Home אבטחת מידעInformation Security הסבר התקנה והגדרת OSSIM מערכת SIEM

הסבר התקנה והגדרת OSSIM מערכת SIEM

by Tal Ben Shushan 29/09/2018 0 comment
הסבר התקנה והגדרת OSSIM מערכת SIEM

הסבר התקנה והגדרת OSSIM מערכת SIEM

OSSIM הוא קיצור של Open Source Security Information Management והוא מערכת SIEM Security information and event management

אז מה כל הפירושים האלו? SIEM מערכת לניהול אירועי אבטחת מידע זאת אומרת שהמערכת מקבלת נתונים מככל המערכות בארגון ומסדרת אותם בצורה נוחה לאיש אבטחת המידע, היא מנטרת, עוקבת ומתריע על התראות שאיש אבטחת המידע הגדיר ובכך יוצרת מעקב.
לדוגמה, איש אבטחת המידע רוצה לקבל התראות מActive Directory של כל משתמש שהתווסף לקבוצת Domain Admin, משתמשים שננעלו בארגון, שרתים שנוצרו על ידי מערכות כמו vMware או SCVMM, התראות שמגיעות ממערכות של חברות אבטחת המידע כמו האנטי ווירוס, מערכת איפוס סיסמאות , תקשורת בין שרתים \ מחשבים שלא אמורה להיות, התראות מתוך שרת המייל, סריקות ברשת של פורטים,  ועוד

במאמר זה נתקין נגדיר והתפעל את OSSIM מערכת מסוג SIEM חינמית המערכת מציגה לאיש אבטחת המידע את כל הלוגים, SYSLOG והתראות מהמערכות השונות בפאנל ניהול אחד ובכך מאפשרת נוחות וראייה כוללת של מערכות האבטחה בארגון.
נכון להיום אין ארגון בסדר גודל בינוני – גדול ללא מערכת SIEM לרוב אלו יהיו מערכות פרימיום שעולות כסף כגון:
McAfee Enterprise Security Manager
IBM QRadar
AlienVault Unified Security Management
RSA NetWitness
LogRhythm Security Intelligence Platform
Splunk Enterprise Security
HP ArcSight
ניתן להתקין גרסת Demo או POC ולבדוק בארגונכם את מערכות ה SIEM האלו והם נחשבות לנפוצות ביותר בארגונים גדולים.

במאמר זה אני אכתוב על Correlation Directives בניטור לוגים, איתור בעיות אבטחה וחולשות בעזרת OTX, אכתוב על Polices והתראות דחופות למנהל הארגון ובכך ננסה לבין כיצד עובדת מערכת SIEM אשר מוגדרת כמו שצריך ממערכות שונות כמו SYSLOG וכיצד איש אבטחת המידע מטייב את כל המידע הרב הנצבר במערכת זוכעת נוריד את OSSIM:

https://www.alienvault.com/products/ossim/download

דרישות:

  • שרת שמותקן בו DC
  • מחשב Windows 7/8/10
  • הפיירוואל מנוטרל בהם

לאחר ההורדה ניצור מכונה וירטואלית חדשה ונתחיל בהתקנה

נגדיר שפה ונמשיך

נגדיר את כתובת ה IP של OSSIM

נגדיר את ה Subnet

נגדיר את ה Default Gateway

נגדיר את שרת ה DNS

נגדיר סיסמא ל Root

כעת נגדיר פרטים נוספים למערכת שנוכל להתחבר אחר כך לפאנל הניהול

בסיום ההתקנה, נפתח את הדפדפן וניגש למערכת בכתובת ה IP שהזנתם למעלה

כעת נבצע הגדרות בסיסיות למערכת

כעת נשאיר את הפורט על ניהול, שכן אנחנו יכולים להגדיר עוד פורט שיאזין לרשת

כעת נוכל לסרוק את הרשת \ רשת אחרת על מנת לאתר מחשבים \ שרתים \ רכיבים ברשת ולסמן את הסוג שלהם בהתאם
מערכת לינוקס \ ווינדוס

לחצו על Scan Networks ובכך תוכלו לסרוק את כל הרשתות שאתם רוצים

בסיום תקבלו רשימה של כל הרכיבים ברשת

כעת נבחר שיסרוק ויגלה רכיבים חדשים באופן שבועי

לאחר שסיימתם לאתר את הרכיבים בארגון המשיכו ל Deploy HIDS

HIDS הוא Host-based Intrusion Detection System אך ב OSSIM הוא ה Agent שמנטר את הרכיבים ולכן יש להתקין אותם בהם

במסך זה אנו נפיץ למחשבים הנמצאים בדומיין את HIDS ולכן חייב הרשאות לפחות של Local Admin על מנת להתקין אותו

בגלל שזה סביבת ניסוי, נתתי הרשאות מלאות של Domain Admin

*חובה לבטל את ה Firewall גם בשרת וגם בתחנה

אם יש לכם סביבת לינוקס בארגון תוכלו להזין את השם משתמש לSSH

לרוב בארגונים קיים פיירוואל או ראוטר, ניתן להגדיר את סוגו ולקבל ממנו גם התראות, תלוי לפי החברה ודגם הרכיב

OTX הוא התקפות וחולשות הקיימות במערכות שקהילת ה OSSIM מפרסמים, ברגע שתצטרפו תוכלו לקבל חיווי על התקפות שקיימות ואם רכיבים אצלכם בארגון חשופים אליהם או שנחשפו לחולשה.

נרשמים באתר של OSSIM

מתחברים

ומזינים את ה OTX Key

ולסיום לחצו על Finish

לחצו על Explore

נתחיל בלוודא שה HIDS הופצו

192.168.31.167 – Windows 7

192.168.31.128 – שרת הDC שהוא Windows Server 2016

*יש לוודא פיירוואל מכובה

נלחץ על Enviroment ואז Assets & Group

ניתן להבחין שהסוכן לא הופץ לDC

נסמן אותו ב V ואז Deploy Agent כמו בתמונה

נזין את ההרשאות

נלך למרכז ההודעות למעלה

נבחין שההפצה הצליחה

נחזור ל Assets ושם נבחין שהוא מחובר

אם נעבור לתחנה לנתיב

C:\Program Files \ ossec-agent

נוכל להבחין שהסוכן מותקן

אם נפעיל אותו נבחין שניתן לעצור אות ואו לרסט אותו אם יש תקלה בסוכן

לפני שנעבור לדברים המתקדמים יותר, נתחיל בלשייך חוקים לסוכן (זאת אומרת מה הסוכן יאסוף) ונמשיך לבדוק איזה התראות אנחנו מקבלים ב SIEM

הסוכן בעצם עוקב אחרי ה Event Viewer וכל Event ID שהגדרתם לו לדווח לכם הוא ידווח, כמובן עם הפרטים הקיימים בתוך ה”אירוע” ויסדר את זה בצורה נוחה

רשימת החוקים ואיזה Event ID הם מתריעים עליהם ניתן לראות באתר של OSSIM כאן

נעבור שוב לEnviroment ואז Detection

כעת נשייך את כל החוקים שהוספתי למטה ומסומנים לכם (הוסיפו מצד שמאל לימין)

שתדעו, בלשונית HIDS Control נוכל לבצע ריסטרט אם יש בעיות בסוכן ברמת הרשת

כעת אחרי שהגדרנו חוקים, נגדיר בGroup Policy בשרת שחשבון ננעל לאחר 3 ניסיונות

ננסה להתחבר עם חשבון בשם Noy יותר 3 פעמים עד שינעל

כעת נקבל הודעה שהחשבון ננעל

במערכת נלחץ על Analysis ואז SIEM

נסמן Username like ואז את שם המשתמש שהוא Noy

התוצאה תציג לנו שהחשבון ננעל

כאן נקבל פרטים נוספים על הנעילה

חוק נוסף שהכנסנו הוא שינוי קבוצות ב AD, נפתח את ה AD ב DC ונוסיף לקבוצת ה Domain Admins את המשתמש Roy

כעת נחזור ל SIEM נרענן ונבחין בהתראה שהתווסף לקבוצה DA משתמש

במידע נוסף נבחין מי המשתמש שהוסיף אותו , וזה מה שאנשי אבטחת מידע רוצים לדעת

המשתמש Administartor הוא זה שהוסיף את Roy

מתקדם

*המאמר המתקדם בתהליכי כתיבה

מאמרים קשורים

Leave a Comment