OSSIM Kurulumu ve Uygulama

OSSIM

-Alien Vault Ossim açık kaynak kodlu ücretsiz bir SIEM aracıdır.Server,Sensor ve Logger olmak üzere 3 temel bileşenden oluşmaktadır.
-Bu bileşenler gerçek zamanlı olarak tehdit algılama gerçekleştirir ve log kaydı tutar.
-Bu aracın .iso dosyasına “https://cybersecurity.att.com/products/ossim” bağlantısı üzerinden erişim sağlayabiliriz.
Not:Bağlantıya erişim için VPN açılması gerekmektedir.

Minimum sistem gereksinimleri

• -2 CPU Cores
  -4 GB Ram
  -100 GB HDD
  -E1000 uyumlu Network Kartı

KURULUM

-İndirdiğim .iso dosyasını VMware sanal makine üzerinde Debian8(64 Bit) olarak kuruyorum.
-Cihazı başlatıyorum.

-İlk çıkan seçenekte “Install AlienVault OSSIM 5.8.11 (64 Bit)” ile devam ediyorum.

-Kurulum dilini seçiyorum. Ben burada Türkçe tercih ettim sizler dilediğiniz Dil üzerinde kurabilirsiniz.

-Konum seçimi gerçekleştiriyorum ve devam butonu ile ilerliyorum.

-Klavye dil seçimi gerçekleştiriyorum ve devam butonu ile ilerliyorum.

-Statik ağ yapılandırması ile işlemlerime devam ediyorum.

-Burada OSSIM arayüzüne erişim sağlayacağım IP adresini(192.168.187.145) belirtiyorum.

-Gateway adresini belirtiyorum.

-DNS adreslerini giriyorum. Birden fazla da ekleme yapılabilir.

-Root kullanıcısı için parola tanımlıyorum.

-Kurulum işlemi başladı ve bu işlem 20–30 dakika arası sürmektedir.

-Kurulum tamamlandığın sistem açılıp kapanıyor ve karşıma böyle bir arayüz çıkıyor.

-OSSIM IP adresini de burada görüntüleyebiliyorum.

-OSSIM adresine gittiğimde Hesap oluşturma kısmıyla karşılaşıyorum.

-Gerekli bilgileri doldurup kayıt oluyorum.

-Kayıt sonrasında Kullanıcı adı ‘admin’ ve oluşturduğum parola üzerinden işlemleri başlatıyorum.

-“Start” butonu ile tarayıcı üzerinden de kuruluma başlıyorum.

-Network Interface’imi seçiyorum.Burada benim harici Network Kartım takılı olmadığı için kendi cihazımın NIC’i üzerinden işlem gerçekleştiriyorum.

-Tarama ekranı ile devam ediyorum.Burada SIEM içerisine bağlamak istediğim cihazın IP adresini belirtiyorum ve içerisine otomatize olarak bir Agent ekleniyor.

-Ben hem cihazımı yormaması açısından hem de rahat saldırı yapabilmek için Metasploitable-2 makinesi üzerinden işlem gerçekleştiriyorum.

-Ağ tarama işlemi başladı. Bu işlem 15–20 dakika sürmektedir.

-Tarama sonrasında bulduğu cihazların IP adreslerini bana göstermektedir.

-Metasploitable cihazımı belirtiyorum. Agent yükleyebilmesi için Root yetkisine sahip kullanıcı adı ve şifresini veriyorum.

-Belirttiğim cihaz içerisine Agent ekliyor.

-Community sayfasına üye olmadan devam ediyorum.

-Karşıma çıkan sayfada ise “Finish” diyip kurulumu sonlandırıyorum.

-Kurulum sonrasında “Explore Alienvault OSSIM” seçeneği ile kurulumu tamamlıyorum.

-Başarılı bir şekilde kurulum gerçekleştirip,arayüze eriştim.

Saldırıların SIEM’e yansıması

• Nmap taraması,SSH Bruteforce,Telnet login ve Samba Exploit gibi işlemler gerçekleştirip düşen log kayıtlarına bakacağım.
• Bu işlemler OSSIM içerisinde default gelen Rulelar ile tespit edilmektedir.

#Nmap Taraması

-Linux cihazım üzerinde dinlemeye aldığım Metasploitable cihazına bir Nmap taraması gerçekleştiriyorum.

-OSSIM arayüzüne geldiğimde Nmap taraması gerçekleştiğine dair log kayıtlarını karşıma düşürmektedir.

#SSH BruteForce

-Linux cihazım üzerinde Hydra aracından yararlanarak Metasploitable cihazıma bir SSH BruteForce saldırısı başlatıyorum.

-SSH üzerinden bir deneme gerçekleştirdiğimi tespit etti.

#Telnet Bağlantısı

-Linux cihazım üzerinden Metasploitable içerisine bir Telnet bağlantısı kuruyorum.(msfadmin/msfadmin)

-OSSIM arayüzüne geçiş yaptığımda Telnet üzerinde gerçekleştirdiğim işlemin tespit edildiğini görüntülüyorum.

#Samba Exploit

-Linux cihazım üzerinde Metasploit aracını başlatıyorum.Samba üzerinden bir Exploit çalıştırıyorum ve shell bağlantısı kuruyorum.

-OSSIM arayüzüne geçiş yaptığımda saldırının tespit edildiğini görüntülemekteyim.