ABOUT
初期セットアップ自体は非常に簡単で、すぐに終わります。
ログを正しく取り込むために、コマンドラインモード(Debian)に入って、設定ファイルを修正する必要があります。
Linuxベースなので、難しいところもないと思います。
DETAIL
-
AlienvaultのサイトからVMイメージをダウンロードする
-
VM環境にリストアする
-
セットアップスクリプトに従ってIPアドレスやアカウントを設定する
-
監視したいログのPlug-inを有効にする
-
Jailbreakメニューからコマンドラインモードに入る
-
必要に応じてPlug-inを編集する
/etc/ossim/agent/pluginの下
WindowsOSのEventlogをpullする、SQLでlogをpullする場合も、plug-inのファイルを編集して設定します。 -
必要に応じて/etc/rsyslog.conf, /etc/rsyslog.dを編集する
-
rsyslogの設定を変えたら、logrotateも編集する
-
IDSを利用する場合、SwitchのSPAN port (Mirroring port)に接続する
-
OTXにアカウントを作って、Alienvaultと連結させる
ポイント
SIEMを使う上で必須となる正規表現
AlienvaultのSIEM機能はPhythonで動いています。
多様なログをノーマライズするプラグインが用意されていますが、イベントのフォーマットがプラグインと合わなかったり、イベントをカテゴリーに振り分けて細かく管理したい場合には、プラグインをカスタマイズするか独自に作成する必要があります。
その時に必要となるのが正規表現です。
このサイトとこちらの書籍を参考にどうぞ。
SIEMは大量のログを処理します
I/Oの負荷がかかり、OSがフリーズしてしまうことがあります。
AlienvaultはDebianベースのLinuxOSで稼働しているので、dirty_ratioを調整することで状況を緩和することができると思います。
dmesgに以下のようなエラーが表示されているときはAlienvaultが動いているサーバスペックに合わせてdirty_ratio 40から60程度に調整することで状況を緩和することができると思います。
INFO: task <task名>:<task番号> blocked for more than 120 seconds.
echo '40' > /proc/sys/vm/dirty_ratio
再起動すると戻ってしまうので /etc/sysctl.d/alienvault.confも更新する。
それぞれの詳しい設定方法など必要でしょうか?
もし、上部メニューのコンタクトから必要とされる方のコメントを頂いたら手順をまとめたいと思います。