AlienVault: убежище инопланетян или полезный инструмент? | OTUS
⚡ Подписка на курсы OTUS!
Интенсивная прокачка навыков для IT-специалистов!
Подробнее

Курсы

Программирование
Team Lead Архитектура и шаблоны проектирования Разработчик IoT C# Developer. Professional PostgreSQL Подготовка к сертификации Oracle Java Programmer (OCAJP) C# ASP.NET Core разработчик
-5%
Kotlin Backend Developer
-8%
iOS Developer. Professional
-8%
Symfony Framework Unity Game Developer. Basic JavaScript Developer. Professional Android Developer. Basic JavaScript Developer. Basic Java Developer. Professional Highload Architect Reverse-Engineering. Professional Java Developer. Basic PHP Developer. Professional Алгоритмы и структуры данных Framework Laravel Cloud Solution Architecture Vue.js разработчик Интенсив «Оптимизация в Java» Супер - интенсив по паттернам проектирования Супер - интенсив по Kubernetes Супер-интенсив "Tarantool" PHP Developer. Basic
Инфраструктура
Мониторинг и логирование: Zabbix, Prometheus, ELK Дизайн сетей ЦОД Разработчик IoT PostgreSQL Экспресс-курс "Версионирование и командная работа с помощью Git"
-30%
Экспресс-курс «Введение в непрерывную поставку на базе Docker» Базы данных Reverse-Engineering. Professional Administrator Linux. Professional Network engineer Cloud Solution Architecture Внедрение и работа в DevSecOps Супер-практикум по работе с протоколом BGP Супер - интенсив по паттернам проектирования Супер - интенсив по Kubernetes Супер-интенсив «СУБД в высоконагруженных системах» Супер-интенсив "Tarantool" Network engineer. Basic
Корпоративные курсы
Безопасность веб-приложений IT-Recruiter Дизайн сетей ЦОД Компьютерное зрение Разработчик IoT Вебинар CERTIPORT Machine Learning. Professional
-6%
NoSQL Пентест. Практика тестирования на проникновение Java QA Engineer. Базовый курс Руководитель поддержки пользователей в IT
-8%
SRE практики и инструменты Cloud Solution Architecture Внедрение и работа в DevSecOps Супер-практикум по работе с протоколом BGP Infrastructure as a code Супер-практикум по использованию и настройке GIT Промышленный ML на больших данных Экспресс-курс «CI/CD или Непрерывная поставка с Docker и Kubernetes» BPMN: Моделирование бизнес-процессов Основы Windows Server
Специализации Курсы в разработке Подготовительные курсы Подписка
+7 499 938-92-02

AlienVault: убежище инопланетян или полезный инструмент?

Linux_Deep_3.07_site-5020-465e78.png

OSSIM — комплексная система безопасности. Приятно, что Open Source. Есть и платная версия (всем, кому интересно, сюда). И, конечно, такой инструмент очень любит ресурсы. Ниже приведена рабочая конфигурация.

Выделенные мощности: • Количество vSocket – 6 • Количество ядер на vSocket – 6 • RAM – 16 GB • Объём жёсткого диска – 160 GB • Количество сетевых интерфейсов – 3: — eth0 - Local — eth1 - span (Promiscuous mode) — eth2 - span (Promiscuous mode)

Установленная ОС — Debian 8.10 базовый образ, поставляется с системой.

Настройки сетевых интерфейсов: • eth0 (local) - 192.168.123.12 Management • eth1(SPAN) - Network Monitoring • eth2(SPAN) - 192.168.123.123 Log Collection & Scanning

Используется базовый образ AlienVault OSSIM

OSSIM «из коробки» включает в себя функционал: • Сбор, анализ и корреляция событий — SIEM • Хостовая система обнаружения вторжений (HIDS) — OSSEC • Сетевая система обнаружения вторжений (NIDS) — Suricata • Беспроводная система обнаружения вторжений (WIDS) — Kismet • Мониторинг узлов сети — Nagios • Анализ сетевых аномалий – P0f, PADS, FProbe, Arpwatch и др. • Сканер уязвимостей – OpenVAS • Система обмена информацией об угрозах между пользователями OSSIM — OTX

Описание сервиса

AlienVault — OSSIM (Open Source Security Information Management) — система управления, контроля и обеспечения информационной безопасности. Настраивается из коробки, собственно качаем образ разворачиваем.

Есть несколько нюансов. Сервис должен иметь несколько интерфейсов. В моём случае 3 — 2 из них работают в неразборчивом режиме (если кратко, то это когда плата принимает весь трафик независимо от того, кому он принадлежит, подробней тут).

Я настраивал на esx 6.0, в сети есть несколько устаревших инструкций, но проблем не составит настроить по ним. Можно установить клиента для мониторинга ossec. Тоже Open Source, имеет свой собственный сервер, вообще можно отдельно про него написать как-нибудь (если интересно, напишите в комментариях). Поинтересоваться можно тут.

Управляется всё это через веб-интерфейс с большим количеством настроек

1 — Переходим по ссылке https://адрес_сервера/ 2 — Вводим логин и пароль:

image001-20774-0ee2fe.png

3 — Попадаем в панель мониторинга Dashboard:

image002-20774-23c2d1.png

Для удобства выведена обобщённая информация о событиях:

image004-20774-2633cf.png Есть возможность просмотреть информацию по разным типам событий:

image003-20774-aa9bad.png

Executive – информация о событиях, их количестве, топ хостов генерирующих события:

image006-20774-f93b84.png

Tickets – система не только логирует события но и вешает тикеты, которые предполагают какую-то реакцию:

image011-20774-ec293d.png

Security – описывает топ событий безопасности, некорректный ввод пароля, неправильный логин и похожие события:

image012-20774-7818ed.png

Taxonomy – вирусная активность:

image015-20774-176be4.png

Vulnerabilities – Уязвимости, выявленные сканером как реалтайм, так и шедулером:

image017-20774-a9bce6.png

4 — Cистема анализа трафика Analysis:

image020-20774-0c699c.png

Вкладка Alarms:

image023-20774-35a08d.png

Обновляется каждые 5 минут. Показывает атаки, уязвимости, внедрения и т.п. события. События берёт с интерфейсов eth0 eth1 eth2, клиентов ossec и логов при условии, что плагин будет понимать событие.

Вкладка SECURITY EVENTS (SIEM) — фильтр событий безопасности. Также здесь можно найти интересующее событие и допуски события уровню безопасности.

5 — Вкладка Environment:

ASSETS & GROUPS – устройства и группы устройств VULNERABILITIES – информация о уязвимостях NETFLOW – типы трафика и их объём TRAFFIC CAPTURE - захват трафика DETECTION – информация об установленных клиентах ossec их статус и возможность добавить, перезагрузить, проверить некоторые файлы и т.п. действия. Также здесь есть конфигурационные файлы мониторингов, управление службами мониторинга (старт/стоп).

6 — Reports — отчёты в разных форматах.

7 — Configuration:

Administrations – конфигурирование сервера. DEPLOYMENT – Информация о состоянии сервера, сенсоров. Возможность посмотреть нагрузку на сервер, занятое дисковое пространство.

Вывод

После нескольких месяцев эксплуатации могу сказать, что продукт крайне полезный. Можно узнать о своей сети много интересного. Пробуйте и задавайте вопросы в комментариях: чем смогу, помогу!

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться