OSSIM как бесплатная SIEM-система.

Всем привет.

Популярное понятие SIEM  (Security Information and Event Management) в наши дни достаточно размыто, можно представить, что это процесс, объединяющий сетевую активность в единый адресный набор данных. Сам термин был придуман Gartner в 2005 году, но с тех пор само понятие и все, что к нему относится, претерпело немало изменений. Первоначально аббревиатура представляла собой комбинацию двух терминов, обозначающих область применения ПО: SIM (Security Information Management) - управление информационной безопасностью и SEM (Security Event Management) - управление событиями безопасности. По утверждению Gartner, SIEM-система должна собирать, анализировать и представлять информацию из сетевых устройств и устройств безопасности. Также в эту систему должны входить приложения для управления идентификацией и доступом, инструменты управления уязвимостями и базы данных и приложений. 

Для наглядности можно выделить несколько функций, которые обычно поставляются SIEM-системами: 

• возможность отправки предупреждений на основе предопределенных настроек 
• отчеты и логирование для упрощения аудита 
• возможность просмотра данных на разных уровнях детализации. 

Среди лидеров рынка выделяются такие SIEM-системы: 

• HP ArcSight 
• IBM QRadar 
• McAfee NitroSecurity 
• RSA Envision 
• Splunk 
• LogRhythm 
• MaxPatrol.

Все они платные и очень платные. Но тут к нашему неприкрытому любопытству мы узнаем что некая компания AlienVault выпускает бесплатную SIEM-систему OSSIM. Есть у нее и платный вариант USM, но речь далее не о нем. Итак OSSIM (Open Source Security Information Management) - система управления, контроля и обеспечения информационной безопасности. Система OSSIM это комплексное решение по управлению безопасностью, позволяющее обнаруживать и классифицировать компьютерные атаки на основе анализа, оценки рисков и корреляции событий в реальном времени.

Этот комбайн состоит из следующих компонентов:

- cбор, анализ и корреляция событий: SIEM;

- xостовая система обнаружения вторжений (HIDS): OSSEC;

- cетевая система обнаружения вторжений (NIDS): Suricata;

- ,еспроводная система обнаружения вторжений (WIDS): Kismet;

- vониторинг узлов сети: Nagios;

- fнализ сетевых аномалий: P0f, PADS, FProbe, Arpwatch и др;

- cканер уязвимостей: OpenVAS;

- cистема обмена информацией об угрозах между пользователями OSSIM: OTX сообщество.

То есть, это полный набор классических контролей для организации "видеонаблюдения" за сетью вашей компании. Отлично, более того, для предварительной оценки ее можно развернуть даже на виртуальной машине. Перед разворачиванием рекомендую прочесть также этот пост, чтобы не промахнутся с операционными параметрами как это сделал я.)

Чтобы не было "мертвых зон", необходимо в первую очередь расставить агентов HIDS (OSSEC) на все хосты в сети. Затем, настроить передачу на "неразборчивый" интерфейс OSSIM всего трафика вашей внутренней сети, чтобы он обрабатывался NIDS (Suricata).  Обязательно настроить и запустить периодическое сканирование уязвимостей сканером OpenVAS по крайней мере всех узлов DMZ.  

К менюшкам OSSIM следует привыкнуть. Не стоит в них искать упомянутые OSSEC, Suricata, Nagios и прочее. Их назначение рабросано функционально, поэтому придется вначале попыхтеть. 

Например если HIDS-агент на Windows устанавливается одним файлом, то для Linux это целый набор команд. Также присутствует проблема определения IP-адреса как 0.0.0.0, которая решается нетрадиционным способом. А вот NIDS со старта не поднимается, поэтому надо не поленится, нырнуть по меню и перенастроить диапазоны сканируемых подсетей.

В целом система довольна интересная,  в меру запутанная, для практического исследования вашей сети. Главное знать что вы от нее хотели бы получить в итоге.

OSSIM как и всякая система может сбойнуть и потребовать траблшутинга. Если вам кажется, что-то работает не так, то надо начинать смотреть логи и ошибки в них:

1) `/var/ossec/logs/ossec.log`- здесь вы увидите ошибки OSSEC. Самая распространенная ошибка - это потеря связи с агентом, бывает при каких-нибудь фатальных сбоях коммуникации по сети, или после переустановки агента. Редкая, но при большом количестве агентов может быть не такой уж редкой. Если на консоли вы видите, что какой-либо агент не активен, а вы знаете, что компьютер включен, значит вам сюда. В логе ошибка выглядит как `ERROR: Duplicated counter for 'agent-name'`. Устраняется просто. На веб-консоли (environment - detection - agents) или в файле `/var/ossec/etc/client.keys` ищем агента с этим именем и смотрим его номер (число в самой левой колонке). Затем лезем в каталог `/var/ossec/queue/rids` и удаляем в нем файл с именем - номером агента. Заходим SSH на консоль сервера, выходим в командную строку и делаем `/etc/init.d/ossec restart`. Все дела. Честно говоря, других ошибок с OSSEC я и не видел.

2) `/var/ossec/logs/alerts/alerts.log`- это лог в который OSSEC складывает разжеванные события от агентов, именно отсюда OSSIM читает события и обрабатывает их плагином для OSSEC. Здесь вы можете посмотреть, что туда валится и как это выглядит.

3) остальные логи в традиционной `/var/log` из них полезные `/var/log/alienvault/agent/agent.log` и там же `agent_error.log`. Они могут пригодиться при отладке собственных плагинов. Учтите, что на рабочей системе размер `agent.log` исчисляется гигабайтами.

Успехов.