close

現場(環境):ALIEN VALUT OSSIM 5.5.1

 

Step 1.到官方網站下載相關ISO

網址: https://www.alienvault.com/products/ossim

Step 2. 透過ISO進行系統安裝

輸入連線IP資訊

輸入GW

 

設定DNS主機

 

(這邊要注意,這邊略是略過,則是關閉root,然後接著創建可以sudo的一般帳號,如果想要用root的人,這邊要設定密碼。<基於安全考量root關閉比較好>)

 

創建一般帳號連線資訊

設定完密碼後即開始安裝(注意網路連線一定要是暢通的才行)

安裝時間會比較久,完成安裝後會重新啟動

接著就會再這個畫面(這邊就表示安裝完成)

如果OSSIM初始畫面卡住(在後記有補充該如何處理)

還是可以靠alt + ctrl + F1-F6 切換到terminal介面(tty)

 

接著我們要透過瀏覽器去連結他。

https://[IP位址]/ossim

這邊我們需要再建立一次帳號的相關資訊

 

依欄位填寫好。並輸入地區

 

完成後就會讓你準備進行登入  (帳號/密碼 用剛剛設定的)

再來就是首次登入OSSIM的一些設定

這邊有偵測到本機端的OSSIM & 連結上來的主機IP位置

 

上面的選項有一個scan network

這個可以掃描整個網段。但是會花非長久的時間

這個也可以進入管理介面之後再做。

 

這個步驟是配置遠程HIDS進行監控。(這邊要帳密用以定期訪問)


參考網址提到:這一步是為了部署HIDS而設置,主要目的是執行文檔完整性監控,Rootkit檢測以及收集日誌。注意:無論是win/linux主機部署HIDS,都要先關閉其防火牆,才能自動部署成功。

 

帳密輸入後。點選deploy就會開始佈署。

出現這個畫面表示佈署完畢。

 

這個畫面表示,OSSIM掃描的時候,沒有掃到環境中的網路設備。

(這邊可以先跳過)

 

如果有掃描到,可以另外輸入網路設備資訊

設定完成會如下圖

 

這邊詢問的是否要加入OTX(Open Threat Exchange 開放式威脅交流)

因為這邊要輸入OTX Key。所以要記得加入

選擇SIGN UP NOW 前往註冊

註冊完成後。到註冊的信箱收信。並點選連結啟動帳號

連結到網站後。進行登入。就可以看到OTX Key (輸入到安裝步驟的序號)

(這邊的序號是可以再生的)

 

最後就是完成安裝

 

接著就可以看到我們OSSIM的登入頁面了。

接著到Terminal介面

更新套件:

 

這邊也可以更新系統& Threat Intelligence (威脅情報)

接著確認是否要進行系統更新 (這邊會花費很長的時間。個人花了快1小時)

更新完成後會出現更新完成的畫面。

Threat Intelligence (威脅情報) 更新則是會比較快

 

整體更新完成之後再次登入

(帳號密碼是我們透過瀏覽器連結到ossim時設定的帳密)

可以在Threat Database確認更新套件的狀況

 

如果想要加監控主機的話

增加Asset主機

 

這邊填寫有*的欄位就可以。(主要是Name / IP Address)

但是這種加法有點慢,建議可以用掃描網段的去添加

首先要添加網段

添加網段

 

接著會跳出相關資訊

 

接著就可以進行掃描

接著可以開始掃描。(主要是透過nmap掃描)

關於掃描的選項使用,參考網址有詳細說明

scan type / Fast Scan :表示掃描最常用的100Port

scan type / Full Scan : 全部的Port都要掃描(會很久)

scan type / Custom : 自行定義要掃描的Port

timing template/Normal :

已達到最快Input/Output的方式掃描,不會使網路過載or缺少掃描的主機/Port

Autodetect Services and Operating System:

檢查服務&系統版本 (預設啟用)

Enable Reverse DNS Resolution:

確認主機IP & Domain Name的關聯(預設啟用)

 

之後就可以看到掃描到的資訊

 

前面都是透過WEB端的單向掃描,操作大概介紹到這。

 

 

接著要講比較重要的部份。也就是監控端主機的設定。

要監控主機端。我們要幫他安裝上ossec HIDS套件。

 

在那之前要先安裝前置套件mail。後面裝agent{rootkit detection}時會用到。

這樣安裝時才不會跑出錯誤

#yum install mailx

安裝gcc ,讓後面安裝編譯使用

#yum install gcc   或者  #yum install gcc*

 

#wget  https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz

#tar -zxvf 2.9.3.tar.gz

#cd ossec-hids-2.9.3

#./install.sh

 

安裝時有語言可以選擇。

這次先安裝英文的

按下「enter

詢問要安裝哪種類型的套件

agent

安裝路徑,選擇預設即可。

輸入OSSEC HIDS伺服器的IP位址。

這邊輸入OSSIMSERVER IP位址

本範例使用:172.16.131.195

剩下就照預設值就可以。

這邊有說找不到mail指令,之後安裝前要記得先安裝mail

出現錯誤

這邊主要的錯誤是沒有辦法make 。找不到cc這個指令。

這邊只要記得安裝gcc就不會出現這個問題。

#yum install gcc

 

安裝完成後重新執行install.sh

再次到這個步驟就會開始正常安裝

 

最後按下「Enter」完成安裝

 

安裝完成後有跟你說要manage_agents輸入authentication key

 

authentication key 從那邊來? 要從WEB端操作取得。

 

web端添加agent訊息。

ENVIRONMENT > DETECTION > HIDS > AGENTS

選擇Add Agent來新增主機

這邊要透過選用的方式來選擇主機。

也就是代表。要設定HIDS之前,這台主機要有被加入assets之內。

(不管是手動新增 or 網段偵測搜尋到)

 

選好主機後。會自動帶到下方的欄位內。我們只要按下SAVE就好。

 

完成後。就會在Agents的列表中出現

 

我們要的authentication key 也就是要從這邊取得。

針對主機點選「Extract key」就會跳出下面的藍色訊息。

訊息內就是我們要的authentication key 資訊,將他複製起來。

準備到Client輸入

 

回到Client端。

現在我們要執行manage_agents程式。

(主要是在輸入序號)

#/var/ossec/bin/manage_agents

 

到這邊就算是安裝完成(等待一下Server端應該會顯示Active),方法很簡單。

 

但很容易出現異常問題,有問題的時候要看Client端的LOG

(有問題表示Server端偵測Client端不是active的狀態)

LOG路徑:/var/ossec/logs/ossec.log

 

另外重新啟動ossec 出現了其他的問題

# /var/ossec/bin/ossec-control restart

 

=!===

018/06/12 04:26:22 ossec-logcollector(1226): ERROR: Error reading XML file '/var/ossec/etc/shared/agent.conf': XMLERR: File '/var/ossec/etc/shared/agent.conf' not found. (line 84).

Started ossec-logcollector...

2018/06/12 04:26:22 ossec-syscheckd(1226): ERROR: Error reading XML file '/var/ossec/etc/shared/agent.conf': XMLERR: File '/var/ossec/etc/shared/agent.conf' not found. (line 84).

2018/06/12 04:26:22 ossec-syscheckd(1226): ERROR: Error reading XML file '/var/ossec/etc/shared/agent.conf': XMLERR: File '/var/ossec/etc/shared/agent.conf' not found. (line 84).

===!=

 

依照網路(https://github.com/ossec/ossec-hids/issues/1215)上的說法

這邊只要添加一個agent.conf檔案就可以了

#touch /var/ossec/etc/shared/agent.conf

 

接著重啟ossec-control 試試看

 

這次運作成功。但我們一樣先去確認LOG的狀況。

LOG中有顯示。已經連接到Server端,這樣子表示Client端正常了。

如果還有異常狀況,就要檢查Server端。

 

接著我們回Server端確認看看Agent是否正確連接。

出現如下圖Active表示正確連線

 

如果還是Disconnection ,那就要透過介面去確認Server端的LOG

在這邊就可以選擇要看哪方面的LOG資料

 

假設要看syslog。對著他按下Enter就可以查看。

 

進入前會提示你。當你不想再往下看的時候。按下[ q ]離開

 

這邊要另外提到清除LOG 資料的地方

(以前有介紹過)

這是清除

 

第一個選項是清除目前的LOG資訊,

第二個選項是清除過去備份的LOG資訊

 

如果是資料庫有問題,可以在這邊進行資料庫修復or還原

 

這邊可以修復or還原

 

接著回到Assets確認。可以看到剛剛設定HIDS的主機修改成「Connect

 

這樣我們的主機就能夠接受完整性檢查、監控以及接受Rootkit掃描等功能。

針對主機啟動 Enable Availableitily Monitoring 防護。

 

接著我們測試Vulnerability Scan (一樣在上面的選單中)

 

完成後。對這台主機的監控就差不多準備好了。

OSSIM的架構非常大。功能非常多,

後續的就在交由大家自行測試練習。

 

後記:

(1)

如果要看Host有沒有被攻擊or其他資訊

可以到[analysis] > [alarms]確認

下圖可以看到一個警告訊息。

 

點選它之後。可以看到更進一步的資訊

 

(2) 忘記登入terminal介面密碼

 

Step1. iso重新掛載到主機上,並透過iso進行開機。

接著一樣進行安裝步驟,

直到選完鍵盤語系,進入設定網路的畫面開始要進行其他動作

 

Step2. 輸入指令

在設定網路畫面,按下ESC

 

選擇【呼叫Shell

 

輸入指令:

把現在的空間掛載到/mnt

#mount -t ext4 /dev/sda1 /mnt

執行chroot /mnt並且開始重新設定密碼

#chroot /mnt

#passwd

密碼設定完成後,按下exit離開,並卸載/mnt

#umount /mnt

最後執行reboot 重新啟動。

就完成了密碼重新設定的動作。

#reboot

之後就可以用設定的密碼重新進行登入。

這樣不管之前到底有沒有啟用root,這邊都可以使用root進行登入了。

 

(3) 開機時開啟介面錯誤問題

OSSIM開啟後,一直卡在開啟畫面,無法切入到輸入帳密的畫面

(切換tty視窗時可以看到下面錯誤)

這個問題主要是CPU效能不足造成的,要正常啟動的話。

CPU  > 1顆調整成2顆即可排除問題。

實測後真的可以排除。

 

<本篇完>

 

參考網址:

https://www.secpulse.com/archives/67350.html

https://hk.saowen.com/a/0252017fb3604bd679961bffc6691a8a852593fdaa647dae46aeeb56dff41292

https://blog.csdn.net/i_chips/article/details/45480993

https://www.alienvault.com/forums/discussion/6274/ossim-installation-halts

https://www.alienvault.com/documentation/usm-appliance/kb/2015/05/recovering-lost-root-password-on-alienvault-appliances.htm

https://linux.cn/blog-16176-6101.html

 

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 IT001 的頭像
    IT001

    IT001

    IT001 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄