gsqlucthyzedhfbw4bcrwbw.png)
В этой статье мы объясняем процесс установки и настройки программного обеспечения SIEM с открытым исходным кодом, поддерживаемого AlienVault. В нашей следующей статье мы сосредоточимся на деталях всех компонентов OSSIM.
Пишите в комментарии был ли перевод полезным для вас. А всех желающих ждем на открытом вебинаре, который пройдет уже 18 декабря.
zenhower
А кто может подсказать про продукт в целом?
Что там с лицензиями у AlienVault? В компании бесплатно использовать можно? Подписки на базы какие есть? Покупка AT&T что-то привнесла в продукт?