Wstęp
Czym jest AlienVault? SIEM (ang. Security Information and Event Manager) to oprogramowanie, które pozwala organizacjom na zbieranie informacji o niepożądanych zdarzeniach i błyskawiczne reagowanie na nie. Obecnie stanowi fundament dla utrzymania należytego poziomu bezpieczeństwa w wielu organizacjach.
SIEM-y są różne. Z reguły pełna wersja takiego oprogramowania jest płatna, zaś jego cena waha się od jednego euro miesięcznie do kilku tysięcy dolarów rocznie, o czym możesz przekonać się tutaj.
Mimo, że żyjemy w trzeciej dekadzie XXI wieku, duch otwartego oprogramowania nie wymarł. AlienVault OSSIM to stale wspierany SIEM, który jest darmowy i otwartoźródłowy. Pierwsza wersja programu została wydana w 2003 roku. Oprogramowanie wydawane jest na licencji GNU GPL.
W tym artykule opiszę proces instalacji AlienVault OSSIM wraz z możliwościami jego wykorzystania w praktyce.
Źródło: https://pixabay.com/pl/illustrations/bezpieczeństwo-cybernetyczne-1784985/
Czym jest AlienVault? – Pobieranie oprogramowania
Oficjalnym dystrybutorem oprogramowania jest AT&T. Program najlepiej pobrać z oficjalnej strony, która dostępna jest tutaj.
Źródło: https://cybersecurity.att.com/products/ossim
Następnie, należy nacisnąć niebieski przycisk Download OSSIM ISO. Po naciśnięciu tego przycisku zostaniemy przeniesieni na stronę, z której możemy pobrać oprogramowanie. Osobiście zalecam instalację za pomocą ISO.
Źródło: https://cybersecurity.att.com/products/ossim/download
Po wybraniu opcji Download ISO powinno rozpocząć się pobieranie oprogramowania.
Czym jest AlienVault? – Instalacja oprogramowania
Poradnik dotyczący instalacji znajduje się tutaj. Przede wszystkim zapoznaj się z minimalnymi wymaganiami sprzętowymi dla AlienVault OSSIM, które prezentują się następująco:
- Dwa rdzenie CPU
- 4-8 GB pamięci RAM
- 50 GB wolnego miejsca na dysku
- Karta sieciowa kompatybilna z E1000
Jeżeli Twoje środowisko spełnia powyższe wymagania, możesz przejść do instalacji. W tym celu możesz użyć np. maszyny wirtualnej – w moim przypadku był to VirtualBox od Oracle.
Instalacja oprogramowania na Oracle VM Virtualbox
Należy wybrać zakładkę Maszyna i utworzyć nową maszynę wirtualną oraz opcję Nowa… w kolejnym kroku.
Po wybraniu tej opcji, w wierszu ISO Image należy wskazać ścieżkę do uprzednio pobranego ISO. Typ i Wersja oprogramowania powinna automatycznie wskazywać na Debiana w wersji 64-bitowej. Jeżeli tak nie jest, do prawidłowego działa maszyny trzeba to ustawić ręcznie.
Następnie, w zakładce Hardware należy ustawić pamięć RAM i liczbę rdzeni procesora, jaką będzie mogła wykorzystywać maszyna wirtualna. W moim przypadku było to 6144 megabajtów RAM i dwa rdzenie CPU.
Pora ustawić odpowiednią przestrzeń dyskową dla AlienVault OSSIM. Zgodnie z wymaganiami musi być ona większa od 50 GB, dlatego przeznaczyłem na ten cel 55 GB.
Przed uruchomieniem należy zapewnić maszynie wirtualnej dostęp do Internetu. W Oracle VM VirtualBox można tego dokonać wykorzystując mostkowaną kartę sieciową, dlatego w zakładce Sieć w ustawieniach wybrałem opcję Mostkowana karta sieciowa (bridged).
Możemy przejść do uruchomienia maszyny.
Pierwsze uruchomienie i konfiguracja
Po uruchomieniu maszyny wirtualnej zostaniemy przywitani prostym interfejsem. Należy w nim wybrać opcję Install AlienVault OSSIM 5.8.14 (64 Bit)
Naszym oczom ukażą się zapytania odnośnie języka, lokalizacji i układu klawiatury. Należy wybrać je zgodnie ze swoimi danymi i preferencjami.
Instalator zacznie pobierać wymagane biblioteki.
Kolejnym krokiem jest ustawienie adresu IP, adresu bramy sieciowej i serwera DNS dla AlienVault OSSIM. Pola należy wypełnić zgodnie z naszą lokalną konfiguracją sieci.
Po wprowadzeniu ustawień karty sieciowej pora na ustawienie silnego hasła dla roota. Wybrane hasło należy wpisać dwukrotnie w miejscach do tego przeznaczonych.
Następnie instalator ponownie przejdzie do instalowania niezbędnych pakietów. Może to zająć ponad kilkanaście minut – zależnie od sprzętu, na którym instalujemy program.
Jeżeli podczas instalacji wystąpi błąd, tak jak podczas mojej instalacji, polecam wykorzystanie innego pliku ISO – z innego źródła lub inną wersję oprogramowania.
Błąd instalacji
Nowy plik ISO
Po poprawnym zainstalowaniu AlienVault OSSIM program powinien się zrestartować.
AlienVault OSSIM podczas ponownego uruchamiania
Po restarcie naszym oczom ukaże się panel logowania do konta administratora. Jako login należy podać root i zalogować sie na konto administratora, a następnie wpisać ustawione uprzednio hasło.
Na górze panelu logowania widoczny jest URL, który pozwala nam na otworzenie interfejsu w przeglądarce internetowej.
AlienVault OSSIM w przeglądarce
Do zarządzania OSSIM w przeglądarce, wystarczy w pasku adresu wpisać adres IP, który został nadany podczas instalacji. W moim przypadku był to adres 192.168.25.213.
Pasek adresu
Podczas łączenia dostaniemy komunikat o tym, że nie można nawiązać bezpiecznego połączenia z witryną. Jest to jak najbardziej poprawny komunikat, ponieważ nie ustawiliśmy poprawnego certyfikatu SSL dla AlienVault. Należy zaakceptować ryzyko i przejść do strony.
Po „zaakceptowaniu ryzyka” w przeglądarce, naszym oczom ukaże się prosty formularz, który należy wypełnić przed korzystaniem z SIEM. Zostaniemy w nim zapytani o:
- Imię i nazwisko
- Hasło
- Potwierdzenie hasła
- Adres e-mail
- Nazwę firmy
Nazwa firmy nie jest wymagana przez OSSIM. Warto podkreślić, że nazwa użytkownika (ang. username) z uprawnieniami administratora jest na stałe ustalona przez system. Oznacza to, że logowanie na konto administratora będzie wymagać wpisania admin jako nazwę użytkownika.
Po naciśnięciu niebieskiego przycisku Start using AlienVault zostaniemy przeniesieni na stronę logowania do panelu administracyjnego. W wyznaczone pola należy wpisać wspomniane admin jako nazwę użytkownika i wpisać ustalone wcześniej hasło.
Po zalogowaniu będziemy mogli skorzystać z kreatora instalacji (ang. wizard), który pozwala w prosty i przyjemny sposób zacząć współpracę z OSSIM. Wystarczy nacisnąć Start i zacząć wstępną konfigurację.
Kreator poprosi nas o wskazanie interfejsów sieciowych, które pozwolą programowi na zbieranie danych.
Kolejnym krokiem jest przeskanowanie sieci lokalnej i wykryć urządzenia sieciowe, które mogą być monitorowane. Możemy tego dokonać, naciskając Scan Networks.
Aby przeskanować sieć, należy podać jej adres sieciowy wraz z maską. W moim przypadku był to adres 192.168.25.0/24. OSSIM automatycznie wykryje podsieć w jakiej się znajduje, dzięki czemu zostanie ona wpisana na listę podsieci.
Po naciśnięciu Scan Now rozpocznie się skanowanie sieci.
Skanowanie w toku
Po wykonaniu skanu zostaniemy poinformowani o ilości znalezionych urządzeń sieciowych, z wyszczególnieniem serwerów. Dowiemy się również tego, jak długo zajęło przeprowadzenie skanu.
Możemy również zadecydować jak często chcemy skanować naszą sieć w celu wykrywania nowych urządzeń. Opcję należy ustawić zgodnie z własnymi preferencjami – dla każdej organizacji ten okres może się różnić.
Po skanowaniu zostanie wyświetlona lista dostępnych hostów. Dla każdego adresu IP możemy określić jego typ, dzięki czemu późniejsze statystyki mogą być bardziej dokładne. Urządzenia korzystające z Windowsa lub dystrybucji Linuksa mogą mieć automatycznie nadany rodzaj przez OSSIM – w moim przypadku było tak z komputerem o adresie IP 192.168.25.155, który był hostem maszyny wirtualnej.
Do pełnego działania OSSIM należy zainstalować HIDS (ang. Host-based intrusion detection system – Hostowe systemy wykrywania intruzów) na poszczególnych hostach. Można to zrobić podczas wstępnej konfiguracji, wpisując login i hasło administratora domenowego danego urządzenia. Dotyczy to zarówno urządzeń wykorzystujących Windowsa oraz systemy oparte na jądrze Linuksa.
Po podjęciu decyzji możemy przejść do zarządzania logami z hostów. Możemy wybrać dostawcę (ang. vendor), model i wersję (ang. version). Możemy również pominąć ten krok, naciskając Skip this step.
Mamy również możliwość dołączenia do AlienVault Open Threat Exchange – platformy, która umożliwia wymianę doświadczeń związanych m.in. z złośliwym oprogramowaniem.
Poruszanie się po panelu w przeglądarce
Po początkowej konfiguracji możemy przejść do poruszania się po panelu administracyjnym. Składa się on z pięciu elementów:
- Dashboards (kokpity)
- Analysis (analiza)
- Environment (środowisko)
- Reports (raport)
- Configuration (konfiguracja)
W opcji Dashboards możemy zapoznać się z rożnymi wykresami, które dotyczą zdarzeń w naszej sieci.
Zakładka Dashboards umożliwia nam również zobaczenie wykresów dotyczących stricte bezpieczeństwa. Możemy tego dokonać wybierając opcję Security.
Bardzo ważną funkcjonalnością AlienVault OSSIM jest możliwość tworzenia raportów. Można je wygenerować w zakładce Reports, a następnie pobrać jako PDF lub wysłać na dany adres e-mail.
Zakładka Environment pozwala na analizę dostępności hostów w czasie rzeczywistym. Warto podkreślić, że ta zakładka opiera się w dużej mierze na Nagiosie, czyli otwartoźródłowym programie do monitorowania sieci na licencji GPL. Więcej o nim możesz przeczytać tutaj.
Zakładka Configuration pozwala na zarządzanie hostami, m.in. na nadawanie priorytetów i opisów.
Z upływem czasu AlienVault OSSIM zbiera dane i prezentuje je na bieżąco, co dobrze prezentuje porównanie głównego kokpitu po upływie około godziny. Widoczna jest zmiana w ilości odnotowanych zdarzeń (po lewej stronie) i udziale różnych typów urządzeń, które powodowały odnotowanie jakiegoś zdarzenia (na środku).
Główny kokpit w momencie pierwszego uruchomienia panelu zarządzania w przeglądarce
Główny kokpit po godzinie
Czym jest AlienVault? – Podsumowanie
AlienVault OSSIM łączy w sobie to, co szczególnie ważne dla osób związanych z Linuksem – jest dobry, darmowy i otwartoźródłowy. Jest najpopularniejszym otwartoźródłowym SIEM na rynku, co świadczy o jego użyteczności w praktyce.
Oprogramowanie pozwala na zaczęcie przygody z SIEM bez wydawania dużych kwot na licencje. Polecam przetestować je w praktyce każdemu, kto zaczyna swoją przygodę z cyberbezpieczeństwem. Jego intuicyjność i przyjemny interfejs graficzny sprawia, że łatwo rozpocząć współpracę z OSSIM.
Pisał dla Was Oskar Klimczuk.
