現場(環境):ALIEN VALUT OSSIM 5.5.1
Step 1.到官方網站下載相關ISO檔
網址: https://www.alienvault.com/products/ossim
Step 2. 透過ISO進行系統安裝
輸入連線IP資訊
輸入GW
設定DNS主機
(這邊要注意,這邊略是略過,則是關閉root,然後接著創建可以sudo的一般帳號,如果想要用root的人,這邊要設定密碼。<基於安全考量root關閉比較好>)
創建一般帳號連線資訊
設定完密碼後即開始安裝(注意網路連線一定要是暢通的才行)
安裝時間會比較久,完成安裝後會重新啟動
接著就會再這個畫面(這邊就表示安裝完成)
如果OSSIM初始畫面卡住(在後記有補充該如何處理)
還是可以靠alt + ctrl + F1-F6 切換到terminal介面(tty)
接著我們要透過瀏覽器去連結他。
https://[IP位址]/ossim
這邊我們需要再建立一次帳號的相關資訊
依欄位填寫好。並輸入地區
完成後就會讓你準備進行登入 (帳號/密碼 用剛剛設定的)
再來就是首次登入OSSIM的一些設定
這邊有偵測到本機端的OSSIM & 連結上來的主機IP位置
上面的選項有一個scan network
這個可以掃描整個網段。但是會花非長久的時間
這個也可以進入管理介面之後再做。
這個步驟是配置遠程HIDS進行監控。(這邊要帳密用以定期訪問)
參考網址提到:這一步是為了部署HIDS而設置,主要目的是執行文檔完整性監控,Rootkit檢測以及收集日誌。注意:無論是win/linux主機部署HIDS,都要先關閉其防火牆,才能自動部署成功。
帳密輸入後。點選deploy就會開始佈署。
出現這個畫面表示佈署完畢。
這個畫面表示,OSSIM掃描的時候,沒有掃到環境中的網路設備。
(這邊可以先跳過)
如果有掃描到,可以另外輸入網路設備資訊
設定完成會如下圖
這邊詢問的是否要加入OTX(Open Threat Exchange 開放式威脅交流)
因為這邊要輸入OTX Key。所以要記得加入
選擇SIGN UP NOW 前往註冊
註冊完成後。到註冊的信箱收信。並點選連結啟動帳號
連結到網站後。進行登入。就可以看到OTX Key (輸入到安裝步驟的序號)
(這邊的序號是可以再生的)
最後就是完成安裝
接著就可以看到我們OSSIM的登入頁面了。
接著到Terminal介面
更新套件:
這邊也可以更新系統& Threat Intelligence (威脅情報)
接著確認是否要進行系統更新 (這邊會花費很長的時間。個人花了快1小時)
更新完成後會出現更新完成的畫面。
Threat Intelligence (威脅情報) 更新則是會比較快
整體更新完成之後再次登入
(帳號密碼是我們透過瀏覽器連結到ossim時設定的帳密)
可以在Threat Database確認更新套件的狀況
如果想要加監控主機的話
增加Asset主機
這邊填寫有*的欄位就可以。(主要是Name / IP Address)
但是這種加法有點慢,建議可以用掃描網段的去添加
首先要添加網段
添加網段
接著會跳出相關資訊
接著就可以進行掃描
接著可以開始掃描。(主要是透過nmap掃描)
關於掃描的選項使用,參考網址有詳細說明
scan type / Fast Scan :表示掃描最常用的100個Port
scan type / Full Scan : 全部的Port都要掃描(會很久)
scan type / Custom : 自行定義要掃描的Port
timing template/Normal :
已達到最快Input/Output的方式掃描,不會使網路過載or缺少掃描的主機/Port
Autodetect Services and Operating System:
檢查服務&系統版本 (預設啟用)
Enable Reverse DNS Resolution:
確認主機IP & Domain Name的關聯(預設啟用)
之後就可以看到掃描到的資訊
前面都是透過WEB端的單向掃描,操作大概介紹到這。
接著要講比較重要的部份。也就是監控端主機的設定。
要監控主機端。我們要幫他安裝上ossec HIDS套件。
在那之前要先安裝前置套件mail。後面裝agent{rootkit detection}時會用到。
這樣安裝時才不會跑出錯誤
#yum install mailx
安裝gcc ,讓後面安裝編譯使用
#yum install gcc 或者 #yum install gcc*
#wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
#tar -zxvf 2.9.3.tar.gz
#cd ossec-hids-2.9.3
#./install.sh
安裝時有語言可以選擇。
這次先安裝英文的
按下「enter」
詢問要安裝哪種類型的套件
「agent」
安裝路徑,選擇預設即可。
輸入OSSEC HIDS伺服器的IP位址。
這邊輸入OSSIM的SERVER IP位址
本範例使用:172.16.131.195
剩下就照預設值就可以。
這邊有說找不到mail指令,之後安裝前要記得先安裝mail
出現錯誤
這邊主要的錯誤是沒有辦法make 。找不到cc這個指令。
這邊只要記得安裝gcc就不會出現這個問題。
#yum install gcc
安裝完成後重新執行install.sh
再次到這個步驟就會開始正常安裝
最後按下「Enter」完成安裝
安裝完成後有跟你說要manage_agents輸入authentication key
authentication key 從那邊來? 要從WEB端操作取得。
在web端添加agent訊息。
在ENVIRONMENT > DETECTION > HIDS > AGENTS
選擇Add Agent來新增主機
這邊要透過選用的方式來選擇主機。
也就是代表。要設定HIDS之前,這台主機要有被加入assets之內。
(不管是手動新增 or 網段偵測搜尋到)
選好主機後。會自動帶到下方的欄位內。我們只要按下SAVE就好。
完成後。就會在Agents的列表中出現
我們要的authentication key 也就是要從這邊取得。
針對主機點選「Extract key」就會跳出下面的藍色訊息。
訊息內就是我們要的authentication key 資訊,將他複製起來。
準備到Client輸入
回到Client端。
現在我們要執行manage_agents程式。
(主要是在輸入序號)
#/var/ossec/bin/manage_agents
到這邊就算是安裝完成(等待一下Server端應該會顯示Active),方法很簡單。
但很容易出現異常問題,有問題的時候要看Client端的LOG。
(有問題表示Server端偵測Client端不是active的狀態)
LOG路徑:/var/ossec/logs/ossec.log
另外重新啟動ossec 出現了其他的問題
# /var/ossec/bin/ossec-control restart
=!===
018/06/12 04:26:22 ossec-logcollector(1226): ERROR: Error reading XML file '/var/ossec/etc/shared/agent.conf': XMLERR: File '/var/ossec/etc/shared/agent.conf' not found. (line 84).
Started ossec-logcollector...
2018/06/12 04:26:22 ossec-syscheckd(1226): ERROR: Error reading XML file '/var/ossec/etc/shared/agent.conf': XMLERR: File '/var/ossec/etc/shared/agent.conf' not found. (line 84).
2018/06/12 04:26:22 ossec-syscheckd(1226): ERROR: Error reading XML file '/var/ossec/etc/shared/agent.conf': XMLERR: File '/var/ossec/etc/shared/agent.conf' not found. (line 84).
===!=
依照網路(https://github.com/ossec/ossec-hids/issues/1215)上的說法
這邊只要添加一個agent.conf檔案就可以了
#touch /var/ossec/etc/shared/agent.conf
接著重啟ossec-control 試試看
這次運作成功。但我們一樣先去確認LOG的狀況。
LOG中有顯示。已經連接到Server端,這樣子表示Client端正常了。
如果還有異常狀況,就要檢查Server端。
接著我們回Server端確認看看Agent是否正確連接。
出現如下圖Active表示正確連線
如果還是Disconnection ,那就要透過介面去確認Server端的LOG
在這邊就可以選擇要看哪方面的LOG資料
假設要看syslog。對著他按下Enter就可以查看。
進入前會提示你。當你不想再往下看的時候。按下[ q ]離開
這邊要另外提到清除LOG 資料的地方
(以前有介紹過)
這是清除
第一個選項是清除目前的LOG資訊,
第二個選項是清除過去備份的LOG資訊
如果是資料庫有問題,可以在這邊進行資料庫修復or還原
這邊可以修復or還原
接著回到Assets確認。可以看到剛剛設定HIDS的主機修改成「Connect」
這樣我們的主機就能夠接受完整性檢查、監控以及接受Rootkit掃描等功能。
針對主機啟動 Enable Availableitily Monitoring 防護。
接著我們測試Vulnerability Scan (一樣在上面的選單中)
完成後。對這台主機的監控就差不多準備好了。
OSSIM的架構非常大。功能非常多,
後續的就在交由大家自行測試練習。
後記:
(1)
如果要看Host有沒有被攻擊or其他資訊
可以到[analysis] > [alarms]確認
下圖可以看到一個警告訊息。
點選它之後。可以看到更進一步的資訊
(2) 忘記登入terminal介面密碼
Step1. 將iso重新掛載到主機上,並透過iso進行開機。
接著一樣進行安裝步驟,
直到選完鍵盤語系,進入設定網路的畫面開始要進行其他動作
Step2. 輸入指令
在設定網路畫面,按下ESC
選擇【呼叫Shell】
輸入指令:
把現在的空間掛載到/mnt
#mount -t ext4 /dev/sda1 /mnt
執行chroot /mnt並且開始重新設定密碼
#chroot /mnt
#passwd
密碼設定完成後,按下exit離開,並卸載/mnt
#umount /mnt
最後執行reboot 重新啟動。
就完成了密碼重新設定的動作。
#reboot
之後就可以用設定的密碼重新進行登入。
這樣不管之前到底有沒有啟用root,這邊都可以使用root進行登入了。
(3) 開機時開啟介面錯誤問題
OSSIM開啟後,一直卡在開啟畫面,無法切入到輸入帳密的畫面
(切換tty視窗時可以看到下面錯誤)
這個問題主要是CPU效能不足造成的,要正常啟動的話。
把CPU > 1顆調整成2顆即可排除問題。
實測後真的可以排除。
<本篇完>
參考網址:
https://www.secpulse.com/archives/67350.html
https://hk.saowen.com/a/0252017fb3604bd679961bffc6691a8a852593fdaa647dae46aeeb56dff41292
https://blog.csdn.net/i_chips/article/details/45480993
https://www.alienvault.com/forums/discussion/6274/ossim-installation-halts
https://linux.cn/blog-16176-6101.html