OSSIM — развертывания интегрированных с открытым исходным кодом система управления безопасностью

OSSIM — развертывания интегрированных с открытым исходным кодом система управления безопасностью

1429

OSSIM «из коробки» включает в себя такие многофункциональные способности как: OSSIM (с открытым начальным кодом сохранности инфы Управления) система управления , контроля и информационной сохранности.

Сбор, анализ и корреляция событий — сим
Хост-система предотвращения вторжений (для себя) — OSSEC
Сетевая система предотвращения вторжений (НДИ) — Suricata
Беспроводная система предотвращения вторжений (wids, представленным) — Кисмет
Монитор сетевых Хостов для nagios
Анализ сетевых аномалий — P0f, колодки, FProbe, Arpwatch и др.
Сканер уязвимостей — OpenVAS
Массивная система для обмена информацией о опасностях меж OSSIM юзеров — OTX
Наиболее чем 200 плагинов для обработки и корреляции логов от разных наружных устройств и услуг
И это не все, что может сделать OSSIM, установка которой не займет наиболее 15 минут, что Вы сможете узреть сами!
Предисловие
В данной статье мы сосредоточимся в первую очередь на установку, первоначальную настройку и конфигурацию OSSIM, всю информацию о способности и функциональность могут быть арендованы с официального веб-сайта либо поглядите это видео:

Стоит отметить, AlienVault включает 2 продукта, бесплатная OSSIM и наиболее продвинутая версия — UСМ, различия можно поглядеть тут. В качестве бонуса, в крайней главе статьи выложили информацию о интеграции с OSSIM СИЕМ помощью arcsight системы.
Оглавление
Установка OSSIM

Настройка Esxi Либо
Установка
Настройка OSSIM
Мастер опции
Чтоб настроить уведомления по электронной почте
Настройка устройств HID

Окна
Убунту

Настройке wids, представленным

Настройка виртуальной машинки
Установить и настроить в Debian
Настройка Openvpn В
Настройка Кисмет
Настройка импорта XML логи
Регулировка датчика

Установка сбора системных журналов

Компания VMware
Сервера Windows
Убунту
Примечание

Интеграция с помощью arcsight
Использованные источники
Для установки OSSIM, вы должны открыть ссылку, а потом немедля начать скачка крайняя версия OSSIM распределения. Установка OSSIM
Установка системы с открытым начальным кодом сим через готовый установочный образ содержит операционную систему Debian и все нужные предустановленные составляющие и модули. Установка выполняется на VMware esxi либо.
В этом режиме нам необходимо настроить сеть мониторинга. В OSSIM выполняет эту роль Suricata. Настройка Esxi Либо
Для начала нам необходимо настроить esxi либо себя, а конкретно для опции интерфейса, работающего в неразборчивый режим (promiscuous режим).
Чтоб сделать это, откройте опции хоста, выбрать конфигурацию сети:

Сейчас добавьте новейшую конфигурацию:

Таможня все как на скриншотах ниже:

На этом настройка закончена, сейчас нужно добавить в виртуальную машинку. На скриншотах ниже, лишь те пункты опций, которые мы меняем.

Почти все сервисы в OSSIM умеет работать в многопоточном режиме, потому лучше установить несколько ядер.

ОЗУ лучше ставить больше. Малый размер, до которого все работает наиболее либо наименее стабильно и без подтормаживаний — 3Гб.

1 интерфейс для управления OSSIM, 1 для сети Suricata идентификаторов, по одному для OpenVAS (не непременно).

На этом конфигурация виртуальной машинки закончена.
Установка
Включите виртуальную машинку и подключить к ней, загружено ранее OSSIM установки изображения.

Установка не различается от установки Debian, лишь моменты установки еще меньше. Сейчас установка OSSIM.
Языковые опции:

Сетевые опции:

Настройка учетной записи:

Установка времени:

Опосля ввода всех опций, опосля чего же начнется установка. Установка достаточно просто, потому, для краткости, опущены некие скриншоты.

На шаге «пуска cdsetup…» установка может тормознуть в течение некого времени, и должен дождаться завершения установки.
На конце консоли возникает:

Пройдите по ссылке в консоль и введите учетные данные:

Опосля этого установка завершится.
Не считая того, мы настроим беспроводная IDS система, основанная на Кисмет, используя в качестве «датчика» поджать с хост ОС Debian 6. Настройка OSSIM
Чтоб настроить OSSIM были настроены 3 операционные системы: Windows сервер 2008 R2, Windows 7 с пакетом обновления SP1, Ubuntu 14.04 результатов, который мы, конкретно, и будет подключен к монитору.
Мастер опции
Введите учетные данные, указанные в прошлом пт характеристики:

И перед нами раскрывается окно профессионалы:

Настраиваемые интерфейсы:

В последующем параграфе OSSIM будет автоматом исследовать сеть и попросит указать Тип отысканных узлов, в нашем случае, удалено все, что не относится к испытательным щитом:

Введите учетные данные и нажмите на клавишу «развернуть»: Последующий шаг дозволяет Для вас автоматом установить хост-систем обнаружения вторжений OSSEC). Попытаемся установить его на Windows сервере.

В случае фуррора:

Чтоб произвести то же самое для Linux не рекомендуется, так как в этом случае, OSSEC будет работать без агента (агента).
На последующем шаге, мы предлагаем смотреть за журнальчики, что этот пункт мы пропускаем и возвратиться к нему позднее, в соответственной главе:

На крайнем пт, мы предлагаем присоединиться к OTX, раз вы пожелаете, зарегистрироваться по ссылке www.alienvault.com/my-account/customer/signup и ввести символ:

Дальше мы лицезреем всплывающее окно со последующим содержимым:

Нажмите клавишу просмотр Alienvault OSSIM и это-работа менеджера опций.
Чтоб настроить уведомления по электронной почте
В OSSIM есть раздел с надписью «тревога», которая показывает коррелирует действия сохранности, но такие действия, чтоб получать уведомления работать не будут. Но в системе есть раздел «авиабилеты», в которой каждое событие либо действия, которые вы сможете открыть задачку.
«Авиабилеты» могут быть сделаны вручную профессионалом либо автоматом, раз вы получаете действия из журналов событий сохранности (siem) на» в «волнения» в случае автоматического открытия «билет», OSSIM может автоматом отправлять уведомления о том, что мы на данный момент и отрегулировать.
Настройка уведомлений по электронной почте проходит в 2 шага, поначалу для вас необходимо настроить постфикс, а во-вторых, чтоб включить отправку уведомлений.
Открыть SSH и подключиться к OSSIM:

Выберите Джейлбрейк системы и попадаем в консоль, введите:
сепг-я-е «s@mailserver_relay=no@mailserver_relay=my.corporate.mail.server@» в /etc/ossim/ossim_setup.конф
Эхо relayhost = мой.корпоратив.почта.сервер:25 > > файл /etc/postfix по/главные.МВ
сервис перезапустить постфикс
Примечание: заместо моего.корпоратив.почта.сервера введите собственный почтовый сервер, при необходимости, настроить остальные характеристики постфикса (autorizatie, надежности соединения и др.) — смотрите в документации на постфикс.
Сейчас откройте опции и в разделе администрирования включают автоматическую отправку уведомлений:

Опосля данной манипуляции, хоть какое связанное событие будет автоматом сделайте тикет и сообщите админу.
Настройка устройств HID
В роли хост-системы предотвращения вторжений OSSIM стоит не безызвестны OSSEC, настройку которого мы разглядим позже.
Заходим в меню устройств HID агентов: Чтоб настроить HID устройств перейдите в меню Среда -> Обнаружение -> HID устройств -> агенты и вижу 2 владельца самой первой AlienVault, 2-ой Windows сервера, который мы установили на «развернуть устройств HID» в окне «профессионалы установки».

Добавить Windows 7 и Ubuntu:

Окна
Для установки устройств HID, вы сможете применять режим автоматической установки либо просто скачайте exe-файл .
Установка происходит в автоматическом режиме не различается от того, что мы сделали:

При установке в ручном режиме, используя файл exe, OSSEC агент установлен в 1 клик, без ввода каких-или доп опций:

В случае фуррора, мы увидим:

Убунту
Сейчас настроить Ubuntu может подключиться через SSH и установить OSSEC:
судо-ы
АПТ-получить установить Curl
локон —заголовка ‘host: www.ossec.netПолностьюЗаголовок агента юзера: браузер Mozilla/5.0 (X11 с; с Ubuntu; Linux для архитектуры x86_64; RV для:31.0) движок Gecko/20100101 Firefox вПолностьюЗаголовок принимаем: текст/HTML,применение/с XHTML+XML,то приложение/XML;Q к=0.9,*/*;Q вПолностьюЗаголовок согласиться-Язык: EN-США,АН;в. QПолностьюЗаголовок ДНТПолностьюЗаголовок Реферер: http://www.ossec.net/?page_id=19′ —Заголовок «связь: держите-живой’ ‘http://www.ossec.net/files/ossec-hids-2.8.tar.gz’ -о ‘ossec-hids-2.8.1.tar.gz’ -Л
Примечание: с помощью wget скачать не работает на стороне сервера ossec.net проверенный Юзер-Агент.
смолы xzf ossec-hids-2.8.1.tar.gz
компакт ossec-устройств HID-2.8/
/бин/баш ./install.sh

Примечание: в пт 3.4, в режиме активной защиты (ИПС заместо ИДС) включают осторожностью, в данном случае мы используем лишь в режиме обнаружения, так что оставьте «N» заместо «Y» (да).
Сейчас достать ключ для обратно в меню устройств HID агенты и нажмите на :

Запустите програмку установки с помощью файла /var/ossec/bin и/manage_agents, надавить I, ввести ключ и выход(в):

Перезагрузка OSSEC:
сервис ossec перезагрузка

В случае фуррора, мы увидим «Активен» рядом с владельцем:

Раз какой-или агент не отображается как активный в перечне, вы сможете перезапустить OSSEC, для этого подключитесь через SSH к OSSIM и произведено последующее:

По установке HID устройств делается на данный момент, в закладке Environment -> Обнаружение вы сможете узреть OSSEC журнальчики:

Настройке wids, представленным
Установка wids, представленным, мы будем осуществлять последующим образом:
Сделать хост ОС Debian 6
Подключение и настройка Wi-Fi карты
Установить и настроить кисмет
Будет настроен на openvpn сервер OSSIM
Мы собираемся настроить соединение меж OSSIM и Debian 6
Настроить отправку и писать логи на rsyslog
Включить плагин кисмет
Настроить импорт по крону логи в формате XML от кисмет-и
Добавить новейший датчик в OSSIM
Проверим функциональность решения

Настройка виртуальной машинки
В установке беспроводная IDS системы, нам пригодится хост с предварительно установлен Debian 6. Сделайте новейшую виртуальную машинку на esxi и добавить USB-контроллер и USB есть Wi-Fi карты:

Сейчас добавить устройство:

Сохранить:

В этом примере употребляется USB есть Wi-Fi карты TOTOLink N500UD.
Установить и настроить в Debian
Установлен Debian 6. Все опции по собственному усмотрению, в обычной установке Debian, потому последующая аннотация пропускается.
Опосля установки ОС, подключиться к SSH и установить драйвер сетевой карты:
через wget http://totolink.ru/files/soft/N500UD_Linux_V2.6.1.3.zip
apt-получить установку распаковать
распаковать N500UD_Linux_V2.6.1.3.zip
apt-получить установку сборки-нужные
АПТ-получить установить Linux-заголовков-$(команде uname-р)
сделать
сделать установить
возможности установки беспроводной-инструменты
apt-получить установку SSH openvpn в НТП кисмет
перезагрузка

Опосля этого проверьте наличие новейшего интерфейса в отдало:

Настроить отправку логов с Debian в OSSIM:
Сейчас сделаем скрипт /etc/init.d/wids_alienvault.sh читайте: Эхо «*.* @10.67.68.1» > в /etc/rsyslog.д/wids_alienvault.конф

IP-адресок не изменяется, означает он должен быть. Это IP-адресок сервера openvpn, который потом будет поднят в OSSIM.
#!/Бен/ш
каталог /usr/Бен/kismet_server-л XML с т кисмет-ф /и т. д./кисмет/кисмет.конф 2>&1 | logger-в т кисмет-р local7.1

Отдать ему права на выполнение:
команду chmod 755 /etc/init.d/wids_alienvault.sh

И вписать его пуск в /etc/файл RC.местные до строчки Exit 0:

д./кисмет/кисмет.конф
Поначалу настройте адаптер: В файле /и т. Сейчас настроить кисмет.
источник=rt2500,ra0,ra0-wids, представленным

Заглавие чипсета можно поглядеть с помощью команды:
lsmod распечатывает | команда grep ^usbcore

Поменяйте время сотворения отчетов в формате XML:
logexpiry=3600

Настроить имя создаваемого журнальчики OSSIM верно определил, какие файлы Вы желаете импортировать и чистить:
logdefault=10.67.68.10
logtemplate=/вар/лог/кисмет/%н_%Д-%Я.%л

Опосля перезагрузки:
перезагрузка

Настройка Openvpn В
Подключиться к OSSIM через SSH, выберите «Побег из тюрьмы «система» и введите последующую команду:
alienvault-настроить —add_vpnnode=wids, представленным-Датчик

Возвратиться к Debian и скопировать настроенный архив с опциями openvpn:
УПП root@10.1.193.123:/etc/openvpn/nodes/WIDS-Sensor.tar.gz ~

Применение конфигурации:
смолы xzf WIDS-Sensor.tar.gz
РМ-Ф WIDS-Sensor.tar.gz
МВ * файл /etc/openvpn в/

Проверьте Для Openvpn:
/етц/инит.д/openvpn при перезагрузке
Команду ifconfig tun0

Настроить rsyslog: Настройка Кисмет
Возвратиться к OSSIM.
раз Эхо $имя_программы содержит ‘исмет’, то /вар/лог/кисмет.войти > > в /etc/rsyslog.д/кисмет.конф
Эхо & ~ > > файл /etc/rsyslog.д/кисмет.конф
сервис перезапустить rsyslog

Поменять путь к файлу, из которого плагин будет забрать журнальчики:
сепг-я-е «s@/var/log/syslog@/var/log/kismet.log@» в /etc/ossim/агент/плагины/кисмет.cfg для

Сейчас включите плагин, который будет обрабатывать кисмет бревен, с данной командой Exit выходим из меню OSSIM и включите плагин:

Раз все изготовлено верно, мы увидим в журнальчиках «Анализ -> действия сохранности (сим)»:

Это нужно для того, OSSIM может получать не лишь предупреждения, но все имеющиеся данные о Wi-Fi клиентами и сетями в окрестностях, которые позже будут отражены в окружающую среду -> Обнаружение -> Беспроводные IDS. Настройка импорта XML логи
Сейчас мы должны настроить импорт логов в формате XML из Debian. Настроить авторизацию В SSH без пароля на скрипт, который получает XML отчеты и чистки их от датчика, чтоб работать верно.
В OSSIM делать:
SSH-ключей
по SSH-копия-удостоверение личности root@10.67.68.10

д./cron.почасовой/кисмет читать: Сейчас сделаем файл /и т.
#!/бин/баш
каталог /usr/Бен/Perl в /usr/share/ossim/www/wireless/fetch_kismet.pl

Скопируйте сам скрипт:
Ср /usr/share/ossim/www/wireless/kismet_sites.pl /var/ossim/kismet/kismet_sites.pl

И поправить это в адресную строчку:
Эхо $сайты{‘10.67.68.10′}=’/вар/лог/кисмет’; >> /var/ossim/kismet/kismet_sites.pl
Регулировка датчика
Сейчас перейдем к интернет-интерфейсу:

Добавим новейший датчик:

Состояние датчика будет в Красноватый Крест, так и обязано быть:

Сейчас идите к среде -> Обнаружение -> Беспроводные идентификаторы и добавить местоположения и датчик:

Опосля выполнения команды:
каталог /usr/Бен/Perl в /usr/share/ossim/www/wireless/fetch_kismet.pl

И в случае фуррора получат:

И потом, в пт среды -> Обнаружение -> Беспроводные идентификаторы данных покажется:

Установка сбора системных журналов
Настройка сбора логов с VMware esxi либо, серверов Windows и Ubuntu.
Для сбора логов, мы должны выполнить последующие шаги:
Чтоб настроить отправку логов с хостов в OSSIM
Чтоб узреть, что файл в OSSIM плагин, который обрабатывает событие, читает журнальчики
Настроить протоколирование хостов в отдельные файлы, используя конфигурации rsyslog
Чтоб включить плагин
Для тестирования функциональности

Компания VMware
Во-первых, давайте настроить отправку логов в esxi, откройте расширенные опции:

И включить отправку логов по udp:

Опосля того, как вы видите, где в esxi плагин будет забрать журнальчики
Кот в /etc/ossim/агент/плагины/компании VMware-esxi либо.файле cfg | grep в месте

Настроить rsyslog:
раз Эхо $fromhost-ИС == ‘10.1.193.76’ потом-файл/var/журнальчик/компания VMware-esxi либо.войти > > в /etc/rsyslog.Д/В esxi.конф
сервис перезапустить rsyslog

Сейчас включить модуль может подключаться через SSH к OSSIM:

Открытием Анализ -> действия сохранности (сим) и проверить:

Сервера Windows
Для отправки логов с Windows, нам будет нужно силки программа, которая дозволяет отправлять системные логи на syslog Формат.
Скачать и запустить:

Включить интернет-доступ:

Завершение установки:

Откройте в вашем браузере адресок: localhost в:6161
Введите имя юзера силки, пароль, который Вы указали во время установки, зайдите в «опции сети» и установить:

Опосля сохранения опций, нужно открыть консоль и перезапустить силки:
незапятнанная остановка силок
нетто начать малый барабан

Проверить, где плагин получает журнальчики:
Кот в /etc/ossim/агент/плагины/малого барабана.файле cfg | grep в месте

В опции rsyslog уже имеет предустановленный конфиг силки(zzzzz_snare.конф), что мы на данный момент незначительно поправить, руководствуясь форум OSSIM, заменив лишь 1 параметр: Сейчас настроить rsyslog.
сепг-я-е «с@мсг@rawmsg@» в /etc/rsyslog.д/zzzzz_snare.конф
сервис перезапустить rsyslog

Сейчас настраиваем плагин, по аналогии с настройка по VMware, за исключением выбора плагина:

Опосля перезагрузки, заходим Анализ -> действия сохранности (сим):

Убунту
Чтоб настроить Ubuntu мы будем применять rsyslog. Подключение к Ubuntu по SSH и может быть настроен для отправки журналов OSSIM:
Эхо *.* @10.1.193.123 > в /etc/rsyslog.д/alienvault.конф
сервис перезапустить rsyslog

Проверьте Откуда плагин берет журнальчики:

Кот в /etc/ossim/агент/плагины/системного журнальчика.cfg для

Поменять путь к файлу, где OSSIM плагин будет получить журнальчики:
сепг-я-е «s@/var/log/syslog@/var/log/ubuntusyslog.log@» в /etc/ossim/агент/плагины/системного журнальчика.cfg для

Сейчас настроить rsyslog в OSSIM:
раз Эхо $fromhost-ИС == ‘10.1.193.77’ потом-файл/var/журнальчик/ubuntusyslog.войти > > в /etc/rsyslog.д/убунту.конф
сервис перезапустить rsyslog

Включите плагин, по аналогии с прошлыми пт, лишь в перечне плагинов выберите:

Применить и проверить:

Примечание
Раз опосля того, как вы выберите «применить конфигурации» Вы не лицезрели коробку, «AlienVault настроить»

Перезагрузка OSSIM (в крайней версии 4.15.2 временами возникает эта ошибка)
Сведения о устранении данной ошибки большущее спасибо юзеру dolph2005 Чтоб решить трудности с парсингом логов закодированы в cp1251 (кириллица), нужно выполнить последующее:
В файле /usr/share/alienvault/ossim-agent/ParserDatabase.py в 288 строке опосля:
раз Len(в отставке) > 0:
#Мы должны мыслить о порядке событий при обработке
cVal = рет[лен(в отставке) — 1][ссылка]
для е в отставке:

Вставки:
е=перечень(е)
х=[х.декодирования(‘Шифровка cp1251’).кодировать(‘в шифровке UTF8′) раз isinstance(х, basestring) еще x для X в e] ## поменять Шифровка cp1251 для кодировки
е=х
е=кортеж(е)

В файле /usr/share/alienvault/ossim-agent/TailFollowBookmark.py в строке 163, опосля:
деф _open_file(самовывоз, fromrotate=ересь):
«»»
Открывает файл и перебегает к указанной позиции, основываясь на
главные характеристики: смещение и откуда. fromrotate: показывает, что файл открыт, когда
ротацию логов найдено
«»»

Вставки:
раз «оповещения.войти в себя.Имя файла:
самостоятельная.кодировать=’Шифровка cp1251′
еще:
самостоятельная.кодировать=’в шифровке UTF8’

Ссылка на форум, где люди обсуждали делему с шифровкой. Не считая того,
_current_file атрибут имеет значение как побочный эффект.
Интеграция с помощью arcsight
Сейчас попробуем настроить интеграцию с OSSIM СИЕМ помощью arcsight системы.
Таковая композиция может спасти 10-ки миллионов на лицензиях помощью arcsight, раз речь не идет о основной кабинет компании имеет 10-ки маленьких веточек, которые вы желаете защитить и контролировать. Цель данного раздела заключается в отправлять в помощью arcsight уже коррелирует OSSIM-Ом логи, и соотнести их на стороне помощью arcsight, увеличивая нагрузку.
Для этого вы должны установить соединитель (разъем типа системного журнальчика), внести последующие FlexAgent:
# FlexAgent Постоянное Выражение Конфигурационного Файла
делать.непроанализированного.действия=истина
постоянное выражение=\д+ АВ-бесплатный-корма (выражениеD+) — SRC_IP DST_IP: (выражениеD{1,3}\.\д{1,3}\.\д{1,3}\.\д{1,3}) , DST_IP: (выражениеD{1,3}\.\д{1,3}\.\д{1,3}\.\д{1,3}), Сигнализация: directive_event: АВ-безвозмездно-подкармливать выражениеD+ (\г) (.*)
маркер.количество=5
маркер[0].имя=Имя_действия
маркер[0].Тип=строчка
маркер[1].имя=SRC_IP
маркер[1].Тип=свойство ipaddress
маркер[2].имя=DST_IP
маркер[2].Тип=свойство ipaddress
маркер[3].имя=Dev_Severity
маркер[3].Тип=строчка
маркер[4].имя=Event_Message
маркер[4].Тип=строчка
событие.имя=Имя_действия
событие.его sourceaddress=SRC_IP
событие.destinationAddress=DST_IP
событие.deviceSeverity=Dev_Severity
событие.сообщение=Event_Message
событие.deviceVendor=__getVendor(AlienVault)
событие.deviceProduct=__stringConstant(OSSIM)

В папке разъема и дальше в «юзерагентflexagentсистемного журнальчика». Дальше заходим в опции OSSIM: И линейных агентов[0].usecustomsubagentlist правда. Имя файла сделать «ossim.sdkrfilereader.характеристики»
В файле агента.изменение параметров полосы агентов[0].customsubagentlist добавив туда «ossim», пример:
агенты[0].customsubagentlist= ossim|ciscopix_syslog|netscreen_syslog|…

И чтоб включить отправку сигнала волнения в syslog:

В файл /etc/rsyslog.conf и добавьте строчку:
*.* ИС.ваш.Гибкого трубопровода.агент Опосля настроить отсылку логов rsyslog, чтоб OSSIM.

Позже, в помощью arcsight коннектор будет уже разобрано, коррелирует журнальчики:

Использованные источники

en.wikipedia.org/wiki/OSSIM(Open%20Source%20Security%20Information%20Management)
alienvault.bloomfire.com
www.alienvault.com/forums
habrahabr.ru