2017年10月31日 星期二

OSSIM安裝與配置

AlienVault OSSIM (簡稱為 OSSIM) 是一個開放原始碼的 SIEM系統。OSSIM 的優點在於整理及過濾系統的記錄資訊,依照內建的規則及定義,做出優先權排序,讓管理者能夠只專注在重要的事件。當然詳盡的管理及記錄報表功能也能讓管理者對細部事件進行分析。

OSSIM開放原始碼版本我們可以自行下載安裝建置。免費的OSSIM由於是由社群所支持維護,包括在關聯式規則、IDS規則方面比不上商業版,在管理功能方面,所有的設備必須各自去管理設定,但商業版則可集中管理。報表方面,商業版提供多種法規報表。

安裝OSSIM

首先我們至 AlienVault 的官方網站下載系統檔案。
下載網址: https://dlcdn.alienvault.com/AlienVault_OSSIM_64bits.iso

安裝配置流程

  1. 在“Install OSSIM” 界面,選擇“Install AlienVault OSSIM 5.4.0 (64 Bit)”
  2. 在“Select a language” 界面,選擇“ English - English”,點擊 Continue
  3. 在“Select your location” 界面,選擇“other” => “Asia” => “Taiwan”,點擊 Continue
  4. 在“Configure locales” 界面,選擇“United States - en_US.UTF-8”,點擊 Continue
  5. 在“Configure the keyboard” 界面,選擇“American English”,點擊 Continue
  6. 在“Configure the nerwork” 界面,
    選擇“eth0: Realtek Semiconductor Co., Ltd. RTL-8100/8101L/8139 PCI Fast Ethernet Adapter”,
    輸入IP Address: 192.168.10.20 / 24
    輸入Gateway: 192.168.10.254
  7. 在“Set up users and passwords” 界面,輸入root用戶密碼,然後,等待安裝結束


     安裝結束後,通過Web界面進行後續配置

  1. 第一次訪問,需要在“Administrator Account Creation” 界面,輸入FULL NAME、USERNAME、PASSWORD、E-MAIL、COMPANY NAME、LOCATION等資訊後,點擊 START USING ALIENVAULT
  2. 然後跳轉到登入界面,輸入USERNAME、PASSWORD後,點擊 LOGIN
  3. 在“Welcome to the AlienVault OSSIM Getting Started Wizard” 界面,點擊 START
  4. 在“Configure Network Interfaces” 界面,設定網卡用途後,點擊 NEXT
  5. 在“Scan & Add Assets” 界面,系統會自動探測出區網內的主機 (亦可手動加入或指定欲探測網段),篩選出要進行監控的資產後,點擊 NEXT
  6. 在“Deploy HIDS to Servers” 界面,選擇需要佈署HIDS Agent的主機,輸入該主機足夠權限的帳號密碼,先後點擊 DEPLOY 和 CONTINUE即可。佈署完成後,點擊 NEXT
  7. 在“Set up Log Management” 界面,確認相應的網路資產的Vendor、Model、和Version,點擊 ENABLE 即可安裝數據源插件,也可以點擊 SKIP THIS STEP 來略過此步驟
  8. 在“JOIN OTX” 界面,需要註冊並輸入TOKEN來加入OTX,也可以點擊 SKIP THIS STEP 來略過此步驟,最後點擊 FINISH 來結束配置