Home אבטחת מידעPenetration Testing - Defense הסבר התקנה והגדרת OSSIM מערכת SIEM

הסבר התקנה והגדרת OSSIM מערכת SIEM

by Tal Ben Shushan 29/09/2018 0 comment
הסבר התקנה והגדרת OSSIM מערכת SIEM

הסבר התקנה והגדרת OSSIM מערכת SIEM

OSSIM הוא קיצור של Open Source Security Information Management והוא מערכת SIEM Security information and event management

אז מה כל הפירושים האלו? SIEM מערכת לניהול אירועי אבטחת מידע זאת אומרת שהמערכת מקבלת נתונים מככל המערכות בארגון ומסדרת אותם בצורה נוחה לאיש אבטחת המידע, היא מנטרת, עוקבת ומתריע על התראות שאיש אבטחת המידע הגדיר ובכך יוצרת מעקב.
לדוגמה, איש אבטחת המידע רוצה לקבל התראות מActive Directory של כל משתמש שהתווסף לקבוצת Domain Admin, משתמשים שננעלו בארגון, שרתים שנוצרו על ידי מערכות כמו vMware או SCVMM, התראות שמגיעות ממערכות של חברות אבטחת המידע כמו האנטי ווירוס, מערכת איפוס סיסמאות , תקשורת בין שרתים \ מחשבים שלא אמורה להיות, התראות מתוך שרת המייל, סריקות ברשת של פורטים,  ועוד

בנקודות ה SIEM מבצע:

  • אוסף מידע מלוגים ובפרט SYSLOG ומציג את זה כאירוע
  • אוסף מידע מכמה מערכות ומבצע Correlation – קורלציה ובכך מציג תמונה “גדולה” יותר של  האירועים
  • מציג אירועים בזמן אמת
  • המערכת מג’נרטת (יוצרת) דוחות

את האיסוף מבצעים מהנקודות הבאות:

  • Log – מחשבים בארגון, פיירוואל, פרוקסי, מסדי נתונים של מערכות אחרות שמייצרות לוג (שרתי לינוקס למשל)
  • Flow Source – מאזין לרשת, Netflow ו Qflow
  • Vulnerability Scans – מערכת לסריקת חולשות כמו Nessus ו OpenVAS או Nexpuse
  • Asset Information – איסוף של הרכיבים ברשת וסריקתם, רשתות וניהול מה מהם חשוב יותר
  • Threat Interlligence – ב OSSIM זה ה OTX, מערכת שמקבלת עדכונים שוטפים ו IOC , למשל יצא חולשת אבטחה לווינדוס, על ידי הקהילה המערכת מקבל באופן מהיר יחסי “חתימה” או IOC ובכך ניתן לקבל התראה באם השתמשו בחולשה בסביבת הארגון
  • Watch Lists – מערכת שמבקרת ובודקת לפי הגדרות שאתם מגדירים כמו Blacklists

במאמר זה נתקין נגדיר והתפעל את OSSIM מערכת מסוג SIEM חינמית המערכת מציגה לאיש אבטחת המידע את כל הלוגים, SYSLOG והתראות מהמערכות השונות בפאנל ניהול אחד ובכך מאפשרת נוחות וראייה כוללת של מערכות האבטחה בארגון.
נכון להיום אין ארגון בסדר גודל בינוני – גדול ללא מערכת SIEM לרוב אלו יהיו מערכות פרימיום שעולות כסף כגון:
McAfee Enterprise Security Manager
IBM QRadar
AlienVault Unified Security Management
RSA NetWitness
LogRhythm Security Intelligence Platform
Splunk Enterprise Security
HP ArcSight
ניתן להתקין גרסת Demo או POC ולבדוק בארגונכם את מערכות ה SIEM האלו והם נחשבות לנפוצות ביותר בארגונים גדולים.

במאמר זה אני אכתוב על Correlation Directives בניטור לוגים, איתור בעיות אבטחה וחולשות בעזרת OTX, אכתוב על Polices והתראות דחופות למנהל הארגון ובכך ננסה לבין כיצד עובדת מערכת SIEM אשר מוגדרת כמו שצריך ממערכות שונות כמו SYSLOG וכיצד איש אבטחת המידע מטייב את כל המידע הרב הנצבר במערכת זוכעת נוריד את OSSIM:

https://www.alienvault.com/products/ossim/download

דרישות:

  • שרת שמותקן בו DC
  • מחשב Windows 7/8/10
  • הפיירוואל מנוטרל בהם

לאחר ההורדה ניצור מכונה וירטואלית חדשה ונתחיל בהתקנה

נגדיר שפה ונמשיך

נגדיר את כתובת ה IP של OSSIM

נגדיר את ה Subnet

נגדיר את ה Default Gateway

נגדיר את שרת ה DNS

נגדיר סיסמא ל Root

כעת נגדיר פרטים נוספים למערכת שנוכל להתחבר אחר כך לפאנל הניהול

בסיום ההתקנה, נפתח את הדפדפן וניגש למערכת בכתובת ה IP שהזנתם למעלה

כעת נבצע הגדרות בסיסיות למערכת

כעת נשאיר את הפורט על ניהול, שכן אנחנו יכולים להגדיר עוד פורט שיאזין לרשת

כעת נוכל לסרוק את הרשת \ רשת אחרת על מנת לאתר מחשבים \ שרתים \ רכיבים ברשת ולסמן את הסוג שלהם בהתאם
מערכת לינוקס \ ווינדוס

לחצו על Scan Networks ובכך תוכלו לסרוק את כל הרשתות שאתם רוצים

בסיום תקבלו רשימה של כל הרכיבים ברשת

כעת נבחר שיסרוק ויגלה רכיבים חדשים באופן שבועי

לאחר שסיימתם לאתר את הרכיבים בארגון המשיכו ל Deploy HIDS

HIDS הוא Host-based Intrusion Detection System אך ב OSSIM הוא ה Agent שמנטר את הרכיבים ולכן יש להתקין אותם בהם

במסך זה אנו נפיץ למחשבים הנמצאים בדומיין את HIDS ולכן חייב הרשאות לפחות של Local Admin על מנת להתקין אותו

בגלל שזה סביבת ניסוי, נתתי הרשאות מלאות של Domain Admin

*חובה לבטל את ה Firewall גם בשרת וגם בתחנה

אם יש לכם סביבת לינוקס בארגון תוכלו להזין את השם משתמש לSSH

לרוב בארגונים קיים פיירוואל או ראוטר, ניתן להגדיר את סוגו ולקבל ממנו גם התראות, תלוי לפי החברה ודגם הרכיב

OTX הוא התקפות וחולשות הקיימות במערכות שקהילת ה OSSIM מפרסמים, ברגע שתצטרפו תוכלו לקבל חיווי על התקפות שקיימות ואם רכיבים אצלכם בארגון חשופים אליהם או שנחשפו לחולשה.

נרשמים באתר של OSSIM

מתחברים

ומזינים את ה OTX Key

ולסיום לחצו על Finish

לחצו על Explore

נתחיל בלוודא שה HIDS הופצו

192.168.31.167 – Windows 7

192.168.31.128 – שרת הDC שהוא Windows Server 2016

*יש לוודא פיירוואל מכובה

נלחץ על Enviroment ואז Assets & Group

ניתן להבחין שהסוכן לא הופץ לDC

נסמן אותו ב V ואז Deploy Agent כמו בתמונה

נזין את ההרשאות

נלך למרכז ההודעות למעלה

נבחין שההפצה הצליחה

נחזור ל Assets ושם נבחין שהוא מחובר

אם נעבור לתחנה לנתיב

C:\Program Files \ ossec-agent

נוכל להבחין שהסוכן מותקן

אם נפעיל אותו נבחין שניתן לעצור אות ואו לרסט אותו אם יש תקלה בסוכן

לפני שנעבור לדברים המתקדמים יותר, נתחיל בלשייך חוקים לסוכן (זאת אומרת מה הסוכן יאסוף) ונמשיך לבדוק איזה התראות אנחנו מקבלים ב SIEM

הסוכן בעצם עוקב אחרי ה Event Viewer וכל Event ID שהגדרתם לו לדווח לכם הוא ידווח, כמובן עם הפרטים הקיימים בתוך ה”אירוע” ויסדר את זה בצורה נוחה

רשימת החוקים ואיזה Event ID הם מתריעים עליהם ניתן לראות באתר של OSSIM כאן

נעבור שוב לEnviroment ואז Detection

כעת נשייך את כל החוקים שהוספתי למטה ומסומנים לכם (הוסיפו מצד שמאל לימין)

שתדעו, בלשונית HIDS Control נוכל לבצע ריסטרט אם יש בעיות בסוכן ברמת הרשת

כעת אחרי שהגדרנו חוקים, נגדיר בGroup Policy בשרת שחשבון ננעל לאחר 3 ניסיונות

ננסה להתחבר עם חשבון בשם Noy יותר 3 פעמים עד שינעל

כעת נקבל הודעה שהחשבון ננעל

במערכת נלחץ על Analysis ואז SIEM

נסמן Username like ואז את שם המשתמש שהוא Noy

התוצאה תציג לנו שהחשבון ננעל

כאן נקבל פרטים נוספים על הנעילה

חוק נוסף שהכנסנו הוא שינוי קבוצות ב AD, נפתח את ה AD ב DC ונוסיף לקבוצת ה Domain Admins את המשתמש Roy

כעת נחזור ל SIEM נרענן ונבחין בהתראה שהתווסף לקבוצה DA משתמש

במידע נוסף נבחין מי המשתמש שהוסיף אותו , וזה מה שאנשי אבטחת מידע רוצים לדעת

המשתמש Administartor הוא זה שהוסיף את Roy

מתקדם

Vulnerabilities

  • המשך המאמר נכתב עם התקנה חדשה של OSSIM ותחנות אחרות מהתמונות למעלה (התאימו את הפעולות לסביבה שלכם)

במערכת ה OSSIM קיימת מערכת Vulnerabilities, המערכת סורקת את רכיבי הרשת, מערכות הפעלה, רכיבי רשת , ממש כמו Nessus או OpenVas תחילה נכנס ל Enviroment ושם ל Vulnerabilities

כעת נכנס ל Scan Jobs ואז New Scan Job

נרשום Windows 10 ואז נבחר את התחנה \ הרשת שאנו רוצים לסרוק ואז Save

כעת נמתין שהסריקה תתחיל

נמתין עד שהסריקה תתחיל

בסיום נקבל את ההודעה שהסריקה הסתיימה,

נלחץ על הכפתור HTML או על הסריקה עצמה

נוכל להבחין בכל החולשות שהסריקה מצאה

מערכת ה OSSIM אינה מיועדת בשביל Vulnerabilities, אך יכולה לתת מבט על, הייתי ממליץ להשתמש במערכות כמו Nessus או OpenVAS בארגון על מנת לקבל חיווי טוב יותר על ה Vulnerabilities והחולשות הנמצאות ברכיבי הארגון.

Syslog – Pfsense

Syslog – פרוטוקול לאיסוף המידע – הסטנדרט בתעשייה (פורט 514)
אנו נשתמש בו על מנת לקבל התראות מ pFsense Firewall

  • במאמר זה כמובן יש שימוש ב pFsense כFirewall

נתחיל מ pFsense בכך שנגדיר אותו לשלוח לנו Syslog, ניכנס ל Status ואז System Logs ושם ל Settings

נרד למטה ונסמן למשל את ה Firewall Events (ניתן לסמן הכל, אך כרגע פחות מומלץ להעמיס על OSSIM בסביבת ניסוי)

כעת נכנס לאתר Github על מנת להוריד Plugin מוכן ל pfsense

Plugins הם למעשה תוספים למערכת ה OSSIM קיימים המון Plugins במערכת ה OSSIM כמו Cisco ו Juniper או Checkpoint וכו’ וזאת על מנת שהמערכת תדע לקרוא את הSyslog של כל מערכת ותסדר את זה בצורה הנכונה.

נוריד את הקובץ, נחלץ אותו ונעביר אותו לשרת ה OSSIM (ע”י Winscp) לתיקייה בנתיב כמו בתמונה

כעת נעבור למערכת ה OSSIM ושם נפתח את Environment ואז Assets, נלחץ על הרכיב שהוא ה pFsense ( הוא 192.168.1.1 שכן הוא ה Default Gateway ברשת שלי)

נלחץ על הסימון הצהוב בתמונה

נבחר בלשונית Plugins ואז נבחר ב pfsense FIrewall כמו בתמונה

כעת מערכת ה OSSIM תקבל את כל ההתראות מה Firewall וספציפית בלוגים ש pfsense שולח לנו ב Syslog (מקודם בחרנו איזה לוגים לקבל)

Corelletion – קורלציה

דרישות:

  • מערכת OSSIM
  • DC
  • מחשב PC1 המחובר לדומיין

אחד הפיצ’רים החזקים במערכת ה OSSIM היא הקורלציה, ביטוי זה אומר שניתן להגדיר למערכת ה SIEM להתריע לנו על סדרת אירועים שמתרחשת ברצף, נניח שיש לנו מערכת כמו Active Directory בארגון, אני רוצה לקבל התראה על כל משתמש שמתווסף לקבוצת ה Domain Admins התראה זו אמורה להתבצע אוטומטית על ידי מערכת ה SIEM (בכך שנוסיף Rule כזה, והוספנו עיינו בתחילת המאמר) אבל זה שהתווסף משתמש לקבוצה Domain Admins , לא אומר שיש כאן בעיה \ הארגון נפרץ.

אבל, האם הגיוני שאם קורה המצב הבא: משתמש חדש נוצר, מתווסף ל Domain Admin זה כן חשוד? שכן זה משתמש חדש שלא היה לפני והסיכויים שמשתמש חדש הגיע לארגון ונותנים לו הרשאות של Domain Admins הם נמוכות.

הקורלציה הזו (שילוב) של משתמש חדש, התווסף ל Domain Admins Group והסיסמא שלו מתאפסת, היא חשודה מאוד! ולכן נוכל להגדיר שנקבל התראה ברמה חמורה ובה נקבל את השילוב של המידע הזה, איזה משתמש נוצר? על ידי מי? ולאיזה קבוצה הוסיפו אותו?

Corelletion מסוגל גם לבצע את השילוב הזה מכמה מערכות שונות, לדוגמה: האנטי ווירוס נתן התראה על ווירוס במעל 5 שרתים באותו היום ומשתמש התחבר לכל השרתים הללו, השילוב כאן הוא של מערכת האנטי ווירוס ומערכת ה Active Directory שמשתמש התחבר למערכת ההפעלה בשרת, דבר זה נראה חריג מאוד ונשמע כמו Lateral Movement

עוד צורה היא למשל 10 ניסיונות התחברות נכשלו ואחרי אותן 10 ניסיונות החיבור הצליח – זה נשמע תקין

אבל אם יתרחש 100 או 1000 או 10,000 אנחנו כנראה נמצאים ב Brute Force Attack ויש לקבל התראה על כך

במערכת קיימים מעל 4500 Directives שהם קורלציות שונות (בגרסה המלאה של AlienVault)
כמוAlienVault Attacks או AlienVault BruteForce וכו’

אני אציג לכם כעת כיצד ליצור Corelletion מהסוג הזה ועל ידי כך תוכלו ליצור כל Corelletion שתחשבו עליו ומעלה סכנה לארגונכם, בכל מערכת ובכל מצב

  • הקורלציה: משתמש חדש מתווסף לקבוצת ה Domain Admins Group ולאחר מכן הסיסמא משתנה.

אם לא בצעתם את המדריכים למעלה, יש צורך להגדיר את החוקים הבאים:

היכנסו ל Environemnt ואז Detection והלשונית Rules

הוסיפו מצד ימין לשמאל את האופציות המסומנות באדום

כעת נכין את הקורלציה

ב Configuration ואז ל Threat Interlligence ושם ללשונית Directives

  • בגלל שאנחנו בגרסה החופשית, אין את כל ה Directives שציינתי למעלה

כעת נלחץ על New Directive

ניתן שם לקורלציה AdminAndPassword ונגדיר כמו בתמונה

נסמן את ה Priority כ5, אתם יכולים להגדיר כאן מה שתחליטו לפי דעתכם ושיוך ההגדרה שלכם

שם החוק הראשון – AdninGroupChanged שבו נגדיר שאם הקבוצה Domain Admins משתנה

כעת נוסיף את ההתראות שיתקבלו למערכת, זאת אומרת ה Plugin שנחבר יהיה בתוכו את ה Event שנוצר ברגע שהקבוצה של המנהלים משתנה

בחיפוש נחפש domain admin ונוסיף את ה Event 18222 שהוא Domain Admins Group Changed

כעת המערכת שואלת באיזה רשתות? מערכות? רכיבי רשת, אנחנו יודעים שכל ה DC והמחשבים של הארגון נמצאים ברשת 192.168.1.0 ולכן נוסיף את הרשת עצמה ולא את הנכסים (המחשבים בארגון לדוגמה)

האמינות של הרשת במקרה זה נסמן 10

נלחץ הבא

כאן תוכלו לבחור אם יש פרוטוקול תקשורת מסוים

כאן ניתן לסמן מאיזה Sensor זה יגיע, אם קיים יותר מSensor אחד

ניתן כאן להגדיר הרשאות \ קובץ מסוים ל Sensor לחצו הבא

כאן ניתן להגדיר אם זה “יתריע” רק אם משתמש מסוים שנבחר יבצע את ה Event הזה

כעת סיימנו את ההגדרה הראשונה, כעת צריך להגדיר שאם הסיסמא שלו מתאפסת אז יווצר האירוע

לחצו על הסימון בתמונה

כעת נקרא לזה כמובן ResetPasswordByAdmin

כעת נבחר את הEvent Type הבא

Account Changed

נרשום בחיפוש admin ואז נבחר ב an admin Attempted to reset an user password 100302

ונלחץ כמו במסומן בתמונה

גם כאן את הרשתות של המחשבים בארגון

נסמן באמינות 10+, זאת אומרת שהחומרה ה Risk יחושב על ידי ה Priority שסימנו קודם כפול האימינות (שזה מה שעכשיו נסמן) כפול הערך של ה Asset – שהוספתם רכיב יכלתם לתת לו ערך – אני כמובן במאמר זה רוצה להגדיר כאילו הקורלציה הזו היא החומרה שבחמורים

כעת נלחץ סיום

כך נראה החוק שלנו

כעת נלחץ על הכפתור Reload Directives

כעת נבדוק שאכן החוק עובד, נעבור לשרת ה DC שלנו

יצרתי משתמש בשם Shun וכעת אוסיף אותו לקבוצת ה Domain Admins

כעת נאפס לו את הסיסמא

זהו. נבדוק את מערכת ה OSSIM נכנס כמו בתמונה

קיבלנו התראה על System Compromise (כמו שסימנו בתחילת המאמר) ולמטה את התת קטגוריה שבחרנו גם קודם

Suspicious Behavior נלחץ עליו

כעת ה View Details

נוכל לקבל כאן מידע נוסף או לחץ על השורה הירוקה

כאן נוכל להבחין, מי היוזר שהתווסף לקבוצת ה Domain Admins, איזה קורלציה וEvents יצרו את האירוע הזה ומי המשתמש שהוסיף את Shun לקבוצה של המנהלים  והוא Administrator

 

 

מאמרים קשורים

Leave a Comment