OSSIM היא מערכת קוד פתוח לניהול אירועי אבטחת מידע המיועדת לאנליסטים ולמנהלי מערכת בהתמודדות עם איומי אבטחת מידע ופשע מקוון.
בשונה ממערכות SIEM סטנדרטיות, ל-OSSIM מספר הרחבות בקוד פתוח המשולבות במערכת והופכות אותה ליעילה יותר:
PRADS - מערכת לניתוח תעבורת רשת ופרוטוקולי תוכנה ותקשורת.
OpenVAS - תוכנת קוד פתוח, המשמשת לסריקה ואיתור פגיעויות ברשתות מחשבים.
Suricata - מערכת למניעת חדירות המנתחת תעבורה בזמן אמת ומדווחת על פעולות חשודות.
Tcptrack - מערכת המציגה רשימה מפורטת של כל תהליכי ה-TCP המחוברים ואלה הנמצאים במצב האזנה.
Nagios - מערכת לניטור שרתים, מתגים, ויישומי רשת.
OSSEC - מערכת לגילוי חדירות מבוססת מחשב מארח - בוחנת שינויים בקובצי מערכת ההפעלה של מחשב או התקן בודד, עוקבת אחר אירועים ופעולות חשודות ומדווחת עליהם למנהל המערכת.
Snort - מערכת למניעת חדירות המנתחת תעבורה בזמן אמת ומדווחת על פעולות חשודות.
Munin - כלי ניהול תהליכי מערכת ההפעלה ורשת.
ניתן להוריד את המערכת דרך האתר הרשמי: https://www.alienvault.com/products/ossim/download
חשוב להתייחס לדרישות המינימום למרות שהמערכת דורשת הרבה פחות.
במידה ותתעלמו מדרישות המינימום המערכת עלולה להיתקע, להלן הדרישות:
הקצאת זיכרון וירטואלי בנפח 2GB.
מעבד בעל שתי ליבות.
מדריך התקנה:
לאחר ההורדה וטעינת קובץ ה-ISO אל מערכת הוירטואליזציה ניתן להתחיל בהתקנה.
בחירת האפשרות הראשונה - Install AlienVault OSSIM:
בחירת שפה:
הגדרת רשת:
הגדרת סיסמה למשתמש חזק (Root):
הגדרת אזור זמן:
עם סיום ההתקנה, ניתן לבצע שינויים מערכתיים דרך ממשק הפקודה ובאמצעות משתמש root שנוצר בהתחלה.
ניהול המערכת מתבצע דרך דפדפן האינטרנט, נפתח אותו ונקליד את הכתובת ה-IP שהוגדרה בשורת ה-URL.
כעת, יש ליצור משתמש לניהול המערכת.
בשונה ממערכות SIEM סטנדרטיות, ל-OSSIM מספר הרחבות בקוד פתוח המשולבות במערכת והופכות אותה ליעילה יותר:
PRADS - מערכת לניתוח תעבורת רשת ופרוטוקולי תוכנה ותקשורת.
OpenVAS - תוכנת קוד פתוח, המשמשת לסריקה ואיתור פגיעויות ברשתות מחשבים.
Suricata - מערכת למניעת חדירות המנתחת תעבורה בזמן אמת ומדווחת על פעולות חשודות.
Tcptrack - מערכת המציגה רשימה מפורטת של כל תהליכי ה-TCP המחוברים ואלה הנמצאים במצב האזנה.
Nagios - מערכת לניטור שרתים, מתגים, ויישומי רשת.
OSSEC - מערכת לגילוי חדירות מבוססת מחשב מארח - בוחנת שינויים בקובצי מערכת ההפעלה של מחשב או התקן בודד, עוקבת אחר אירועים ופעולות חשודות ומדווחת עליהם למנהל המערכת.
Snort - מערכת למניעת חדירות המנתחת תעבורה בזמן אמת ומדווחת על פעולות חשודות.
Munin - כלי ניהול תהליכי מערכת ההפעלה ורשת.
ניתן להוריד את המערכת דרך האתר הרשמי: https://www.alienvault.com/products/ossim/download
חשוב להתייחס לדרישות המינימום למרות שהמערכת דורשת הרבה פחות.
במידה ותתעלמו מדרישות המינימום המערכת עלולה להיתקע, להלן הדרישות:
הקצאת זיכרון וירטואלי בנפח 2GB.
מעבד בעל שתי ליבות.
מדריך התקנה:
לאחר ההורדה וטעינת קובץ ה-ISO אל מערכת הוירטואליזציה ניתן להתחיל בהתקנה.
בחירת האפשרות הראשונה - Install AlienVault OSSIM:
בחירת שפה:
הגדרת סיסמה למשתמש חזק (Root):
עם סיום ההתקנה, ניתן לבצע שינויים מערכתיים דרך ממשק הפקודה ובאמצעות משתמש root שנוצר בהתחלה.
כעת, יש ליצור משתמש לניהול המערכת.
יש להתחבר עם משתמש admin והסיסמה שיצרנו:
כל שנותר הוא להגדיר את המערכת ולהגדיר חוקים:
יש להגדיר שלשה מרכיבים:
* רכיב ניתוח תעבורת רשת.
* רכיב לגילוי אוטומטי של התקני רשת בארגון.
* רכיב לאיסוף לוגים.
יש להגדיר את כרטיסי הרשת לפי הצורך, ניתן להוסיף כרטיסי רשת נוספים בהגדרות ה-VM.
בשלב השני, המערכת תבצע גילוי אוטומטי של נכסי הרשת.
השלב האחרון הוא פריסה של HIDS על מערכות הפעלה מסוג לינוקס או ווינדוס, ניטור ואיסוף לוגים.
יש להזין שם משתמש וסיסמה של המערכת אותה אנו רוצים לנטר.
בסיום הגדרת כל רכיבי הרשת, נלחץ על Explore ALIENVAULT OSSIM.
