![](https://habrastorage.org/files/ddc/648/b54/ddc648b54536462b8db7b3795d3f5bfc.gif)
OSSIM (Open Source Security Information Management) — система управления, контроля и обеспечения информационной безопасности.
OSSIM «из коробки» включает в себя такой функционал как:
- Сбор, анализ и корреляция событий — SIEM
- Хостовая система обнаружения вторжений (HIDS) — OSSEC
- Сетевая система обнаружения вторжений (NIDS) — Suricata
- Беспроводная система обнаружения вторжений (WIDS) — Kismet
- Мониторинг узлов сети- Nagios
- Анализ сетевых аномалий – P0f, PADS, FProbe, Arpwatch и др.
- Сканер уязвимостей – OpenVAS
- Мощнейшая система обмена информацией об угрозах между пользователями OSSIM — OTX
- Более 200 плагинов для парсинга и корреляции логов со всевозможных внешних устройств и служб
Предисловие
В данной статье речь пойдёт в первую очередь об установке, первичной настройке и конфигурации OSSIM, всю информацию о возможностях и функционале можно взять с официального сайта, или посмотреть в этом ролике:
Стоит заметить, у AlienVault есть 2 продукта, бесплатный OSSIM и более продвинутая версия — USM, различия можно посмотреть по этой ссылке.
В качестве бонуса последней главой статьи выложил информацию об интеграции OSSIM с SIEM системой ArcSight.
Оглавление
Установка OSSIM
Настройка OSSIM
- Мастер настройки
- Настройка почтовых уведомлений
- Настройка HIDS
- Настройка WIDS
- Настройка сбора системных логов
- Интеграция с ArcSight
Использованные источники
Установка OSSIM
Установка open source SIEM системы осуществляется с помощью готового установочного образа, содержащего в себе операционную систему Debian и все необходимые предустановленные компоненты и модули.
Для установки OSSIM, необходимо открыть ссылку, после чего сразу-же начнётся загрузка последней версии дистрибутива OSSIM.
Установку мы будем проводить на VMware ESXi.
Настройка ESXi
Для начала необходимо сконфигурировать сам ESXi, а именно настроить интерфейс, работающий в «неразборчивом» режиме (Promiscuous mode). Данный режим нам нужен для настройки мониторинга сети. В OSSIM эту роль выполняет Suricata.
Для этого откроем настройки хоста, и делаем всё, как на анимации ниже:
![](https://habrastorage.org/files/3b9/91d/e1b/3b991de1b2bf4e36ab8f245aa7af343f.gif)
На этом настройка закончена, теперь добавим виртуальную машину. На скриншотах ниже только те пункты настройки, которые мы меняем.
![](https://habrastorage.org/files/340/295/fbf/340295fbff0a4c1ba63a5bbec6b65e63.png)
![](https://habrastorage.org/files/552/08e/32a/55208e32a02348d9b9de1d853dfc5ebb.png)
![](https://habrastorage.org/files/46d/655/b42/46d655b42216494eb772ce04c35980d3.png)
Многие службы в OSSIM умеют работать в многопоточном режиме, поэтому желательно установить несколько ядер.
![](https://habrastorage.org/files/f23/469/1eb/f234691ebc6a4a4c90de5734c75a0092.png)
Оперативной памяти, желательно, поставить больше. Минимальный размер, до которого всё работает более-менее стабильно и без подтормаживаний – 3GB.
![](https://habrastorage.org/files/687/349/4bd/6873494bdd1c402ba58d3c0ceeaf258e.png)
1 интерфейс для управления OSSIM, 1 для Network IDS Suricata, один для OpenVAS (не обязательный).
![](https://habrastorage.org/files/14d/cea/370/14dcea3703314a15894cbdeea93d1233.png)
На этом конфигурация виртуальной машины закончена.
Установка
Включим виртуальную машину и подключим к ней, загруженный нами ранее, установочный образ OSSIM.
![](https://habrastorage.org/files/961/d13/804/961d138040e444249de4d3810d74e223.png)
Теперь установим OSSIM. Установка ничем не отличается от установки Debian, только пунктов в установке гораздо меньше.
![](https://habrastorage.org/files/236/168/2f9/2361682f96374d61a386129fbe0f5e0f.gif)
Настройка совсем проста, поэтому для краткости некоторые скриншоты в анимации опущены.
После ввода всех настроек начнётся установка.
![](https://habrastorage.org/files/c5e/aa6/45e/c5eaa645e0ee450db469519819f69981.png)
На этапе «Запуск cdsetup…» установка может зависнуть на некоторое время, так и должно быть.
По окончанию появится консоль:
![](https://habrastorage.org/files/83f/ea8/2cc/83fea82cc22542279029612509e9e965.png)
Заходим по ссылке, указанной в консоли и вводим учётные данные:
![](https://habrastorage.org/files/4fb/c9e/559/4fbc9e559b9b473cab949b2f4e191984.png)
На этом установка закончена.
Настройка OSSIM
Для настройки OSSIM были сконфигурированы 3 операционные системы: Windows server 2008 R2, Windows 7 SP1, Ubuntu 14.04 LTS, которые мы, непосредственно и будем подключать к мониторингу. Помимо этого, мы настроим беспроводную IDS систему, основанную на Kismet, используя в качестве «сенсора» хост с предустановленной ОС Debian 6.
Мастер настройки
Вводим учётные данные, указанные в предыдущем пункте настройки:
![](https://habrastorage.org/files/db7/2d8/142/db72d8142915463fb1e4fad8600842d3.png)
И перед нами открывается окно мастера настройки:
![](https://habrastorage.org/files/968/25f/5da/96825f5da85544fca2b85263538d3e7e.png)
Конфигурируем интерфейсы:
![](https://habrastorage.org/files/27f/ec1/71d/27fec171dae5452c835df8574346e837.png)
На следующем пункте OSSIM автоматически просканирует сеть и предложит указать тип найденных узлов, в нашем случае удалено всё, что не относится к тестовому стенду:
![](https://habrastorage.org/files/574/cc3/523/574cc352334844019af1bccc57df6e6e.png)
На следующем этапе можно автоматически установить хостовую систему обнаружения вторжений (OSSEC). Попробуем установить её для Windows Server. Вводим учётные данные и нажимаем «DEPLOY»:
![](https://habrastorage.org/files/aea/ab0/a16/aeaab0a16ee246d2b396155ca4f14498.gif)
Производить то же самое для Linux не рекомендую, т.к. в этом случае OSSEC будет работать без агента (Agentless).
На следующем этапе нам предлагают настроить мониторинг логов, этот пункт мы пропускаем и вернёмся к нему позже, в соответствующей главе:
![](https://habrastorage.org/files/33b/d7d/376/33bd7d376a8241d789a5c65908b136e0.png)
На последнем пункте нам предложат присоедениться к OTX, если есть желание, регистрируемся по ссылке www.alienvault.com/my-account/customer/signup и вводим токен:
![](https://habrastorage.org/files/807/0d8/1d7/8070d81d7f1b452682249e91ad0b434c.png)
![](https://habrastorage.org/files/080/398/f6e/080398f6e51b4bacb1902113f186c1ad.png)
Далее видим всплывающее окно следующего содержания:
![](https://habrastorage.org/files/417/153/6b6/4171536b68894b3a855cee84e9341417.png)
Нажимаем Explore Alienvault OSSIM и на этом работа менеджера настройки закончена.
Настройка почтовых уведомлений
В OSSIM есть раздел «Alarm», в котором отображены скоррелированные события безопасности, однако по таким событиям получать уведомления не получится. Зато в системе есть раздел «Tickets», в котором по каждому событию или событиям можно открыть задачу.
«Тикеты» могут создаваться вручную специалистом или автоматически при попадании событий из логов «Security Events (SIEM)» в «Alarms», в случае автоматического открытия «тикета», OSSIM может автоматически отправлять уведомления, чего мы сейчас и настроим.
Настройка почтовых уведомлений проходит в 2 этапа, во первых необходимо настроить postfix, во вторых включить отправку уведомлений.
Открываем SSH и подключаемся к OSSIM:
![](https://habrastorage.org/files/43c/08d/6a3/43c08d6a312f448b9651af19eea8eb0d.png)
Выбираем пункт Jailbreak System и попадаем в консоль, вводим:
sed -i -e "s@mailserver_relay=no@mailserver_relay=my.corporate.mail.server@" /etc/ossim/ossim_setup.conf
echo relayhost = my.corporate.mail.server:25 >> /etc/postfix/main.cf
service postfix restart
Примечание: вместо my.corporate.mail.server укажите свой почтовый сервер, при необходимости настройки любых других параметров postfix (авторизвция, защищённое соединение и т.п.) – смотрите документацию по postfix.
Теперь открываем настройки и в разделе администрирования включаем автоматическую отправку уведомлений:
![](https://habrastorage.org/files/595/07b/ee2/59507bee2560401db399bb5736438649.png)
После данной манипуляции, любое скоррелированное событие будет автоматически создавать тикет и уведомлять администратора.
Настройка HIDS
В роли хостовой системы предотвращения вторжений в OSSIM выступает не безызвестный OSSEC, настройку которого мы разберём далее.
Для настройки HIDS переходим в Environment -> Detection -> HIDS -> Agents и видим 2 хоста, первый непосредственно сам AlienVault, второй – Windows Server, который мы установили на пункте «Deploy HIDS» в разделе «Мастера настройки». Заходим в меню агентов HIDS:
![](https://habrastorage.org/files/a4d/737/8e1/a4d7378e183c461b977a65bbee685ee4.png)
Добавим Windows 7 и Ubuntu:
![](https://habrastorage.org/files/1cd/f04/274/1cdf042741124e038d1c0cc65f390151.png)
Windows
Для установки HIDS можно использовать режим автоматической установки
![](https://habrastorage.org/files/4f3/871/4d6/4f38714d6c0b44acad58b3aa5fbdd78d.png)
![](https://habrastorage.org/files/a06/105/951/a061059515d3405e9b42a72e186121c7.png)
Установка в автоматическом режиме не отличается от той, что мы уже делали:
![](https://habrastorage.org/files/2f9/89d/45a/2f989d45abc84acc838b77875341e665.png)
При установке в ручном режиме, с помощью exe файла, OSSEC агент установится в «1 клик», без ввода каких-либо дополнительных параметров:
![](https://habrastorage.org/files/979/0bf/c9d/9790bfc9d2de40618a83fd1f08e0b4a1.png)
В случае успеха мы увидим:
![](https://habrastorage.org/files/3a0/5bc/817/3a05bc8173294d9699ec6f969ebe5ea6.png)
Ubuntu
Теперь настроим Ubuntu, подключаемся по SSH и установим OSSEC:
sudo -s
apt-get install curl
curl --header 'Host: www.ossec.net' --header 'User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0' --header 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8' --header 'Accept-Language: en-US,en;q=0.5' --header 'DNT: 1' --header 'Referer: http://www.ossec.net/?page_id=19' --header 'Connection: keep-alive' 'http://www.ossec.net/files/ossec-hids-2.8.tar.gz' -o 'ossec-hids-2.8.1.tar.gz' –L
Примечание: через wget загрузка не работает, на стороне сервера ossec.net проверяется User-Agent.
tar xzf ossec-hids-2.8.1.tar.gz
cd ossec-hids-2.8/
/bin/bash ./install.sh
![](https://habrastorage.org/files/14a/cbf/770/14acbf77068146fbb3aee5e79dabbc9f.png)
![](https://habrastorage.org/files/2b0/495/999/2b04959994d14bcfa643b888f8b2b45a.png)
Примечание: пункт 3.4, режим активной защиты (IPS вместо IDS) включайте осторожно, в данном случае мы используем только режим детектирования, поэтому оставляет «n» вместо «y».
Теперь получим ключ, для этого возвращаемся обратно в меню агентов HIDS и кликаем на
![](https://habrastorage.org/files/4f9/576/744/4f9576744e1442ed902a51c3e65bddd5.png)
![](https://habrastorage.org/files/d6a/0dd/7be/d6a0dd7bedb54ef8a799ff1904c58f49.png)
Запустим настройку с помощью утилиты /var/ossec/bin/manage_agents, нажимаем I, вводим ключ и выходим(Q):
![](https://habrastorage.org/files/94d/d5e/d17/94dd5ed17c1e4821a376934faab8fe2a.png)
Перезагрузим OSSEC:
service ossec restart
В случае успеха мы увидим «Active» напротив хоста:
![](https://habrastorage.org/files/9e3/cdb/f80/9e3cdbf8042746afb028468285e361d3.png)
Если какой-либо агент не появился, как активный в списке, можно перезагрузить OSSEC, для этого подключаемся по SSH к OSSIM и производим следующие действия:
![](https://habrastorage.org/files/3ef/625/5f2/3ef6255f24834ea886ae8b6a7c0eb6f8.gif)
На этом установка HIDS закончена, теперь на закладке Environment -> Detection можно увидеть логи OSSEC:
![](https://habrastorage.org/files/6ab/fb7/bf7/6abfb7bf71a2454f980f50dbd98fc1a0.png)
Настройка WIDS
Установку WIDS мы будем осуществлять следующим образом:
- Создадим хост с ОС Debian 6
- Подключим к нему и настроим Wi-Fi карту
- Установим и настроим kismet
- Настроим на OSSIM OpenVPN сервер
- Сконфигурируем связь между OSSIM и Debian 6
- Настроим отправку и запись логов в rsyslog
- Включим плагин kismet
- Настроим импорт по крону логов в формате XML из kismet-а
- Добавим новый сенсор в OSSIM
- Проверим работоспособность решения
Настройка виртуальной машины
Для установки беспроводной IDS системы нам потребуется хост с предустановленным Debian 6.
Создаём новую виртуальную машину на ESXi и добавляем туда USB контроллер и USB Wi-Fi карту:
![](https://habrastorage.org/files/0b6/f39/8bd/0b6f398bd4b44a858c4e7c9bb78ea1c9.gif)
В данном примере используется USB Wi-Fi карта TOTOLink N500UD.
Установка и настройка Debian
Устанавливаем Debian 6. Все настройки на своё усмотрение, установка Debian стандартная, поэтому в этом мануале опущена.
После установки ОС, подключаемся к SSH и установим драйвера сетевой карты:
wget http://totolink.ru/files/soft/N500UD_Linux_V2.6.1.3.zip
apt-get install unzip
unzip N500UD_Linux_V2.6.1.3.zip
apt-get install build-essential
apt-get install linux-headers-$(uname -r)
make
make install
aptitude install wireless-tools
apt-get install ssh openvpn kismet ntp
reboot
После этого проверяем наличие нового интерфейса в iwconfig:
![](https://habrastorage.org/files/107/bff/4ea/107bff4eab4a48c79df8317049a9c0b8.png)
Настроим отправку логов из Debian в OSSIM:
echo "*.* @10.67.68.1" > /etc/rsyslog.d/wids_alienvault.conf
IP адрес не меняйте, он таким и должен быть. Это IP адрес OpenVPN сервера, который будет впоследствии поднят в OSSIM.
Теперь создадим скрипт /etc/init.d/wids_alienvault.sh следующего содержания:
#!/bin/sh
/usr/bin/kismet_server -l xml -t kismet -f /etc/kismet/kismet.conf 2>&1 | logger -t kismet -p local7.1
Дадим ему права на запуск:
chmod 755 /etc/init.d/wids_alienvault.sh
И впишем его на автозагрузку в /etc/rc.local до exit 0:
![](https://habrastorage.org/files/22b/30c/83f/22b30c83fb4e4391a5b0884d8bc6298f.png)
Теперь настроим kismet.
В файле /etc/kismet/kismet.conf
Сначала настроим адаптер:
source=rt2500,ra0,ra0-wids
Название чипсета можно посмотреть командой:
lsmod | grep ^usbcore
Настроим время создания XML отчёта:
logexpiry=3600
Настроим имя создаваемых логов, для того, чтобы OSSIM правильно определил, какие файлы нужно импортировать и чистить:
logdefault=10.67.68.10
logtemplate=/var/log/kismet/%n_%D-%i.%l
После перезагрузимся:
reboot
Настройка OpenVPN
Подключаемся к OSSIM по SSH, выбираем пункт «Jailbreak system» и вводим комманду:
alienvault-reconfig --add_vpnnode=WIDS-Sensor
Возвращаемся к Debian и копируем сконфигурированный архив OpenVPN с настройками:
scp root@10.1.193.123:/etc/openvpn/nodes/WIDS-Sensor.tar.gz ~
Применим конфиг:
tar xzf WIDS-Sensor.tar.gz
rm -f WIDS-Sensor.tar.gz
mv * /etc/openvpn/
Проверим OpenVPN:
/etc/init.d/openvpn restart
Ifconfig tun0
![](https://habrastorage.org/files/190/33b/3b9/19033b3b903d43d499a0b74935537c0c.png)
Настройка Kismet
Переходим обратно в OSSIM.
Настроим rsyslog:
echo if \$programname contains \'ismet\' then /var/log/kismet.log >> /etc/rsyslog.d/kismet.conf
echo \& \~ >> /etc/rsyslog.d/kismet.conf
service rsyslog restart
Изменим путь к файлу, из которого плагин будет забирать логи:
sed –i –e "s@/var/log/syslog@/var/log/kismet.log@" /etc/ossim/agent/plugins/kismet.cfg
Теперь включим плагин, который будет обрабатывать логи kismet, для этого командой exit выходим в меню OSSIM и включаем плагин:
![](https://habrastorage.org/files/7ab/8ad/7e3/7ab8ad7e3241442387d259c37b2c97c4.gif)
Если всё сделано верно, мы увидим логи в «Analysis -> Security Events (SIEM)»:
![](https://habrastorage.org/files/2ee/a5b/e00/2eea5be00ddf4405baf24136b2a6011c.png)
Настройка импорта XML логов
Теперь осталось настроить импорт логов формата XML из Debian.
Это необходимо для того, чтобы OSSIM мог получить не только алерты, а все доступные данные о Wi-Fi клиентах и сетях по близости, которые в последствии будут отражены в Environment -> Detection -> Wireless IDS.
Настроим авторизацию SSH без пароля, для того, чтобы скрипт, получающий XML отчёты и чистящий их с сенсора правильно работал.
В OSSIM выполним:
ssh-keygen
ssh-copy-id root@10.67.68.10
![](https://habrastorage.org/files/2e9/305/9be/2e93059beeb7466cb8869c9f893a24c7.png)
Теперь создадим файл /etc/cron.hourly/kismet следующего содержания:
#!/bin/bash
/usr/bin/perl /usr/share/ossim/www/wireless/fetch_kismet.pl
Cкопируем сам скрипт:
cp /usr/share/ossim/www/wireless/kismet_sites.pl /var/ossim/kismet/kismet_sites.pl
И поправим в нём адрес:
echo \$sites{\'10.67.68.10\'}=\'/var/log/kismet\'\; >> /var/ossim/kismet/kismet_sites.pl
Настройка сенсора
Теперь перейдём в веб интерфейс:
![](https://habrastorage.org/files/38b/0d2/894/38b0d289400246558ca9dda8d7f1f403.png)
Добавим новый сенсор:
![](https://habrastorage.org/files/6a3/302/8f5/6a33028f533b473ea11f7f0e4640d450.png)
Статус сенсора будет с красным крестиком, так и должно быть:
![](https://habrastorage.org/files/824/a0b/d3e/824a0bd3e2044316a73dfe0998052448.png)
Теперь переходим в Environment -> Detection -> Wireless IDS и добавляем расположение и сенсор:
![](https://habrastorage.org/files/4b1/196/15e/4b119615ec094ca39c22cf93734fbb1e.png)
![](https://habrastorage.org/files/3f8/ced/82e/3f8ced82e264468e9023131a1e1e3952.png)
![](https://habrastorage.org/files/e51/b12/19f/e51b1219f6a9433a8e8202e292aec085.png)
![](https://habrastorage.org/files/a51/349/1d5/a513491d57a54e1883fafdd4840cca27.png)
После выполним команду:
/usr/bin/perl /usr/share/ossim/www/wireless/fetch_kismet.pl
И в случае успеха получим:
![](https://habrastorage.org/files/7ee/d66/5d1/7eed665d16984bd3971329e38fd24fb6.png)
И после этого действия в пункте Environment -> Detection -> Wireless IDS появятся данные:
![](https://habrastorage.org/files/857/c9a/5bf/857c9a5bf4af4c2882411a64f7513e86.png)
Настройка сбора системных логов
Настроим сбор логов с VMware ESXi, Windows сервера и Ubuntu.
Для сбора логов нам необходимо произвести следующие действия:
- Настроить отправку логов с хостов в OSSIM
- Посмотреть, из какого файла плагин OSSIM, обрабатывающий события, считывает логи
- Настроить запись логов с хостов в отдельные файлы, через конфигурацию rsyslog
- Включить плагин
- Проверить работоспособность
VMware
Сначала настроим отправку логов в ESXi, для этого открываем расширенные настройки:
![](https://habrastorage.org/files/bd5/fd9/7ed/bd5fd97ed32c4768b60e02490e6f977c.png)
И включаем отправку логов по UDP:
![](https://habrastorage.org/files/8c5/853/71f/8c585371f0e14b1fb895b4b8dbe4d6e7.png)
После посмотрим, откуда плагин ESXi будет забирать логи
cat /etc/ossim/agent/plugins/vmware-esxi.cfg | grep location
![](https://habrastorage.org/files/c26/80f/b85/c2680fb85cc34946bb4f4d5d01c51ec8.png)
Настроим rsyslog:
echo if \$fromhost-ip == \'10.1.193.76\' then -/var/log/vmware-esxi.log >> /etc/rsyslog.d/esxi.conf
service rsyslog restart
Теперь включим плагин, подключаемся по SSH к OSSIM:
![](https://habrastorage.org/files/f48/4d0/706/f484d0706be642d1b353cd26e43e4a90.gif)
Открываем Analysis -> Security Events (SIEM) и проверяем:
![](https://habrastorage.org/files/c68/28a/e6b/c6828ae6bed84241b486148bb28b3c58.png)
Windows Server
Для отправки логов с Windows, нам потребуется программа Snare, которая позволяет отправлять системные логи в формате syslog-а.
Скачиваем и запускаем:
![](https://habrastorage.org/files/1f1/2b9/125/1f12b91258a145c3b914273829850b98.png)
Включаем web доступ:
![](https://habrastorage.org/files/659/c48/4d8/659c484d842948c6b3af827ce742bbe7.png)
Завершаем установку:
![](https://habrastorage.org/files/b95/d30/909/b95d309091d54ed5a30395c43dcbed0e.png)
Открываем в браузере адрес: localhost:6161
Вводим логин snare, пароль тот, который указывали во время установки, переходим в «Network configuration» и указываем:
![](https://habrastorage.org/files/d92/842/fd7/d92842fd71cc406f84d0a14d11f6d739.png)
![](https://habrastorage.org/files/914/494/260/914494260438407db4f8a414a1da7741.png)
После сохраняем настройки, открываем консоль и перезагружаем snare:
net stop snare
net start snare
![](https://habrastorage.org/files/2c1/018/2c4/2c10182c48cf4f9897513c2ae04f6248.png)
Проверяем, откуда плагин получает логи:
cat /etc/ossim/agent/plugins/snare.cfg | grep location
![](https://habrastorage.org/files/ce5/9a4/7d1/ce59a47d11ca43f3869353c003858bec.png)
Теперь настроим rsyslog. В настройках rsyslog уже есть предустановленный конфиг snare(zzzzz_snare.conf), который мы сейчас немного исправим, руководствуясь форумом OSSIM, заменив всего 1 параметр:
sed -i -e "s@msg@rawmsg@" /etc/rsyslog.d/zzzzz_snare.conf
service rsyslog restart
Теперь настроим плагин, по аналогии с настройкой VMware, за исключением выбора самого плагина:
![](https://habrastorage.org/files/b6c/838/949/b6c8389498b34c63aad667d88fad13b0.png)
После перезапуска проверим в Analysis -> Security Events (SIEM):
![](https://habrastorage.org/files/1bb/d27/9aa/1bbd279aa9fc44628a25519010a9af8b.png)
Ubuntu
Для настройки Ubuntu мы будем использовать rsyslog. Подключаемся к Ubuntu по SSH и настраиваем отправку логов в OSSIM:
echo *.* @10.1.193.123 > /etc/rsyslog.d/alienvault.conf
service rsyslog restart
Проверяем, откуда плагин берёт логи:
![](https://habrastorage.org/files/44c/b34/f83/44cb34f83d6b48d594a4c2a949bd110d.png)
cat /etc/ossim/agent/plugins/syslog.cfg
Меняем путь к файлу логов:
sed –i –e "s@/var/log/syslog@/var/log/ubuntusyslog.log@" /etc/ossim/agent/plugins/syslog.cfg
Теперь настроим rsyslog в OSSIM:
echo if \$fromhost-ip == \'10.1.193.77\' then -/var/log/ubuntusyslog.log >> /etc/rsyslog.d/ubuntu.conf
service rsyslog restart
Включаем плагин, по аналогии с предыдущими пунктами, только в списке плагинов выбираем нужный:
![](https://habrastorage.org/files/3d6/dce/7b4/3d6dce7b472c4a17ae70d616973e2305.png)
Применяем и проверяем:
![](https://habrastorage.org/files/aef/a95/1fb/aefa951fbf96493d983a4a00fd5995c1.png)
Примечание
Если после выбора пункта «Apply changes» вы не увидели окно «AlienVault Reconfig»
![](https://habrastorage.org/files/66e/604/efb/66e604efbbed4a108db2beeba18a681a.png)
Перезагрузите OSSIM (в последней версии 4.15.2 периодически появляется такой баг)
Для решения проблем с парсингом логов в кодировке cp1251 (кириллица) необходимо выполнить следующее:
В файле /usr/share/alienvault/ossim-agent/ParserDatabase.py в строку 288 после:
if len(ret) > 0:
#We have to think about event order when processing
cVal = ret[len(ret) - 1][ref]
for e in ret:
Вставить:
e=list(e)
x=[x.decode('cp1251').encode('utf8') if isinstance(x, basestring) else x for x in e] ## change for encoding cp1251
e=x
e=tuple(e)
В файле /usr/share/alienvault/ossim-agent/TailFollowBookmark.py в строку 163 после:
def _open_file(self, fromrotate=False):
"""
Opens the file and seeks to the specified position based on
the keyword arguments: offset and whence. Furthermore, the
_current_file attribute is set as a side-effect.
fromrotate: Indicates if the file is opened when a
log rotation is detected
"""
Вставить:
if «alerts.log» in self.filename:
self.encode='cp1251'
else:
self.encode='utf8'
Ссылка на форум, где велось обсуждение проблемы с кодировкой.
За информацию о решении данного бага большое спасибо пользователю dolph2005
Интеграция с ArcSight
Теперь попробуем настроить интеграцию OSSIM с SIEM системой ArcSight.
Подобная связка может сэкономить десятки миллионов на лицензиях ArcSight, если кроме основного офиса у компании есть десятки небольших филиалов, которые необходимо защищать и мониторить.
Цель данного раздела – отправлять в ArcSight уже скоррелированные OSSIM-ом логи, а не коррелировать их на стороне ArcSight, увеличивая нагрузку.
Для этого необходимо установить коннектор (тип коннектора Syslog), добавить следующий FlexAgent:
# FlexAgent Regex Configuration File
do.unparsed.events=true
regex=\\D+ AV-FREE-FEED (\\D+) DST_IP -- SRC_IP: (\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}) , DST_IP: (\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}), Alarm: directive_event: AV-FREE-FEED \\D+ (\\d) (.*)
token.count=5
token[0].name=Event_Name
token[0].type=String
token[1].name=SRC_IP
token[1].type=IPAddress
token[2].name=DST_IP
token[2].type=IPAddress
token[3].name=Dev_Severity
token[3].type=String
token[4].name=Event_Message
token[4].type=String
event.name=Event_Name
event.sourceAddress=SRC_IP
event.destinationAddress=DST_IP
event.deviceSeverity=Dev_Severity
event.message=Event_Message
event.deviceVendor=__getVendor(AlienVault)
event.deviceProduct=__stringConstant(OSSIM)
В папку коннектора и далее в «user\agent\flexagent\syslog». Название файла сделать «ossim.sdkrfilereader.properties»
В файле agent.properties изменить строчку agents[0].customsubagentlist, дописав туда «ossim», пример:
agents[0].customsubagentlist= ossim|ciscopix_syslog|netscreen_syslog|…
И строчку agents[0].usecustomsubagentlist поставить true.
Далее зайти в настройки OSSIM:
![](https://habrastorage.org/files/6fa/dfb/a40/6fadfba40ca842479de7d50fdd6d7751.png)
И включить отправку alarm в syslog:
![](https://habrastorage.org/files/e1f/cf2/24a/e1fcf224acf045d39f3bcfb74b0e9a87.png)
После настроить отправку логов в rsyslog OSSIM.
В файле /etc/rsyslog.conf добавить строчку:
*.* ip.вашего.Flex.агента
![](https://habrastorage.org/files/946/e2b/46a/946e2b46a3ae4fe4989b67d20a6a11c8.png)
После этого в коннекторе ArcSight появится уже распарсенные, скоррелированные логи:
![](https://habrastorage.org/files/198/605/f59/198605f591de4e3eab5f00595451d77d.png)