Hacking Articles
Raj Chandel’s Blog
Menu
Home » Red Teaming » AlienVault: End user Devices Integration-Lab Setup (Part 2)
Red Teaming
AlienVault: End user Devices Integration-Lab Setup (Part 2)
October 13,2020 By Raj Chandel
As logs never lie, it's very important to aggregate and analyze the internal and external
network logs constantly so that you can prevent a breach or perform incident response on
time. In the previous article, we looked at the configuration and installation of AlienVault
OSSIM
The operating-system integration for AlienVault is based on window-centric for a Linux
platform,
Let’s take a look at the involved process for gathering logs from Linux servers using
AlienVautt
You can access the previous article from here: - AlienVault Lab setup
in this article, we will discuss how to send Ubuntu RSYS logs to the AlienVault server and the
Manual configuration and installation of the SSH plugin.
So, without much theory let's begin the integration process.
Table of Content
* Prerequisites
* credentials
+ Integration of Rsyslog and SSH plugin to AlienVault OSSIM
PrerequisitesFor the integration of Rsyslog and SSH plugin to AlienVault OSSIM, there are some minimum
requirements as listed below.
* Ubuntu 20.04 or later
+ Root privileges
Credenciales
+ Ubuntu 20.04 IP: 192.168.1.8
+ ALIENVault OSSIM IP: 192.168.1.70
+ Usuario de OSSIM (CLI): root
* Contrasefia de OSSIM: designada por usted en el momento de la configuracién del
servidor
Integracién de Rsyslog y SSH plugin a AlienVault OSSIM
Ubuntu 20.04
Rsyslog es un software que se utiliza para reenviar mensajes de registro en una red IP.
Implementa el protocolo bdsico Syslog y lo amplia con capacidades de filtrado basadas en
contenido. También admite diferentes salidas de médulos, opciones de configuracién
flexibles y agrega caracteristicas como TCP para el transporte.
Asegurese de que el puerto 514 (protocolo UDP) esté en el lado del servidor ubuntu 20.04 y
que el servidor OSSIM de AlienVault esté abierto para que los registros se puedan reenviar a
través de UDP en el puerto 514
Abra el archivo rsyslog.conf y compruebe si incluye todo el archive de configuracién o no
Para ello, escriba el siguiente comando
cd /etc
nano rsyslog. conf
eee a
ecreae ines em Cn
root@ignite:/etc# ff
Quite los comentarios de Ia linea siguiente para incluir todos los archivos de configuracién
$IncludeConfig /etc/rsyslog.d/*.confSauer ea)
Sauear ae
Caabteg si LL)
ete ey
sUmask 0622
Saas ear
SaeO ie eet RE)
sWorkDirectory /var/spool/rsyslog
Includeconfig /etc/rsyslog.d/*.conf
Si esta linea de forma predeterminada no esté comentada, gudrdela y salga.
Ahora reenviamos los registros rsyslog al servidor OSSIM de AlienVault.
Cree un nuevo archivo de configuracién denominado alienvault.conf y agregue la siguiente
linea como se muestra a continuacién:
nano alienvault.conf
*.* @192.168.1.70
Donde 192.168.1.70 es ip del servidor OSSIM
root@ignite: /etc/rsyslog.d# nano alienvault.conf ———
root@ignite: /etc/rsyslog.d# cat alienvault.conf
*.* @191.168.1.70
root@ignite: /etc/rsyslog.d#
Para que los cambios sean efectivos, reinicie el servicio rsyslog mediante el siguiente
comando:
/etc/init.d/rsyslog restart
root@ignite: /etc/rsyslog.d# /etc/init.d/rsyslog restart
Restarting rsyslog (via systemctl): rsyslog.service.
root@ignite: /etc/rsyslog.d# ffServidor OSSIM
Inicie sesién en el servidor OSSIM Jailbreak el servidor a CLI como se muestra a continuacién
AlienWault Setup
AlienVault Setup
Sustem Preferences
Configure Sensor
Maintenance & Troubleshooting
Rene: Ei
Support
About this Installation
Reboot appliance
Shutdown Ageliance
Apply all Charges
°
aL
E
4
5
6
8
En el siguiente mensaje, le pedird permiso para acceder a Ia linea de comandos completa,
seleccione siy continue.
Jailbreak Commanding
Hey! Please do us = favor, you went to get full commandline access ~
can you take 3 minute and explain to us whet you are trying to do?
This will help Us improve the procist and make it easter for you in
the future.
Read more at http://mmu.slienvault .com/jailbreal:
To you want to continue?
Aqui estamos usando tcpdump en el servidor OSSIM para ver las comunicaciones de registro
entre Ubuntu 20.04 y OSSIM ejecutando tcpdump para capturar los registros con el sic te
comando:tcpdump -i eth® udp port 514
Verifiquemos si estd recibiendo registros del servidor Ubuntu 20.04 o no
Ubuntu 20.04
En la maquina ubuntu, estoy cambiando de usuario ejecutando el siguiente comando, y luego
veremos que los registros de usuarios que cambian se reflejan en el servidor OSSIM o no.
sudo su
ocatnisn see ae Cee
Volver al servidor OSSIM
Servidor OSSIM
Veamos qué pasa aqui.
iiiHurral!! como podemos ver el registro del servidor Ubuntu ha entrado en el servidor OSSIM,
entonces ahora redirigiremos los registros enviados a OSSIM a un archivo.
Ahora vamos a configurar Ia filtracién en el Rsyslog.
Para ello, siga los siguientes pasos:
Dirigete hacia el archivo rsyslog.conf en el directorio, ete.cd /etc
nano rsysl
En la seccién DIRECTIVAS GLOBALES, la linea "$IncludeConfig /etc/rsyslog.d/*.conf" por
defecto incluye todo el archivo de configuracién del sistema.
eccnteen cn ccnn
REG Cee CCCCCeTeCECCOOCnn
hs
hi
a
a
Si
Era
Para filtrar configuraciones y registros especificos de rsyslog, coloque un nombre especifico
en el lugar de * para filtrarlo facilmente como se muestra a continuacién:
Por ejemplo:
$IncludeConfig /etc/rsyslog.d/debian. confE ingrese la siguiente regla en ét
If $fromhost-ip == ‘192.168.1.8? then -/var/log/auth. log
be
Acontinuacién, guarde y salga como se muestra a continuacién
(NU nano 2.2.6 File: debian cont
Ahora comprobamos que los registros del servidor ubuntu se insertan correctamente en
auth.log ono,
Antes de hacer rsyslog reinicie y luego siga los siguientes pasos
cd /var/log
/etc/init.d/rsyslog restart
tail -f auth. logComo podemos ver, los registros se inician provenientes del servidor @ ubuntu
Ahora pasamos ala parte de AlienVault
OSSIM necesita un plug-in t para conectar cualquier fuente de datos al servidor. Los plugins
tienen una configuracién basada en XML.
Los plugins tienen dos elemento:
fg y SQL
Vamos a configurar cfg
Para hacer esto, dirjjase hacia el directorio /etc/ossim/agent/plugins
cd /etc/ossim
cd agent/
cd plugins/
en el directorio de plugins, hay muchos plugins disponibles que se pueden activar en OSSIM
pasamos a modificar uno a mano, por ejemplo, SSH
Para ello, ejecute el siguiente comande:
cp ssh.cfg debianssh. cfg
Luego, después de abrir el archivo de configuracién debianssh.ctg.nano debiannssh.cfg
Y cambie la identificacién del complemento con el no deseado. para que sea identificable
para el proceso posterior.
Aqui estoy reemplazando el id de complemento 4003 a 9001 como se muestra a
continuacién:
aera
Ahora podemos activar el plugin
Vuelva a Ia configuracién de AlienVault ingresando el siguiente comando:
alienvault-setup
Y luego configure el sensor siguiendo los siguientes pasos
Seleccione Configurar sensor > Configurar complementos de origen de datos > debianssh
Seleccione Configurar sensorAliervault Setup
AlienVailt Setup
Systen Preferences
Maintenance & Troubleshooting
Jailbreak Systen
Support.
About this Installation
Reboot Agaliance
Shutdown, Appl iance
Apply all Changes
Seleccione Configurar complementos de origen de datos
Configure Sensor.
Configure Sensor
Configure Network Monitoring
Netuork CIDRS
Configure AlienVault Server IP
Configure Monitor Plugins
Enable Netflow Generator
En los pasos anteriores, modificamos un complemento SSH en un complemento debianssh.
Selecciénelo en la lista de complementos presionando la barra espaciadora como se muestra
acontinuaciénConfigure Data Source Plugins
Select Data Sources
Y luego regrese a la configuracién de AlienVault seleccionando la opcién Atrds y luego
Aplicar todos los cambios
ALenveult Setup
AlienVault Setup
System Preferences
ConPigure Sensor
Maintenance & Troubleshooting
Jailbreak System
Support
About this Installation
Reboot Appliance
mYOuSuNEO
Shutdown ee
Por fin, le pedird permiso para aplicar todos los cambios.
Seleccione sf y, a continuacién, continuarPoply all Chara}
This will agply the following charges:
[sensor]
detectors
Are you eure?
En el siguiente mensaje, se mostrardn los cambios aplicados
Apply all Changes
Changes Applied
Vamos a configurar la parte SQL del plugin
Dirigete hacia el directorio de /usr/share/doc/ossim-mysql/contrib/plugins ingresando el
siguiente comando
cd /usr/share
cd /doc
cd /ossim-mysql
cd /contrib
cd /plugins
Ejecutando el comando LS puede ver los ejemplos de complementos de SQLvamos a copiar el ssh.sq! a debianssh.sql ejecutando el siguiente comando:
cp ssh.sql debianssh.sql
trib/plugin
apt ott
Abra el archivo debianssh.sq!
nano debianssh.sql
Hagamos algunas modificaciones en el archivo de configuracién para que pueda coincidir
con el plugin.cfg con la base de datos SQL.
La configuracién se ve similar como se muestra a continuacién
pt oa
Accepte aeCambie el id de plugin 4001 a 9001 0 de alguna manera el valor de no. que usted designé en
la seccién superior como se muestra a continuacién’
Schemes
ia
un ot
iim pareve
iii sebee
iin
sant
oan
ova iis
iam
Pane
oa nn
pan
any
pa
Pan
Parnas
uaa
iin
‘ULL,
rin
rm
cian
iin
Tr
rina
MULL)
jana
rina
MULL}
[aan
pin
icin
ii
uy
fanaa
an
ae
Como puede ver, este archivo de configuracién contiene una base de datos predefinida de
registros SSH para que si alguna actividad o solicitud sospechosa de SSH llega al servidor
Ubuntu, pueda coincidir con esa solicitud
Y luego Guardar y salir del archivo.
Pongdmoslo en accién y activemos la base de datos reconfiguréndola.
Para ello, escriba el siguiente comando:ossim-db < debianssh.sql
ossim-db
select * from plugin where id = 9001;
quit
ee epee
See epee eee ST
Y por fin reconfigurar el servidor OSSIM de AlienVault introduciendo el siguiente comando:
alienvault-reconfig
Teenie im—my ey EYen Meearentat
En la siguiente pantalla, comenzaré a reconfigurar el servidor
Alienvault ReconPig
Configuring Framework Profile
:
Si estds viendo esto, entonces felicidades..Ha integrado con éxito el complemento Rsyslog y SSH en el servidor OSSIMa de AlienVault.
jAgdrrate fuerte! esto no es suficiente ...
Ten paciencia @
En este articulo, explicamos el proceso de integracién y configuracién de Rsyslog y el
complemento SSH a AlienVault OSSIM.
En el préximo articulo, nuestro enfoque estard en la configuracién e instalacién de agentes
OSSEc que envian registros a AlienVault Server.
OSSEC es un sistema de deteccién de intrusiones en el host (HIDS) de cédigo abierto que se
ejecuta en multiples plataformas de sistemas operativos como Windows, Linux y Solaris.
Moc... ete.
Autor - Vijay es un hacker ético certificado, escritor técnico y probador de penetracién en
Hacking Articles. Tecnologia y Gadget freak. Contacta Aqui
f FACEBOOK (EN INGLES vo TWITTER @ — PINTEREST in LINKEDIN
4 PREVIOUS POST NEXT POST »
Configuracién del laboratorio SIEM: AlienVault Maskcrafter: 1.1: Tutorial de Vulnhub
Search SearchTweets por
D Articulos de hacking
@hackinarticles,
Evaluacién de vulnerabilidades como servicio por Ignite Technologies’
cca
acento eed
VULNERABILITY
Management As Service
a7 ean elon ge) 1S
Internal
eer
Meda ve ea
Peace me eet
\wwnrignitetechnologiesin
‘tdhoras
D Articulos de hacking
@hackinarticles
Foto del dia’Unase A Nuestro Programa De Capacitacién
Toa
uu
Ue
PROGRAMS
OAC Lg
S Support Us
esas Ic ARTICLES
a
Categorias
Criptografia y estegnografia
Desafios de CTF
Ciber forensePirateria de bases de datos
Huella
Herramientas de hacking
Kali Linux
Nmap
Otros
Descifrado de contrasefias
Pruebas de penetracién
Configuracién de Pentest Lab
Escalada de privilegios
Equipo Rojo
Kit de herramientas de ingenier(a social
Uncategorized
Pirater(a de sitios web
Hackeo de contrasefias de ventanas
Pirater(a inalémbrica
Pruebas de penetracién inalémbrica
Archivo
Seleccionar mes
Te puede interesar
MimiKatz para Pentester:
Kerberos
Julio 11, 2022
Caldera: Emulacién del
Equipo Rojo (Parte 1)
Junio 16, 2022