-Alien Vault Ossim açık kaynak kodlu ücretsiz bir SIEM aracıdır.Server,Sensor ve Logger olmak üzere 3 temel bileşenden oluşmaktadır. -Bu bileşenler gerçek zamanlı olarak tehdit algılama gerçekleştirir ve log kaydı tutar. -Bu aracın .iso dosyasına “https://cybersecurity.att.com/products/ossim” bağlantısı üzerinden erişim sağlayabiliriz. Not:Bağlantıya erişim için VPN açılması gerekmektedir.
-Kayıt sonrasında Kullanıcı adı ‘admin’ ve oluşturduğum parola üzerinden işlemleri başlatıyorum.
-“Start” butonu ile tarayıcı üzerinden de kuruluma başlıyorum.
-Network Interface’imi seçiyorum.Burada benim harici Network Kartım takılı olmadığı için kendi cihazımın NIC’i üzerinden işlem gerçekleştiriyorum.
-Tarama ekranı ile devam ediyorum.Burada SIEM içerisine bağlamak istediğim cihazın IP adresini belirtiyorum ve içerisine otomatize olarak bir Agent ekleniyor.
-Ben hem cihazımı yormaması açısından hem de rahat saldırı yapabilmek için Metasploitable-2 makinesi üzerinden işlem gerçekleştiriyorum.
-Ağ tarama işlemi başladı. Bu işlem 15–20 dakika sürmektedir.
-Tarama sonrasında bulduğu cihazların IP adreslerini bana göstermektedir.
-Metasploitable cihazımı belirtiyorum. Agent yükleyebilmesi için Root yetkisine sahip kullanıcı adı ve şifresini veriyorum.
-Belirttiğim cihaz içerisine Agent ekliyor.
-Community sayfasına üye olmadan devam ediyorum.
-Karşıma çıkan sayfada ise “Finish” diyip kurulumu sonlandırıyorum.
-Kurulum sonrasında “Explore Alienvault OSSIM” seçeneği ile kurulumu tamamlıyorum.
-Başarılı bir şekilde kurulum gerçekleştirip,arayüze eriştim.
Saldırıların SIEM’e yansıması
Nmap taraması,SSH Bruteforce,Telnet login ve Samba Exploit gibi işlemler gerçekleştirip düşen log kayıtlarına bakacağım.
Bu işlemler OSSIM içerisinde default gelen Rulelar ile tespit edilmektedir.
#Nmap Taraması
-Linux cihazım üzerinde dinlemeye aldığım Metasploitable cihazına bir Nmap taraması gerçekleştiriyorum.