Cara Meningkatkan Kemampuan Deteksi Ancaman Anda dengan Host IDS menggunakan OSSIM - Bagaimana-Untuk

Cara Meningkatkan Kemampuan Deteksi Ancaman Anda dengan Host IDS menggunakan OSSIM

Ketika seseorang memunculkan sistem deteksi intrusi (IDS), Anda mungkin menyulap gambar perangkat keras menjengkelkan atau terpercaya yang diinstal pada jaringan Anda yang melacak perilaku lalu lintas jaringan yang tidak biasa. Perangkat yang berpusat pada jaringan ini sangat efektif untuk memindai lalu lintas terhadap pustaka tanda tangan untuk memberi tahu hash file berbahaya yang diketahui dan perilaku nakal umum. Perangkat ini disebut Network IDS (NIDS) dan bagian inline counter-nya, Network Intrusion Prevention Systems (NIPS).

Namun, ada kelas lain dari kemampuan deteksi intrusi yang melengkapi NIDS yang disebut Host IDS (HIDS). HIDS adalah modul perangkat lunak yang diinstal pada Windows, Linux, dan server OS lainnya. Apa yang membuat HIDS benar-benar berharga adalah bahwa HIDS mendeteksi aktivitas berbahaya setelah penyerang melewati pertahanan perimeter yang gagal dan sekarang mulai menginfeksi host yang menjalankan web kritis, penyimpanan, dan layanan bisnis Anda.

Merupakan ide bagus untuk menambahkan HIDS ke strategi deteksi ancaman Anda, dan inilah caranya.

Total 14 Langkah

Langkah 1: Pahami manfaat apa yang akan Anda dapatkan dari HIDS

Meskipun kurang banyak digunakan daripada NIDS, HIDS dapat menghasilkan alarm seperti NIDS dan memiliki kemampuan tambahan yang harus Anda pertimbangkan untuk strategi deteksi ancaman Anda.

- Analisis dan peringatan HIDS pada aktivitas file log
- HIDS dapat memonitor blind spot enkripsi NIDS, karena HIDS beroperasi pada data sebelum enkripsi
- HIDS dapat menemukan indikator ancaman ketika file penting diubah
- HIDS dapat menemukan indikator ancaman ketika pendaftar Windows adalah manipulasi
- HIDS dapat mendeteksi pemasangan rootkit
- Analisis log HIDS dapat dikorelasikan dengan peringatan NIDS dan ancaman Intelijen

Langkah 2: Tentukan HIDS mana yang harus Anda gunakan dan di mana Anda mendapatkannya

Untuk panduan ini, kami akan fokus pada kapasitas HIDS yang tersedia dengan OSSIM (Manajemen Informasi Keamanan Sumber Terbuka).

OSSIM adalah sistem manajemen ancaman open-source yang mengintegrasikan kemampuan deteksi ancaman utama termasuk penemuan aset, penilaian kerentanan, NIDS, HIDS (topik kita hari ini), SIEM, dan korelasi peristiwa. Ini penting karena satu alat dengan sendirinya hanya menceritakan sebagian dari cerita intrusi.

Karakteristik penting lainnya dari OSSIM HIDS adalah bahwa ia mendukung Linux, Unix, OpenBSD, FreeBSD, OSX, Solaris dan host Windows.

Anda dapat mengunduh OSSIM dari: https://www.alienvault.com/products/ossim

Opsi lain adalah menggunakan OSSEC sebagai HIDS open-source mandiri. OSSIM versi 5.x mengintegrasikan OSSEC.

Anda dapat mengunduh OSSEC dari: https://ossec.github.io/downloads.html

Ada sejumlah produk komersial yang tersedia, termasuk USM AlienVault, tetapi kami akan membiarkan latihan Google itu untuk Anda lakukan di waktu luang Anda.

Langkah 3: Tentukan opsi penyebaran yang tepat untuk kebutuhan Anda


OSSIM HIDS digunakan sebagai dua komponen, agen HIDS dan OSSIM. Fungsionalitas OSSIM HIDS dapat digunakan dalam dua konfigurasi:

- Lokal: pendekatan all-in-one di mana agen HIDS dan OSSIM dipasang secara lokal pada satu host dengan tujuan melindungi host itu sendiri. Namun, opsi ini tidak tersedia untuk pemantauan Windows, karena OSSIM adalah solusi berbasis Linux. Kendala Windows yang berdiri sendiri ini berlaku untuk OSSEC, karena OSSEC memiliki komponen server yang tidak berjalan pada Windows.

- Agen OSSIM + HIDS: adalah konfigurasi penyebaran HIDS OSSIM yang paling umum digunakan, karena menyediakan kemampuan untuk memantau beberapa host dari instance OSSIM tunggal. Sepertinya bisnis Anda tidak perlu untuk mengamankan satu host dan karena ini adalah satu-satunya pilihan kami untuk Windows, mari kita lanjutkan dengan model agen OSSIM + HIDS. OSSIM akan secara otomatis menggunakan agen Windows HIDS, jadi tidak diperlukan perangkat lunak tambahan.

Dalam panduan ini kami akan memfokuskan diskusi kami pada agen HIDS Windows Server.

Langkah 4: Instal OSSIM HIDS - bagian 1


a) Instal OSSIM di server atau hypervisor VMWare

OSSIM disediakan sebagai gambar .iso berdasarkan pada Linux Debian. Kami tidak akan memasukkan rincian menginstal OSSIM karena sangat sederhana dan cukup jelas. Masukkan CD fisik atau virtual, mulai instal, dan kemudian ikuti instruksi dari layar (@ 10 menit).
Inilah tampilan layar instal yang sudah selesai:

Setelah selesai, mulai browser ke alamat IP yang dikonfigurasi dengan kredensial yang Anda buat selama instalasi.

Langkah 5: Instal OSSIM HIDS - bagian 2


b) Dari konsol OSSIM, gunakan agen Windows HIDS
-Navigate ke LINGKUNGAN> ASET & GRUP
-Pilih target server Windows
-Pilih AKSI> Menyebarkan Agen HIDS

Langkah 6: Instal OSSIM HIDS - bagian 3


c) Berikan kredensial Window host target untuk memulai penyebaran

Selain menggunakan agen, OSSIM akan membuat pasangan kunci SSL untuk mengenkripsi lalu lintas antara agen HIDS dan OSSIM.

Langkah 7: Verifikasi agen HIDS dan OSSIC berfungsi dengan baik


Anda akan melihat secara visual bahwa OSSIM berhasil menggunakan agen HIDS sebagai entri program yang disebut OSSEC atau pada konsol OSSIM (LINGKUNGAN> ASET & GRUP).

Langkah 8: Anda dapat mengubah apa yang dipantau agen HIDS dari aplikasi OSSEC


Agen HIDS akan sudah mulai pada penempatan, tetapi Anda dapat melihat status, mulai / berhenti, melihat log OSSEC, dan mengubah apa yang akan dipantau oleh agen HIDS dari aplikasi OSSEC.

Langkah 9: Buat acara di server Windows & lihat di OSSIM


Sekarang mari kita membuat acara di server Windows dan melihat acara di OSSIM.
- Buka dan edit ossec.conf (View> View Config). Secara default, agen HIDS akan memeriksa sendiri file konfigurasi untuk integritas file. Ini masuk akal karena Anda tidak ingin penyerang membuat blind spot pada host dengan memodifikasi pengaturan HIDS.
- Kami akan memodifikasi interval pemindaian, menyimpan file, dan kemudian berhenti dan restart agen HIDS.

Langkah 10: Verifikasi acara tersebut masuk dalam OSSIM dengan menavigasi ke ANALISIS> KEAMANAN PERISTIWA (SIEM)


Di sini Anda dapat melihat checksum file konfigurasi HIDS berubah.

Itu dia, cukup sederhana.

Langkah 11: Konfigurasikan Agen HIDS

Pada tangkapan layar di atas, Anda dapat melihat menu aplikasi Windows OSSEC, View> View Config selection. File ini adalah file XLM yang dapat diedit. File ini memberi tahu agen HIDS apa yang harus dipantau. Ini terdiri dari 3 bagian utama:

Localfile - File / Log peristiwa untuk dipantau
Rootcheck - Pemindaian rootkit
Syscheck - File sistem / entri Registry untuk dipantau

Bagian Localfile adalah tempat Anda akan menambah dan menghapus log mana yang akan diteruskan untuk analisis OSSIM. Bagian Syscheck adalah tempat Anda akan menentukan file dan registri apa untuk memeriksa perubahan. Secara default, agen HIDS akan memeriksa semua direktori system32 serta registri Windows yang terkait dengan kebijakan, versi, layanan dan keamanan diperiksa untuk perubahan.

Selain memodifikasi file ossec.conf secara langsung pada host Windows, OSSIM memberi Anda mekanisme untuk mengubah konfigurasi agen HIDS dari konsol OSSIM (LINGKUNGAN> DETEKSI> Tutup).

Ossec.conf Windows default telah disisipkan ke dalam lampiran. Ini akan memberi Anda pandangan cepat ke apa yang dipantau secara default pada host Windows.

Langkah 12: Kurangi obrolan dan sesuaikan HIDS

Seperti yang dapat Anda bayangkan, memantau kumpulan aktif host Windows dengan agen HIDS default akan menghasilkan sejumlah peristiwa yang mengganggu. OSSIM memiliki banyak kemampuan yang dapat dikonfigurasi yang kuat untuk mengurangi obrolan dan meningkatkan efektivitas deteksi ancaman.

Mengoptimalkan atau menyesuaikan OSSIM dengan kebijakan, arahan, dan korelasi untuk pemantauan keadaan yang kompleks (mis. Membedakan antara serangan masuk brute force dan jari gemuk pengguna) adalah bagaimana efektivitas keamanan dapat diwujudkan. Tetapi di sinilah Anda perlu melangkah dengan keamanan dan tujuan bisnis Anda. Dan jika Anda masih tertarik pada HIDS setelah membaca hingga titik ini, Anda harus menggali detailnya dan mencobanya sendiri.

Langkah 13: Komentar tentang AlienVault USM

Unified Security Management (USM) adalah alat komersial OSSIM milik AlienVault. USM memiliki banyak peningkatan atas OSSIM dan termasuk ancaman intelijen.

Tujuan kami adalah untuk menyediakan Anda solusi deteksi ancaman dan manajemen kepatuhan terpadu yang mudah digunakan dan terjangkau. Kami telah membangun semua kemampuan keamanan penting yang Anda butuhkan dalam satu platform Manajemen Keamanan Terpadu, yang kemudian ditenagai oleh intelijen ancaman terkini dari AlienVault Labs dan Open Threat Exchange (OTX) - Open Threat Exchange (OTX) - Open Threat Exchange) - yang pertama di dunia komunitas intelijen ancaman yang memungkinkan pertahanan kolaboratif dengan data ancaman yang diberdayakan oleh masyarakat.

Hasilnya adalah solusi tangguh yang memenuhi janjinya akan visibilitas keamanan lengkap

Langkah 14: Lampiran - Default OSSUM Agen Windows HIDS: ossec.conf









Aplikasi
eventlog



Keamanan
eventlog



Sistem
eventlog





./share/win_audit_rcl.txt
./share/win_applications_rcl.txt
./share/win_malware_rcl.txt







72000


tidak



% WINDIR% / win.ini
% WINDIR% / system.ini
C: autoexec.bat
C: config.sys
C: boot.ini
% WINDIR% / System32 / CONFIG.NT
% WINDIR% / System32 / AUTOEXEC.NT
% WINDIR% / System32 / at.exe
% WINDIR% / System32 / attrib.exe
% WINDIR% / System32 / cacls.exe
% WINDIR% / System32 / debug.exe
% WINDIR% / System32 / drwatson.exe
% WINDIR% / System32 / drwtsn32.exe
% WINDIR% / System32 / edlin.exe
% WINDIR% / System32 / eventcreate.exe
% WINDIR% / System32 / eventtriggers.exe
% WINDIR% / System32 / ftp.exe
% WINDIR% / System32 / net.exe
% WINDIR% / System32 / net1.exe
% WINDIR% / System32 / netsh.exe
% WINDIR% / System32 / rcp.exe
% WINDIR% / System32 / reg.exe
% WINDIR% / regedit.exe
% WINDIR% / System32 / regedt32.exe
% WINDIR% / System32 / regsvr32.exe
% WINDIR% / System32 / rexec.exe
% WINDIR% / System32 / rsh.exe
% WINDIR% / System32 / runas.exe
% WINDIR% / System32 / sc.exe
% WINDIR% / System32 / subt.exe
% WINDIR% / System32 / telnet.exe
% WINDIR% / System32 / tftp.exe
% WINDIR% / System32 / tlntsvr.exe
% WINDIR% / System32 / driver / dll
C: Dokumen dan Pengaturan / Semua Pengguna / Menu Mulai / Program / Startup
C: Pengguna / Publik / Semua Pengguna / Microsoft / Windows / Start Menu / Startup
.log $ | .htm $ | .jpg $ | .png $ | .chm $ | .pnf $ | .evtx $



HKEY_LOCAL_MACHINE Software Classes batfile
HKEY_LOCAL_MACHINE Software Classes cmdfile
HKEY_LOCAL_MACHINE Software Classes comfile
HKEY_LOCAL_MACHINE Software Classes exefile
HKEY_LOCAL_MACHINE Software Classes piffile
HKEY_LOCAL_MACHINE Software Classes AllFilesystemObjects
HKEY_LOCAL_MACHINE Software Classes Directory
HKEY_LOCAL_MACHINE Software Classes Folder
HKEY_LOCAL_MACHINE Software Classes Protocols
HKEY_LOCAL_MACHINE Software Kebijakan
HKEY_LOCAL_MACHINE Security
HKEY_LOCAL_MACHINE Software Microsoft Internet Explorer


HKEY_LOCAL_MACHINE System CurrentControlSet Services
HKEY_LOCAL_MACHINE System CurrentControlSet Control Session Manager DikenalDLLs
HKEY_LOCAL_MACHINE System CurrentControlSet Control SecurePipeServers winreg

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnceEx
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion URL
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Kebijakan
HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows
HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon

HKEY_LOCAL_MACHINE Software Microsoft Active Setup Komponen Terpasang




HKEY_LOCAL_MACHINE Security Policy Secrets
HKEY_LOCAL_MACHINE Security SAM Domains Account Users
Enum $



tidak



10.47.30.100
120
240





Implementasi deteksi intrusi yang efektif harus melampaui mengandalkan secara eksklusif pada IDS Jaringan. Menambahkan HIDS ke strategi keamanan Anda yang mendalam akan membuat kemampuan deteksi ancaman Anda lebih kuat. OSSIM memberi Anda opsi sumber terbuka yang kuat untuk meningkatkan kemampuan deteksi ancaman Anda.