AlienVault OSSIM Configuration

Selamlar arkadaşlar bu makalemde sizlere AlienVault içerisinde yapabileceğiniz birkaç işlemden bahsedeceğim. AlienVault’umuzu nasıl update ederiz, Scan network nasıl yaparız, Uzaktan HIDS’i nasıl basarız gibi şeyler olacak. Eğer bir önceki makalemde kurulum adımlarını yapmadıysanız buraya tıklayarak cihazınızı kurabilir ve lab ortamı oluşturabilirsiniz.

– Cihazımızı Update Edelim :

Configuration > Deployment yolunu izliyoruz. Ardından Components altında bulunan serverımızı buluyoruz ve New Updates yazan alandaki aşağı ok işaretine basıyoruz ve güncellemeler denetleniyor.

Daha sonra updateler bulunuyor ve UPDATE ALL butonuna tıklayarak yüklüyoruz.

System Updated yazısı ile işlemlerimiz tamamlanıyor. J

– Kuralları Ayarlamak :

Bunun için Environment > Detection yolunu izlemelisiniz. Config > Rules altında bulunan Disabled Rules kurallarına üstünde bulunan Add All butonu ile Enabled Rules alanına eklemelisiniz.

Ben bu kuralları eklerken AlienVault-Web-Access_Rules.xml kuralını bırakıyorum. Test ortamında olduğumuz için çok fazla gönderiyor bundan dolayı eklemiyorum. Daha sonra Save ile kayıt ediyoruz. Bu şekilde kontrol edilecek olan diğer kuralları da eklemiş oluyoruz.

– Manuel olarak Network eklemek ve Scan işlemi :

Bunun için Environment > Assets & Groups ardından Networks sekmesine geliyoruz. Sağ tarafta bulunan Add Network tuşuna basıyoruz. New Network sayfasında Name alanına tanımlamamızı, CIDR’a ise network/subnet bilgisini yazıyoruz. Sensor kısmı bir adet olduğu için otomatik olarak seçili geliyor. Save tuşu ile ayarları kayıt ediyoruz.

Daha sonra aşağıya eklendiğini görüyoruz. Networkumuzu seçiyoruz ve ardından Actions > Run Asset Scan seçeneğini seçiyoruz.

Açılan pencerede herhangi bir ayar yapmıyoruz ve Start Scan diyoruz. İşlemleri başlatıyoruz bu Scan işlemi biraz zaman alabilmektedir.

– Manuel olarak Host ekleme işlemi :

Environment > Assest & Groups > Assets yolunu izliyoruz ve Add Assets açılır menüsünden Add Host butonuna basıyoruz.

Name ve Ip Adres kısımlarını dolduruyoruz. Operating System alanı seçim yapılacak bir alandır. Burayı kesinlikle doldurmalısınız aksi halde HIDS Agent basarken sorun yaşayacaksınız. Alanları doldurduktan sonra Save butonuna basıyoruz ve Host’umuzu eklemiş oluyoruz.

– Uzaktan Agent Dağıtma İşlemi :

Environment > Detection > Agents > Agent Control yolu izlenir. Add Agent butonuna basılır New HIDS Agent penceresinde ise eklediğiniz ya da scanda bulunan varlıklardan biri seçilir. Agent Name belirlenir ve This is a dynamic IP address (DHCP) seçeneği seçilerek bu cihazın Fix (Sabit)’li bir ip ye sahip olmadığı bilgisi eklenir ve ardından SAVE tuşuna basılır.

Cihazın eklendiğini gördükten sonra Actions kısmında bulunan yukarıdaki resimdeki butona basılır.

Açılan pencerede Domain’iniz varsa ona uygun doldurup Deploy tuşuna basarsınız.
Ör:
Domain : deneme.local
User : adminkullanici
Password : OnudaSizBilin.!
🙂

Yükleme işlemi bittiğinde size vereceği uyarı bu şekildedir.

Daha sonra Client cihazınıza gidebilir ve Kurulumu kontrol edebilirsiniz.

Önemli Not : Bu programı uzaktan kurulmasını sağlamanız için Firewall üzerinden izinleri ayarlamalısınız. Bu ayarlar için biraz daha okuyarak nelere izin vermeniz gerektiğini yazacağım. Tabi siz firewall’u komple kapatadabilirsiniz tabi. J

– Firewall üzerinde izin verilmesi gereken ayarlar :

Verdiğim kuralları Inbound tarafından Local olarak ya da GPO ile domaininizde bulunan Client’larda açmanız gerekmektedir.

File and Printer Sharing (SMB-In) kuralı ile,

Windows Management Instrumentation (WMI-In) kurallarını Domain, Private ve Local olarak açmanız gerekmektedir. Sonrasında HIDS Agent tarafında herhangi bir sorun yaşamayacaksınız.

Bu makalemde bu kadar arkadaşlar. Bir sonraki makalelerimde görüşmek üzere kolaylıklar dilerim.

Bir Cevap Yazın