Alien Vault Open Source
Quienes estan Utilizando Alien Vault
y muchos mas que se estan uniendo.
El OSSIM (Open Source Security Information Management) quiere suplir un hueco en las
necesidades que los grupo profesionales del mundo de la seguridad día a día nos encontramos.
Sorprende que con el fuerte desarrollo tecnológico producido en los últimos años nos ha provisto de
herramientas con capacidades como las de los IDS (Un sistema de detección de intrusos o de sus
siglas en inglés Intrusion Detection System), sea tan complejo desde el punto de vista de seguridad
de obtener una visión de una red con un grado de abstracción que permita una revisión práctica y
asumible.
La intención inicial en el desarrollo de este proyecto es mejorar esta situación a través de una
función que podríamos resumir con el nombre de: Correlación o la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a través de esta situación privilegiada relacionar y procesar la información permitiendo aumentar la capacidad de detección, priorizar los eventos según el contexto en que se producen, y monitorizar el estado de seguridad de nuestra red. En el camino nos hemos encontrado con nuevas necesidades que nos han permitido aumentar la precisión de nuestro sistema, desarrollando la capacidad que ya forma parte del núcleo de OSSIM.La valoración de riesgos como forma de decidir en cada caso la necesidad de ejecutar una acción a través de la valoración de la amenaza que representa un evento frente a un activo, teniendo en cuenta la fiabilidad y probabilidad de ocurrencia de este evento. Desde este momento nuestro sistema se vuelve más complejo pues ha de ser capaz de implementar una Política de Seguridad, el Inventario de la Red, nos ofrecerá un Monitoreo de riesgos en tiempo real, todo ello configurado y gestionado desde un Framework. Este proyecto quiere ser así mismo una muestra de la capacidad del mundo de código abierto de crecer en sí mismo y aportar soluciones punteras en sectores concretos como el de la seguridad de redes, donde las soluciones del mundo libre aportan otro importante valor: la auditabilidad o capacidad de auditoría de los sistemas que instalamos en nuestra red.
OBJETIVO
Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección y
visibilidad en la monitorización de eventos de seguridad de la organización.
Además de obtener las mejores herramientas de código abierto, algunas de las cuales se describen a
continuación, ossim establece un fuerte motor de correlación, detallando nivel de interfaces de
visualización bajo, medio y alto, así como la presentación de informes y herramientas de gestión de
incidentes, trabajando en un conjunto de activos se define como anfitriones, redes, grupos y
servicios.
CONCEPTO Y SERVICIOS
OSSIM es una distribución de productos open source integrados para construir una infraestructura
de monitorización de seguridad.
SERVICIOS
Ossim contiene las siguientes características de los componentes del software:
» Arpwatch: utilizado para la detección de anomalía de mac.
» P0f: utilizado para la detección y análisis de los cambios en los sistemas operativos OS.
» Pads: utilizado para el servicio de detección de anomalías.
» Nessus: utilizado para la evaluación de la vulnerabilidad y de correlación cruzada (IDS vs Security Scanner).
» Snort: El IDS, también se utiliza para cruzar la correlación con nessus.
» Spade: Realiza las estadísticas de paquetes de motor de detección de anomalías. Se usa para obtener conocimientos sobre los ataques sin firma.
» Tcptrack: utilizado para los datos de la sesión de información que puede dar información útil para el ataque correlación.
» Ntop: construye una impresionante red de base de datos de información que podemos obtener de detección de anomalías en el comportamiento aberrante.
» Nagios: Se alimenta de la base de datos activos para supervisar la disponibilidad de los equipos.
» Osiris: una gran HIDS (HIDS, Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host),Puede tomar medidas protectoras.
» OCS-NG: Cruz-Plataforma para realizar los inventarios e informes.
» OSSEC: la integridad, de rootkit, detección y registro de más
Fig.1
Herramientas> Escanear NET
Para comenzar a trabajar con el OSSIM, tenemos que realizar un estudio de la topología que se va a utilizar por ejemplo nosotros ocupamos la topología de la universidad a nivel lógico.
1.Escaneamos el segmento de red de la uni. 192.168.103.0/24 porque es el segmento principal, lo cual el escaneo duro 20 minutos.
Herramientas> Escanear NET
NET La página de rastreo le permite establecer diversas redes de exploración para buscar los cambios en los hosts o servicios de su sistema operativo, como se muestra en la Figura 2 .
Herramientas> Red de exploración.
Fig.2
Como se muestra en la figura de arriba, es fácil realizar una exploración de escaneo de red mediante la selección de una red disponible de la lista desplegable. El rango de direcciones IP aparece en el cuadro de texto
a su derecha. Esto no puede ser modificado, si desea añadir alguna nueva red que necesita para ir a la Política -- Redes y definir una nueva. Además, puede optar por seleccionar Manual, en el que el mencionado cuadro de texto puede ser modificado. Una vez esté listo, haga clic en Buscar. OSSIM escanea la red y muestra un mensaje una vez que esté completo. Los resultados aparecen en la red, la página de exploración por debajo de la red, seleccione la tabla.
Puede hacer clic en Actualización de los valores de la base de datos, que muestra la página Insertar nueva
exploración. Esta página le permite añadir a las propiedades globales recién escaneadas de aceptacion. Estas
propiedades son:
» Valor
» Umbral C
» Umbral A
» RRD Perfil
» ¿Insértese un nuevo perfil?
» NAT
» Sensores
» Opciones de exploración
» Descripción
Algunas propiedades pueden tener enlaces correspondientes que le permiten realizar tareas adicionales, especialmente al trabajar con sensores. Una vez que haya completado los cambios, haga clic en Aceptar. Puedehacer clic en Reset para volver a los valores iniciales.
Herramientas> Copia de seguridad
Herramientas> Copia de seguridad La copia de seguridad de la página le permite restaurar los eventos anteriores a su sistema, así como ver previamente eventos restaurados eventos, como se muestra en la
Figura 3
Esto funcionará para los eventos que aparecen en la base o el Visor de sucesos OSSIM. El backuped de datos será la base de datos de snort (que incluye todos los eventos), no la base de datos OSSIM (que incluye, principalmente, las alarmas y la configuración de entradas).
Las fechas que aparecen pueden ser restauradas en el Administrador de copia de seguridad, por debajo de la
columna restaurar fechas. Simplemente haga clic en una fecha y luego haga clic en Insertar. OSSIM realiza la restauración y muestra el estado de la restauración de copias de seguridad más adelante en la sección de Eventos. Para eliminar un evento restaurado, haga clic en la fecha del evento en las fechas en la sección Base de Datos y haga clic en Eliminar. Ingresar al registro para que se refleje el cambio que se registro en los eventos de copia de seguridad, señalando que se ha eliminado, en qué momento, por quién, y el estado actual de la transacción.
Fig.3
Requisitos de Hardware
Los requisitos de hardware para instalar AlienVault dependerán en gran medida del número de eventos por segundo y del ancho de banda de la red que pretendamos analizar.
Como requisito mímimo siempre es recomendable disponer de al menos 2GB, cantidad que deberemos ir incrementando en función del tráfico que analicemos, del número de eventos que tenga que procesar el servidor o de la cantidad de datos que pretendamos almacenar en base de datos. Para optimizar el uso de recursos es imprescindible que utilicemos unicamente las aplicaciones y componentes que nos resultarán de utilidad en cada caso.
La diferencia de rendimiento entre 32 Bits y 64 Bits es más que considerable, por lo que siempre deberemos tratar de escoger esta arquitectura a la hora de escoger nuestro hardware. La mayoría de los componentes de AlienVault son multihilo, por lo que utilizando procesadores con varios cores obtendremos también una gran mejora en el rendimiento.
A la hora de seleccionar las tarjetas de red para realizar la captura del tráfico, deberemos procurar escoger aquellas soportadas por el driver http://sourceforge.net/projects/e1000 . El desarrollo Open Source de este driver garantiza una buena compatibilidad de estas tarjetas con Debian GNU/Linux.
Siempre deberemos dedicar las tarjetas de red con peores especificaciones, o aquellas que ofrezcan problemas de compatibilidad a la recogida de eventos de otros dispositivos o como interfaz de gestión.
Configuración de la red
En este punto, tendrá que configurar la tarjeta de red de gestión. Usted debe usar una dirección IP con acceso a Internet durante el proceso de instalación. Esta dirección IP se utiliza en la interfaz de administración.
Introduzca la dirección IP y haga clic en Continuar
La máscara de red a usar en su red. Introduzca la máscara de red y seleccione Continuar
La dirección IP de la puerta de enlace predeterminada debe enrutar, si su red tiene una puerta de entrada. Introduzca la dirección IP de la puerta de enlace predeterminada y seleccione Continuar.
El sistema en su red que deberá usar como servidor de DNS (Domain Name Service). Si usted tiene un servidor de nombre local de la red debe ser el primero en esta configuración. Usted puede entrar en los servidores de nombre que quieras. Introduzca las direcciones IP de los DNS (separados por espacios) y seleccione Continuar.
Partición del DiscoAhora es el momento para repartir. Tenga en cuenta que esto borrará los datos almacenados en el disco duro.
Seleccione "guiada: Usar todo el disco" y haga clic en Continuar yo en mi caso utilice toda mi laptop pero probe en una particion y no me dejo instalarla recomendacion virtualicen en una maquina virtual en su maquina si no quieren perder sus datos para hacer la prueba.
Si la máquina tiene varios discos, seleccione el disco en el que AlienVault serán instalados y haga clic en Continuar. En caso de que la máquina tiene un único disco simplemente haga clic en Continuar.
Configurar usuarios y contraseñas
Después de que el sistema base se ha instalado, el instalador le permitirá configurar la cuenta "root".
Aqui debe estar super concentrado porque otras cuentas de usuario se pueden crear después de la instalación se ha completado, lo que quiero decir que si ustedes son loas administradores pueden crear una cuenta para otros que ustedes supervisen esto se hace ya creada la cuenta root. Cualquier contraseña que cree debería contener por lo menos seis caracteres y debería tener en mayúsculas y minúsculas, así como caracteres de puntuacion. Tenga mucho cuidado cuando decida su contraseña de root, ya que es la cuenta más poderosa. Evite palabras de diccionario o uso de cualquier información personal susceptible de ser adivinada.
una vez puesta su contraseña y comprobada de en siguiente apuntela si es necesario y cuando se la sepa quemela o romperla en trocitos bueno.
Actualización de la instalación
La instalación se puede conectar al sitio web de AlienVault para descargar la última versión disponible de cada paquete de software incluido en AlienVault profesional SIEM. Este proceso puede tardar hasta 1 hora (dependiendo de tu conexión a Internet). Sea paciente y no cancelar este proceso.
Este paso es opcional si lo desea no es tan necesario para su primera prueba.
Seleccione "Sí" y haga clic en Continuar. Una vez finalizada la instalación el sistema se reiniciará en el nuevo sistema de AlienVault.
Configuracion
Para simplificar la configuración de la gran cantidad de herramientas incluidas en AlienVault, la configuración está centralizada en un único archivo. Cada vez que modifique esta configuración se debe ejecutar un comando para actualizar la configuración de cada aplicación basada en la configuración centralizada.
La configuración centralizada se almacena en el archivo siguiente:
/ etc / ossim / ossim_setup.conf
Puede editar este archivo usando cualquier editor de texto (vim, nano, pico ...). Los usuarios inexpertos deben utilizar el siguiente comando para editar este archivo:
OSSIM-setup
Para aplicar la configuración centralizada de todos los archivos de configuración que tendrá que ejecutar el siguiente comando:
ossim-reconfig
Perfil del cambio
Todos los perfiles están habilitados por defecto después de ejecutar el instalador. Puede cambiar el perfil con el script OSSIM-configuración y seleccionar la segunda opción (cambio de configuración de perfil)
Con base en el perfil elegido, tendrá que configurar los diferentes parámetros de configuración:
all-in-one
■ Elija interfaces: Introduzca las interfaces (separados por comas) que están recibiendo todo el tráfico de la red.
■ Redes Perfil: Introduzca las redes (redes domésticas) en formato CIDR, y separados por comas, que el sensor se podrá ver en su interfaz de escucha (por ejemplo: 192.168.0.0/24, 10.0.0.0 / 8)
■ AlienVault sensor Nombre: Nombre que se da al sensor instalado en esta máquina.
■ Elegir los complementos: Seleccione los complementos que deben estar habilitadas en este sensor. plugins Monitor sólo se activa bajo petición del servidor de AlienVault durante correlación. Detector de plugins están recogiendo los acontecimientos en tiempo real de los archivos, bases de datos, socket ..
servidor■ AlienVault Mysql Server IP Address: Introduzca la dirección IP del cuadro de AlienVault que ejecuta el perfil de base de datos. Asegúrese de que usted tiene la correcta permanentes en la base de datos para poder conectarse desde una máquina de mano a distancia.
■ AlienVault Mysql puerto del servidor: puerto de escucha para MySQL. (Puerto por defecto es 3306)
■ AlienVault Mysql Contraseña: Contraseña para el usuario root en el servidor MySQL.
base de datos
■ AlienVault Mysql Contraseña: Contraseña para el usuario root en el servidor MySQL.
Si sólo desea volver a configurar el perfil en uso, seleccione el perfil en uso y también se le pedirá que introduzca los parámetros de configuración.
Para aplicar los cambios tiene que seleccionar "Aplicar y guardar todos los cambios" o ejecute el comando de reconfiguración-OSSIM.
Configuración de la red
Los equipos que ejecutan AlienVault requieren un cuidado especial en la configuración de redes.
La configuración de la red se define en el siguiente archivo:
/ etc / network / interfaces
Si la configuración de red se ha modificado, para aplicar los cambios utilice el siguiente comando:
/ etc / init.d / networking restart
Cada caja AlienVault debe tener al menos una dirección IP estática para los diferentes componentes de AlienVault pueden comunicarse entre ellos y el administrador puede tener acceso remoto a las máquinas.
Cada interfaz con una dirección IP debe tener una entrada en / etc / network / interfaces de archivo con el siguiente esquema:
allow-hotplug eth0
iface eth0 inet static
dirección 192.168.1.133
máscara de red 255.255.0.0
red 192.168.0.0
difusión 192.168.255.255
puerta de enlace 192.168.1.1
dns-nameservers 192.168.1.100
Los interfaces utilizadas para recoger todo el tráfico de red no debe tener una dirección IP. interfaces promiscuo no requiere ninguna configuración especial en el archivo de configuración de red.
Actualización de AlienVault
Los siguientes comandos se actualizará el sistema de AlienVault:
apt-get update, apt-get dist-upgrade;
software de OSSIM-reconfigThe actualización del sistema que se utiliza en el programa de instalación AlienVault ha sido diseñado para asegurar que las versiones correctas están siendo utilizados. Permite a los desarrolladores AlienVault bloqueo o forzar las actualizaciones de determinado software en el sistema. Por esta razón, nunca debe ser como los depósitos de nuevo software en el archivo / etc / apt / sources.list.
DESCARGAS, MANUALES
Metodo rapido de Instalacion de AlienVault OSSIM Installer
Nos dirigimos a descargar el compilado de Alien Vault
Si tenemos la arquitectura de Amd64 esta es la que nos conviene
•
Si tenemos una arquitectura de 32 bits osea i386Architecture:
•
Download Manual de Usuario. 5.8 Mb
http://hermeschavez.files.wordpress.com/2010/11/manual-super-de-ossim.pdf
https://www.dropbox.com/s/wmk9xqtkhu9zgww/manual-super-de-ossim.pdf
Quienes estan Utilizando Alien Vault
y muchos mas que se estan uniendo.
El OSSIM (Open Source Security Information Management) quiere suplir un hueco en las
necesidades que los grupo profesionales del mundo de la seguridad día a día nos encontramos.
Sorprende que con el fuerte desarrollo tecnológico producido en los últimos años nos ha provisto de
herramientas con capacidades como las de los IDS (Un sistema de detección de intrusos o de sus
siglas en inglés Intrusion Detection System), sea tan complejo desde el punto de vista de seguridad
de obtener una visión de una red con un grado de abstracción que permita una revisión práctica y
asumible.
La intención inicial en el desarrollo de este proyecto es mejorar esta situación a través de una
función que podríamos resumir con el nombre de: Correlación o la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a través de esta situación privilegiada relacionar y procesar la información permitiendo aumentar la capacidad de detección, priorizar los eventos según el contexto en que se producen, y monitorizar el estado de seguridad de nuestra red. En el camino nos hemos encontrado con nuevas necesidades que nos han permitido aumentar la precisión de nuestro sistema, desarrollando la capacidad que ya forma parte del núcleo de OSSIM.La valoración de riesgos como forma de decidir en cada caso la necesidad de ejecutar una acción a través de la valoración de la amenaza que representa un evento frente a un activo, teniendo en cuenta la fiabilidad y probabilidad de ocurrencia de este evento. Desde este momento nuestro sistema se vuelve más complejo pues ha de ser capaz de implementar una Política de Seguridad, el Inventario de la Red, nos ofrecerá un Monitoreo de riesgos en tiempo real, todo ello configurado y gestionado desde un Framework. Este proyecto quiere ser así mismo una muestra de la capacidad del mundo de código abierto de crecer en sí mismo y aportar soluciones punteras en sectores concretos como el de la seguridad de redes, donde las soluciones del mundo libre aportan otro importante valor: la auditabilidad o capacidad de auditoría de los sistemas que instalamos en nuestra red.
OBJETIVO
Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección y
visibilidad en la monitorización de eventos de seguridad de la organización.
Además de obtener las mejores herramientas de código abierto, algunas de las cuales se describen a
continuación, ossim establece un fuerte motor de correlación, detallando nivel de interfaces de
visualización bajo, medio y alto, así como la presentación de informes y herramientas de gestión de
incidentes, trabajando en un conjunto de activos se define como anfitriones, redes, grupos y
servicios.
CONCEPTO Y SERVICIOS
OSSIM es una distribución de productos open source integrados para construir una infraestructura
de monitorización de seguridad.
SERVICIOS
Ossim contiene las siguientes características de los componentes del software:
» Arpwatch: utilizado para la detección de anomalía de mac.
» P0f: utilizado para la detección y análisis de los cambios en los sistemas operativos OS.
» Pads: utilizado para el servicio de detección de anomalías.
» Nessus: utilizado para la evaluación de la vulnerabilidad y de correlación cruzada (IDS vs Security Scanner).
» Snort: El IDS, también se utiliza para cruzar la correlación con nessus.
» Spade: Realiza las estadísticas de paquetes de motor de detección de anomalías. Se usa para obtener conocimientos sobre los ataques sin firma.
» Tcptrack: utilizado para los datos de la sesión de información que puede dar información útil para el ataque correlación.
» Ntop: construye una impresionante red de base de datos de información que podemos obtener de detección de anomalías en el comportamiento aberrante.
» Nagios: Se alimenta de la base de datos activos para supervisar la disponibilidad de los equipos.
» Osiris: una gran HIDS (HIDS, Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host),Puede tomar medidas protectoras.
» OCS-NG: Cruz-Plataforma para realizar los inventarios e informes.
» OSSEC: la integridad, de rootkit, detección y registro de más
Fig.1
Herramientas> Escanear NET
Para comenzar a trabajar con el OSSIM, tenemos que realizar un estudio de la topología que se va a utilizar por ejemplo nosotros ocupamos la topología de la universidad a nivel lógico.
1.Escaneamos el segmento de red de la uni. 192.168.103.0/24 porque es el segmento principal, lo cual el escaneo duro 20 minutos.
Herramientas> Escanear NET
NET La página de rastreo le permite establecer diversas redes de exploración para buscar los cambios en los hosts o servicios de su sistema operativo, como se muestra en la Figura 2 .
Herramientas> Red de exploración.
Fig.2
Como se muestra en la figura de arriba, es fácil realizar una exploración de escaneo de red mediante la selección de una red disponible de la lista desplegable. El rango de direcciones IP aparece en el cuadro de texto
a su derecha. Esto no puede ser modificado, si desea añadir alguna nueva red que necesita para ir a la Política -- Redes y definir una nueva. Además, puede optar por seleccionar Manual, en el que el mencionado cuadro de texto puede ser modificado. Una vez esté listo, haga clic en Buscar. OSSIM escanea la red y muestra un mensaje una vez que esté completo. Los resultados aparecen en la red, la página de exploración por debajo de la red, seleccione la tabla.
Puede hacer clic en Actualización de los valores de la base de datos, que muestra la página Insertar nueva
exploración. Esta página le permite añadir a las propiedades globales recién escaneadas de aceptacion. Estas
propiedades son:
» Valor
» Umbral C
» Umbral A
» RRD Perfil
» ¿Insértese un nuevo perfil?
» NAT
» Sensores
» Opciones de exploración
» Descripción
Algunas propiedades pueden tener enlaces correspondientes que le permiten realizar tareas adicionales, especialmente al trabajar con sensores. Una vez que haya completado los cambios, haga clic en Aceptar. Puedehacer clic en Reset para volver a los valores iniciales.
Herramientas> Copia de seguridad
Herramientas> Copia de seguridad La copia de seguridad de la página le permite restaurar los eventos anteriores a su sistema, así como ver previamente eventos restaurados eventos, como se muestra en la
Figura 3
Esto funcionará para los eventos que aparecen en la base o el Visor de sucesos OSSIM. El backuped de datos será la base de datos de snort (que incluye todos los eventos), no la base de datos OSSIM (que incluye, principalmente, las alarmas y la configuración de entradas).
Las fechas que aparecen pueden ser restauradas en el Administrador de copia de seguridad, por debajo de la
columna restaurar fechas. Simplemente haga clic en una fecha y luego haga clic en Insertar. OSSIM realiza la restauración y muestra el estado de la restauración de copias de seguridad más adelante en la sección de Eventos. Para eliminar un evento restaurado, haga clic en la fecha del evento en las fechas en la sección Base de Datos y haga clic en Eliminar. Ingresar al registro para que se refleje el cambio que se registro en los eventos de copia de seguridad, señalando que se ha eliminado, en qué momento, por quién, y el estado actual de la transacción.
Fig.3
Requisitos de Hardware
Los requisitos de hardware para instalar AlienVault dependerán en gran medida del número de eventos por segundo y del ancho de banda de la red que pretendamos analizar.
Como requisito mímimo siempre es recomendable disponer de al menos 2GB, cantidad que deberemos ir incrementando en función del tráfico que analicemos, del número de eventos que tenga que procesar el servidor o de la cantidad de datos que pretendamos almacenar en base de datos. Para optimizar el uso de recursos es imprescindible que utilicemos unicamente las aplicaciones y componentes que nos resultarán de utilidad en cada caso.
La diferencia de rendimiento entre 32 Bits y 64 Bits es más que considerable, por lo que siempre deberemos tratar de escoger esta arquitectura a la hora de escoger nuestro hardware. La mayoría de los componentes de AlienVault son multihilo, por lo que utilizando procesadores con varios cores obtendremos también una gran mejora en el rendimiento.
A la hora de seleccionar las tarjetas de red para realizar la captura del tráfico, deberemos procurar escoger aquellas soportadas por el driver http://sourceforge.net/projects/e1000 . El desarrollo Open Source de este driver garantiza una buena compatibilidad de estas tarjetas con Debian GNU/Linux.
Siempre deberemos dedicar las tarjetas de red con peores especificaciones, o aquellas que ofrezcan problemas de compatibilidad a la recogida de eventos de otros dispositivos o como interfaz de gestión.
Configuración de la red
En este punto, tendrá que configurar la tarjeta de red de gestión. Usted debe usar una dirección IP con acceso a Internet durante el proceso de instalación. Esta dirección IP se utiliza en la interfaz de administración.
Introduzca la dirección IP y haga clic en Continuar
La máscara de red a usar en su red. Introduzca la máscara de red y seleccione Continuar
La dirección IP de la puerta de enlace predeterminada debe enrutar, si su red tiene una puerta de entrada. Introduzca la dirección IP de la puerta de enlace predeterminada y seleccione Continuar.
El sistema en su red que deberá usar como servidor de DNS (Domain Name Service). Si usted tiene un servidor de nombre local de la red debe ser el primero en esta configuración. Usted puede entrar en los servidores de nombre que quieras. Introduzca las direcciones IP de los DNS (separados por espacios) y seleccione Continuar.
Partición del DiscoAhora es el momento para repartir. Tenga en cuenta que esto borrará los datos almacenados en el disco duro.
Seleccione "guiada: Usar todo el disco" y haga clic en Continuar yo en mi caso utilice toda mi laptop pero probe en una particion y no me dejo instalarla recomendacion virtualicen en una maquina virtual en su maquina si no quieren perder sus datos para hacer la prueba.
Si la máquina tiene varios discos, seleccione el disco en el que AlienVault serán instalados y haga clic en Continuar. En caso de que la máquina tiene un único disco simplemente haga clic en Continuar.
Configurar usuarios y contraseñas
Después de que el sistema base se ha instalado, el instalador le permitirá configurar la cuenta "root".
Aqui debe estar super concentrado porque otras cuentas de usuario se pueden crear después de la instalación se ha completado, lo que quiero decir que si ustedes son loas administradores pueden crear una cuenta para otros que ustedes supervisen esto se hace ya creada la cuenta root. Cualquier contraseña que cree debería contener por lo menos seis caracteres y debería tener en mayúsculas y minúsculas, así como caracteres de puntuacion. Tenga mucho cuidado cuando decida su contraseña de root, ya que es la cuenta más poderosa. Evite palabras de diccionario o uso de cualquier información personal susceptible de ser adivinada.
una vez puesta su contraseña y comprobada de en siguiente apuntela si es necesario y cuando se la sepa quemela o romperla en trocitos bueno.
Actualización de la instalación
La instalación se puede conectar al sitio web de AlienVault para descargar la última versión disponible de cada paquete de software incluido en AlienVault profesional SIEM. Este proceso puede tardar hasta 1 hora (dependiendo de tu conexión a Internet). Sea paciente y no cancelar este proceso.
Este paso es opcional si lo desea no es tan necesario para su primera prueba.
Seleccione "Sí" y haga clic en Continuar. Una vez finalizada la instalación el sistema se reiniciará en el nuevo sistema de AlienVault.
Configuracion
Para simplificar la configuración de la gran cantidad de herramientas incluidas en AlienVault, la configuración está centralizada en un único archivo. Cada vez que modifique esta configuración se debe ejecutar un comando para actualizar la configuración de cada aplicación basada en la configuración centralizada.
La configuración centralizada se almacena en el archivo siguiente:
/ etc / ossim / ossim_setup.conf
Puede editar este archivo usando cualquier editor de texto (vim, nano, pico ...). Los usuarios inexpertos deben utilizar el siguiente comando para editar este archivo:
OSSIM-setup
Para aplicar la configuración centralizada de todos los archivos de configuración que tendrá que ejecutar el siguiente comando:
ossim-reconfig
Perfil del cambio
Todos los perfiles están habilitados por defecto después de ejecutar el instalador. Puede cambiar el perfil con el script OSSIM-configuración y seleccionar la segunda opción (cambio de configuración de perfil)
Con base en el perfil elegido, tendrá que configurar los diferentes parámetros de configuración:
all-in-one
■ Elija interfaces: Introduzca las interfaces (separados por comas) que están recibiendo todo el tráfico de la red.
■ Redes Perfil: Introduzca las redes (redes domésticas) en formato CIDR, y separados por comas, que el sensor se podrá ver en su interfaz de escucha (por ejemplo: 192.168.0.0/24, 10.0.0.0 / 8)
■ AlienVault sensor Nombre: Nombre que se da al sensor instalado en esta máquina.
■ Elegir los complementos: Seleccione los complementos que deben estar habilitadas en este sensor. plugins Monitor sólo se activa bajo petición del servidor de AlienVault durante correlación. Detector de plugins están recogiendo los acontecimientos en tiempo real de los archivos, bases de datos, socket ..
servidor■ AlienVault Mysql Server IP Address: Introduzca la dirección IP del cuadro de AlienVault que ejecuta el perfil de base de datos. Asegúrese de que usted tiene la correcta permanentes en la base de datos para poder conectarse desde una máquina de mano a distancia.
■ AlienVault Mysql puerto del servidor: puerto de escucha para MySQL. (Puerto por defecto es 3306)
■ AlienVault Mysql Contraseña: Contraseña para el usuario root en el servidor MySQL.
base de datos
■ AlienVault Mysql Contraseña: Contraseña para el usuario root en el servidor MySQL.
Si sólo desea volver a configurar el perfil en uso, seleccione el perfil en uso y también se le pedirá que introduzca los parámetros de configuración.
Para aplicar los cambios tiene que seleccionar "Aplicar y guardar todos los cambios" o ejecute el comando de reconfiguración-OSSIM.
Configuración de la red
Los equipos que ejecutan AlienVault requieren un cuidado especial en la configuración de redes.
La configuración de la red se define en el siguiente archivo:
/ etc / network / interfaces
Si la configuración de red se ha modificado, para aplicar los cambios utilice el siguiente comando:
/ etc / init.d / networking restart
Cada caja AlienVault debe tener al menos una dirección IP estática para los diferentes componentes de AlienVault pueden comunicarse entre ellos y el administrador puede tener acceso remoto a las máquinas.
Cada interfaz con una dirección IP debe tener una entrada en / etc / network / interfaces de archivo con el siguiente esquema:
allow-hotplug eth0
iface eth0 inet static
dirección 192.168.1.133
máscara de red 255.255.0.0
red 192.168.0.0
difusión 192.168.255.255
puerta de enlace 192.168.1.1
dns-nameservers 192.168.1.100
Los interfaces utilizadas para recoger todo el tráfico de red no debe tener una dirección IP. interfaces promiscuo no requiere ninguna configuración especial en el archivo de configuración de red.
Actualización de AlienVault
Los siguientes comandos se actualizará el sistema de AlienVault:
apt-get update, apt-get dist-upgrade;
software de OSSIM-reconfigThe actualización del sistema que se utiliza en el programa de instalación AlienVault ha sido diseñado para asegurar que las versiones correctas están siendo utilizados. Permite a los desarrolladores AlienVault bloqueo o forzar las actualizaciones de determinado software en el sistema. Por esta razón, nunca debe ser como los depósitos de nuevo software en el archivo / etc / apt / sources.list.
DESCARGAS, MANUALES
Metodo rapido de Instalacion de AlienVault OSSIM Installer
Nos dirigimos a descargar el compilado de Alien Vault
Si tenemos la arquitectura de Amd64 esta es la que nos conviene
•
Si tenemos una arquitectura de 32 bits osea i386Architecture:
•
Download Manual de Usuario. 5.8 Mb
http://hermeschavez.files.wordpress.com/2010/11/manual-super-de-ossim.pdf
https://www.dropbox.com/s/wmk9xqtkhu9zgww/manual-super-de-ossim.pdf