>>
sedang di baca...
Ossim

Instalasi Manual untuk AlienVault Sumber Siem (OSSIM) Buka


Pengantar

Open Source AlienVault Siem (OSSIM) adalah sistem keamanan yang komprehensif yang mencakup open source dari deteksi untuk menghasilkan metrik dan laporan ke tingkat eksekutif. AlienVault ditawarkan sebagai produk keamanan yang memungkinkan Anda untuk mengintegrasikan ke dalam satu konsol, semua perangkat keamanan dan alat yang Anda miliki di jaringan anda, dan pemasangan alat-alat open source seperti Snort bergengsi, openvas, ntop dan OSSEC.

Setelah peristiwa yang dihasilkan oleh alat dan perangkat yang berbeda telah dikumpulkan oleh sistem AlienVault, sistem melakukan penilaian risiko untuk setiap peristiwa dan hubungan yang terjadi. Selama proses korelasi, dari serangkaian pola, menghasilkan acara baru untuk mendeteksi serangan atau masalah dengan jaringan kami.

Untuk mengakses semua informasi yang dikumpulkan dan dihasilkan oleh sistem memanfaatkan Web konsol juga memungkinkan kita untuk mengkonfigurasi sistem dan melihat keadaan keseluruhan jaringan kami secara real time.

Awal Pertimbangan

AlienVault adalah produk berkembang terus-menerus. Untuk alasan ini penting untuk memastikan bahwa kita menggunakan installer versi AlienVault terbaru dan panduan instalasi. Versi baru selalu tersedia di situs proyek: http://www.AlienVault.com .

Tujuan Dokumen

Tujuan dari tutorial ini adalah untuk memberikan pembaca langkah demi langkah panduan tentang cara menginstal Open Source AlienVault Siem. Dokumen ini juga mencakup dasar-dasar dan penjelasan singkat tentang fungsi setiap profil Anda dapat mengambil instalasi AlienVault.

Mengapa harus melakukan instalasi?

AlienVault adalah produk yang mengintegrasikan lebih dari 30 alat Open Source. Kedua sistem operasi dan banyak built-in alat telah dimodifikasi untuk meningkatkan fungsinya dalam sistem. Itulah sebabnya AlienVault instalasi dari source code memerlukan pengetahuan yang luas dan kompilasi lebih dari 40 alat.

Untuk mempermudah proses kompleks kompilasi, menginstal dan mengkonfigurasi alat ini tim AlienVault pembangunan didistribusikan dalam sebuah installer yang meliputi komponen sistem operasi bersama-sama dengan konfigurasi yang kuat dan meng-update. AlienVault installer didasarkan pada sistem operasi Debian GNU / Linux dan tersedia untuk arsitektur 32 dan 64 bit.

32 Bits o 64 Bits

Sangat penting untuk memeriksa apakah prosesor Anda adalah 64-bit arsitektur. Jika demikian kita dapat memanfaatkan keuntungan dari arsitektur ini dalam hal kinerja. Dalam bagian tertentu dari instalasi dan tergantung pada lalu lintas dan jumlah peristiwa harus diperlakukan adalah kebutuhan untuk perangkat keras yang mampu menangani volume data yang besar. Arsitektur 64-bit juga memungkinkan penggunaan sejumlah besar memori fisik.

AlienVault

Operasi Dasar

Cobalah untuk menunjukkan, dalam bentuk yang disederhanakan, yang berlangsung dalam proses AlienVault:

  1. Aplikasi menghasilkan kejadian keamanan
  2. Acara dikumpulkan dan standar
  3. Acara akan dikirim ke server pusat
  4. Penilaian risiko dari setiap peristiwa
  5. Event Korelasi
  6. Store acara
  7. Akses ke disimpan peristiwa
  8. Konfigurasi akses
  9. Akses ke laporan dan metrik
  10. Akses terhadap informasi secara real time status jaringan kami

Keamanan peristiwa dihasilkan oleh berbagai aplikasi atau perangkat yang kita miliki dalam jaringan kami. Kejadian-kejadian ini dikumpulkan dan dibakukan oleh sensor AlienVault, yang juga bertanggung jawab untuk mengirimkan mereka ke server pusat. Dalam tampilan AlienVault dapat memiliki sensor sebanyak yang Anda butuhkan. Sebagai contoh, sebuah sensor dapat ditempatkan dalam DMZ, sensor di setiap kota atau menghabiskan sensor untuk memantau setiap jaringan perusahaan.

Sensor AlienVault termasuk satu set alat (Snort, ntop, Tcptrack, Arpwatch …) yang menganalisis semua lalu lintas jaringan dalam mencari masalah keselamatan dan anomali. Untuk memanfaatkan fungsi ini AlienVault adalah penting bahwa sensor AlienVault bisa melihat semua lalu lintas pada jaringan, baik menggunakan sebuah hub, atau menyiapkan sebuah pencerminan rentang port atau port dalam jaringan elektronik.

AlienVault semua sensor mengirim acara mereka ke server tunggal AlienVault, yang kemudian melakukan penilaian risiko untuk setiap peristiwa, dan juga akan menempatkan proses korelasi. Setelah kedua proses telah terjadi, peristiwa disimpan dalam database AlienVault.

Untuk mengakses informasi ini, seperti halnya konfigurasi sistem dan serangkaian metrik dan laporan kita akan menggunakan Web Konsol AlienVault. Dari Web konsol juga akan memiliki akses ke informasi real-time ke sejumlah aplikasi yang akan memudahkan analisa negara keseluruhan jaringan kami.

Instalasi Profil

Tergantung pada fungsi dari host baru dalam penyebaran AlienVault Anda dapat mengkonfigurasi profil digunakan. Ini dapat dikonfigurasi saat instalasi atau setelah instalasi. Secara default instalasi otomatis akan memungkinkan semua profil pada komputer yang sama.

Sensor

Profil sensor akan memungkinkan baik deteksi dan Kolektor AlienVault. Detektor berikut ini diaktifkan secara default:

  • Snort (IDS tingkat di Red)
  • Ntop (Monitor de USO y merah)
  • Openvas (Manajemen Kerentanan)
  • P0f (Pasif OS Detection)
  • Pads (Aktiva Detection System Pasif)
  • Arpwatch (Anomali perubahan mac)
  • OSSEC (IDS untuk tingkat Host)
  • Osiris (pemantauan kesehatan)
  • Nagios (Monitor sibuk)
  • OCS (Inventario)

Setelah sensor profil telah diaktifkan, Anda dapat menonaktifkan detektor sehingga hanya menjaga fungsi koleksi.

Untuk mendapatkan manfaat dari kemampuan deteksi alat-alat ini, kita harus mengkonfigurasi jaringan sensor sehingga AlienVault:

  • Memiliki akses ke jaringan yang dimonitor:
  • Vulnerability Scanner, Access Control, WMI Agen-koleksi kurang, Syslog Koleksi
  • Menerima semua lalu lintas jaringan. Anda perlu mengkonfigurasi port mirroring / portspan atau menggunakan hub (HUB) atau tekan jaringan.
  • Snort, ntop, Arpwatch, Fujos Generasi, Pads, P0f …

profil Sensor mengkonfigurasi sistem yang akan siap untuk menerima acara dari host remote menggunakan protokol Syslog. Setiap aplikasi atau perangkat akan memiliki konektor plug terkait (DS) yang menetapkan cara mengumpulkan peristiwa aplikasi atau perangkat, serta bagaimana peristiwa harus normal kembali sebelum mengirim mereka ke AlienVault server pusat.

penyebaran AlienVault dapat memiliki sensor sebanyak yang Anda butuhkan, pada dasarnya dalam hal jaringan yang sedang dipantau dan pada distribusi geografis dari organisasi yang akan dipantau menggunakan AlienVault. Umumnya, Anda harus mengkonfigurasi jaringan sensor, tapi jika Anda menginstal lebih dari satu antarmuka jaringan dan lalu lintas rute atau mengkonfigurasi port-mirroring, kami memantau lebih dari satu jaringan pada sensor yang sama.

Server

Fasilitas ini menggabungkan profil Siem dan komponen Logger. Sensor yang terhubung ke server untuk mengirim peristiwa standar AlienVault. penyebaran Wikipedia termasuk penyebaran server tunggal. Penyebaran lebih kompleks dapat memiliki lebih dari satu server dengan peran yang berbeda, atau jika perlu untuk menerapkan AlienVault ketersediaan Server tinggi.

Kerangka

Profil Kerangka menginstal dan mengkonfigurasi komponen dari Web Management Interface. Sebuah antarmuka manajemen tunggal Web akan dikerahkan di setiap AlienVault fasilitas. penyebaran yang lebih kompleks dengan beberapa server AlienVault mungkin memiliki lebih dari tim dengan kerangka tetap diaktifkan. Kerangka adalah fasilitas profil yang menggunakan sedikit memori dan CPU. Untuk alasan ini, Kerangka biasanya dipasang dengan profil server.

Database

profil Database memungkinkan database MySQL untuk menyimpan pengaturan dan acara (Siem Jika fungsi sedang digunakan.) Setidaknya satu database diperlukan untuk penyebaran masing-masing. Bahkan jika hanya Siem profil diaktifkan, database akan diminta untuk menyimpan informasi persediaan dan pengaturan.

semua untuk satu

Profil all-in-one akan memungkinkan semua profil pada satu komputer. Ini adalah profil instalasi default dan memungkinkan jika pengguna melakukan instalasi otomatis.

Persyaratan

Kebutuhan Hardware

Persyaratan perangkat keras untuk menginstal AlienVault sangat tergantung pada jumlah kejadian per detik dan bandwidth jaringan untuk menganalisis.

Sebagai syarat mímimo selalu dianjurkan untuk memiliki minimal 2GB, kita akan meningkatkan jumlah lalu lintas tergantung menganalisa jumlah peristiwa yang harus proses server atau jumlah data yang kami berniat untuk menyimpan dalam database kami. Untuk mengoptimalkan pemanfaatan sumber daya penting yang kita gunakan hanya aplikasi dan komponen yang akan berguna bagi kami dalam setiap kasus.

Perbedaan kinerja antara 32 bit dan 64 bit lebih dari cukup, jadi kami selalu mencoba untuk memilih arsitektur ini saat memilih perangkat keras kami. Kebanyakan komponen AlienVault multithreaded, sehingga menggunakan prosesor multi-core juga mendapatkan kemajuan besar dalam kinerja.

Bila Anda memilih kartu jaringan untuk menangkap lalu lintas, kami mencoba untuk memilih yang didukung oleh driver e1000 . Open Source pengembangan driver ini memastikan kompatibilitas yang baik kartu ini dengan Debian GNU / Linux.

Kami selalu mencurahkan kartu jaringan terburuk dengan spesifikasi, atau mereka yang menawarkan masalah kompatibilitas dengan pengumpulan acara dari perangkat lain atau antarmuka manajemen.

Persyaratan merah

Untuk menjalankan tampilan baik AlienVault adalah penting untuk mengetahui jaringan elektronik yang kita harus mengkonfigurasi port mirroring pada perangkat jaringan yang mendukungnya. Kita harus berhati-hati ketika mengkonfigurasi port mirroring untuk menghindari terutama dua hal:

Lalu lintas dua kali lipat : Ini adalah dalam kasus saya melihat lalu lintas mirroring sama port pada dua perangkat yang berbeda dikonfigurasi pada jaringan yang sama.

Lalu lintas tidak bisa diurai : Kadang-kadang Anda tidak bisa masuk akal untuk mengkonfigurasi port mirroring pada titik jaringan di mana semua lalu lintas disalurkan menggunakan VPN atau protokol lain yang mengirim data terenkripsi.

Selain port mirroring, Anda harus mempersiapkan terlebih dahulu alamat IP yang berbeda yang kita menetapkan komponen AlienVault, dengan mempertimbangkan bahwa banyak dari komponen ini harus memiliki akses ke jaringan yang dimonitor.

Sebagai contoh, jika kita memutuskan untuk menggunakan OpenVAS untuk scan kerentanan pada jaringan kami, kami akan memastikan bahwa OpenVAS mesin sedang berjalan di firewall memiliki izin untuk mengakses komputer yang tersedia untuk menganalisis.

Untuk menormalkan berbagai aktivitas, sensor AlienVault juga harus memiliki akses ke DNS organisasi, dan dengan demikian mendapatkan alamat IP dari nama-nama dari mesin.

Langkah demi langkah instalasi

Instalasi Otomatis

instalasi otomatis akan menginstal versi open source dari AlienVault profil semua-dalam-satu diaktifkan. Setelah instalasi selesai, pengguna secara manual refresh untuk mendapatkan manfaat dari versi Profesional AlienVault. Instalasi dilakukan hampir tanpa campur tangan pengguna. Instalasi otomatis dikonfigurasi dengan keymap AS dan semua teks dalam bahasa Inggris.

Network Setup

Pada titik ini, anda perlu mengkonfigurasi kartu jaringan anda manajemen. Anda harus menggunakan alamat IP dengan akses internet selama proses instalasi. Alamat IP ini akan digunakan dalam antarmuka manajemen.

Masukkan alamat IP dan klik ” Continue. ”

netmask untuk digunakan dengan jaringan Anda. Masukkan mask jaringan dan klik ” Continue. ”

Alamat IP dari default gateway ke rute, jika jaringan Anda memiliki gateway. Masukkan alamat IP dari default gateway dan klik ” Continue. ”

Anda harus menggunakan sistem dalam jaringan server DNS (Domain Name Service). Jika Anda memiliki sebuah server nama lokal di jaringan anda harus menjadi yang pertama dalam konfigurasi ini. Anda dapat memasukkan banyak nameserver seperti yang Anda inginkan. Masukkan alamat IP dari DNS (dipisahkan dengan spasi) dan klik ” Continue. ”

Partisi disk

Sekarang adalah waktu untuk membuat partisi. Catatan bahwa ini akan menghapus data yang tersimpan pada hard drive Anda.

Pilih ” Dipandu: Gunakan seluruh disk “dan klik” Continue. ”

Jika komputer Anda memiliki beberapa disk, pilih disk yang akan diinstal AlienVault dan klik Lanjutkan. Jika komputer Anda memiliki satu disk cukup klik ” Lanjutkan . ”

Mengatur penggunaan dan password

Setelah sistem dasar terinstal, installer akan memungkinkan Anda untuk mengkonfigurasi account root. account pengguna lain dapat dibuat setelah instalasi selesai. Setiap password yang Anda buat harus minimal 6 karakter dan harus berisi kedua karakter huruf besar dan huruf kecil dan karakter tanda baca. Berhati-hatilah ketika pengaturan password root anda, karena ini adalah rekening yang kuat. Hindari kamus kata-kata atau penggunaan setiap informasi pribadi yang dapat ditebak.

Masukkan password root dan klik ” Continue. ”

Update instalasi

Instalasi dapat dihubungkan ke website AlienVault untuk mendownload versi terbaru dari setiap paket perangkat lunak yang disertakan dalam Siem AlienVault Profesional. Proses ini bisa memakan waktu hingga satu jam (tergantung pada koneksi internet Anda). Bersabarlah dan tidak membatalkan proses ini.

Pilih ” Ya “dan klik” Continue. ” Setelah menginstal sistem akan diatur ulang ke baru AlienVault sistem.

Pengaturan

Konfigurasi Sistem

Untuk mempermudah konfigurasi jumlah besar alat yang termasuk dalam instalasi AlienVault konfigurasi terpusat dalam satu file. Setiap kali Anda mengubah file ini anda harus menjalankan sebuah perintah yang akan bertanggung jawab untuk implementasi ini konfigurasi terpusat untuk masing-masing alat termasuk dalam AlienVault.

File yang centralizes konfigurasi adalah sebagai berikut:

/ Etc / ossim / ossim_setup.conf

Anda dapat mengedit file tersebut dengan editor teks (vim, nano, pico …) atau menggunakan sebuah antarmuka untuk mengelola file konfigurasi. Untuk mulai antarmuka ini menggunakan perintah berikut:

ossim-setup

Untuk menerapkan perubahan pada file konfigurasi dan menghasilkan file-file konfigurasi untuk semua alat terpasang harus jalankan perintah berikut:

ossim-reconfig

Ubah Profil

Instalasi default memungkinkan semua profil pada mesin dipasang. Untuk mengubah lebar dari mesin harus mengeksekusi skrip OSSIM-setup dan memilih pilihan kedua (Ubah Profil Pengaturan)

Tergantung pada profil yang kita pilih untuk mengatur beberapa parameter atau orang lain:

All-in-satu

Pilih antarmuka: Masukkan interface (dipisahkan dengan koma) yang mendapatkan semua lalu lintas jaringan.

Jaringan Profil: Masukkan jaringan (domestik) dalam format CIDR, dipisahkan dengan koma, bahwa sensor akan dapat melihat bagaimana panggilan interface-nya (misalnya, 192.168.0.0/24, 10.0.0.0 / 8)

Sensor AlienVault Nama: Nama yang diberikan kepada sensor yang diinstal pada mesin ini.

Pilih plugin: Pilih aksesoris yang harus diaktifkan untuk sensor ini. Plug-aktif hanya berdasarkan permintaan server AlienVault untuk korelasi dimonitor. plugin Detektor mengumpulkan peristiwa nyata-waktu, database file, soket ..

Sensor

Sensor AlienVault Nama: Nama yang diberikan kepada sensor yang diinstal pada mesin ini.

Pilih antarmuka: Masukkan interface (dipisahkan dengan koma) yang mendapatkan semua lalu lintas jaringan.

Jaringan Profil: Masukkan jaringan (domestik) dalam format CIDR, dipisahkan dengan koma, bahwa sensor akan dapat melihat bagaimana panggilan interface-nya (misalnya, 192.168.0.0/24, 10.0.0.0 / 8)

AlienVault Server Ip Address: Masukkan alamat IP dimana server mendengarkan AlienVault.

Pilih plugin: Pilih aksesoris yang harus diaktifkan untuk sensor ini. Plug-aktif hanya berdasarkan permintaan server AlienVault untuk korelasi dimonitor. plugin Detektor mengumpulkan peristiwa nyata-waktu, database file, soket ..

Server

Ip Address AlienVaul Mysql Server: Masukkan alamat IP komputer yang menjalankan database profil AlienVault. Pastikan Anda memiliki database permanen yang tepat untuk terhubung dari mesin remote.

AlienVault Mysql server port: port mendengarkan mysql. (Default 3306)

AlienVault Mysql password: Password untuk root pada server MySQL.

Database

AlienVault Mysql password: Password untuk root pada server MySQL.

Jika Anda hanya ingin mengkonfigurasi ulang profil saat ini, pilih profil yang digunakan dan juga akan diminta untuk memasukkan parameter konfigurasi.

Untuk menerapkan perubahan anda harus memilih ( Terapkan dan menyimpan semua perubahan ), atau menjalankan OSSIM-reconfig perintah.

Network Setup

Komputer menjalankan AlienVault memerlukan perawatan khusus dalam mendirikan jaringan.

Konfigurasi jaringan didefinisikan di file berikut:

/ Etc / network / interfaces

Jika konfigurasi jaringan telah berubah, untuk menerapkan perubahan gunakan perintah berikut:

/ Etc / init.d / networking restart

AlienVault Setiap tim harus memiliki minimal satu alamat IP statis untuk komponen AlienVault yang dapat berkomunikasi satu sama lain dan administrator dari jarak jauh dapat mengakses mesin.

Setiap antarmuka dengan alamat IP harus memiliki sebuah entri di file / etc / network / interface dengan cara sebagai berikut:

allow-hotplug eth0 eth0 inet IFACE alamat statis 192.168.1.133 netmask jaringan 255.255.0.0 192.168.0.0 broadcast 192.168.255.255 gateway 192.168.1.1 dns-nameserver 192.168.1.100

Antarmuka ini digunakan untuk mengumpulkan semua lalu lintas jaringan tidak harus merupakan alamat IP. Interface promiscuous tidak memerlukan konfigurasi khusus pada file konfigurasi jaringan.

Update AlienVault

Perintah berikut update sistem AlienVault:

apt-get update, apt-get dist-upgrade;

ossim-reconfig

Sistem upgrade perangkat lunak yang digunakan dalam Setup AlienVault dirancang untuk memastikan bahwa versi yang benar yang digunakan. Memungkinkan pengembang untuk memblokir atau memaksa pembaruan AlienVault software tertentu pada sistem anda. Untuk alasan ini, Anda tidak harus menyertakan sebuah repositori software baru di / etc / apt sources.list /.

Versi Profesional

Selain mengembangkan AlienVault, AlienVault mengembangkan versi profesional yang memiliki nama AlienVault Profesional Siem. Rilis ini memperkenalkan sejumlah perbaikan pada fungsionalitas dan kinerja:

Logger: Mass Storage. Log adalah digital ditandatangani sehingga mereka dapat digunakan sebagai bukti ahli.

Skalabilitas multijerarquía deployments.

Yield: 30 kali kinerja versi open source.

Reliabilitas: redundansi dan ketersediaan tinggi.

Rekomendasi Umum

Dalam lingkungan produksi selalu disarankan untuk menggunakan arsitektur 64-bit, karena ada perbedaan besar dalam kinerja dibandingkan dengan 32 bit.

Kami mencoba untuk tidak pernah memasang sensor dalam lingkungan virtual karena cara di mana alat-alat ini virtualisasi mengelola antarmuka jaringan, yang menyebabkan sejumlah besar lalu lintas jaringan yang hilang tanpa dianalisis.

Jangan pernah memasang perangkat lunak yang memerlukan untuk mengubah atau menambah entri baru dalam file disimpan dalam repositori perangkat lunak (/ etc / apt / sources.list)

AlienVault akan selalu mendukung versi stabil terbaru dari Debian GNU / Linux. Jika versi baru dari pengembang Debian bebas untuk memberikan panduan tentang bagaimana meng-upgrade ke versi baru.

Exeiste Tidak ada batasan pada perangkat lunak yang dapat diinstal pada mesin tapi perlu diingat pemakaian memori tinggi dan CPU untuk beberapa aplikasi untuk menginstal perangkat lunak baru. Sebagai contoh, seharusnya tidak pernah menginstal lingkungan desktop pada mesin mereka AlienVault.

Juan Manuel Lorenzo (jmlorenzo@AlienVault.com)

revisi terakhir tanggal 30-11-2009

Versi 1.0

Source:

http://www.dokuwiki.org/dokuwiki

user manual : Download

https://www.alienvault.com/forum/index.php?t=msg&th=788&start=0&S=85f6f926d3884279ce989d09bffd881f

https://www.alienvault.com/forum/index.php?t=msg&th=842&start=0&S=85f6f926d3884279ce989d09bffd881f

Lihat artikel lainnya tentang Ossim

 

About Kusum

Simple and humoris

Discussion

2 thoughts on “Instalasi Manual untuk AlienVault Sumber Siem (OSSIM) Buka

  1. terima kasih atas panduan instalasinya🙂
    artikel yang bermanfaat …

    Posted by hafidhrm | June 18, 2011, 12:50 am

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: