Hacking Articles Raj Chandel’s Blog Menu Home » Red Teaming » AlienVault: End user Devices Integration-Lab Setup (Part 2) Red Teaming AlienVault: End user Devices Integration-Lab Setup (Part 2) October 13,2020 By Raj Chandel As logs never lie, it's very important to aggregate and analyze the internal and external network logs constantly so that you can prevent a breach or perform incident response on time. In the previous article, we looked at the configuration and installation of AlienVault OSSIM The operating-system integration for AlienVault is based on window-centric for a Linux platform, Let’s take a look at the involved process for gathering logs from Linux servers using AlienVautt You can access the previous article from here: - AlienVault Lab setup in this article, we will discuss how to send Ubuntu RSYS logs to the AlienVault server and the Manual configuration and installation of the SSH plugin. So, without much theory let's begin the integration process. Table of Content * Prerequisites * credentials + Integration of Rsyslog and SSH plugin to AlienVault OSSIM PrerequisitesFor the integration of Rsyslog and SSH plugin to AlienVault OSSIM, there are some minimum requirements as listed below. * Ubuntu 20.04 or later + Root privileges Credenciales + Ubuntu 20.04 IP: 192.168.1.8 + ALIENVault OSSIM IP: 192.168.1.70 + Usuario de OSSIM (CLI): root * Contrasefia de OSSIM: designada por usted en el momento de la configuracién del servidor Integracién de Rsyslog y SSH plugin a AlienVault OSSIM Ubuntu 20.04 Rsyslog es un software que se utiliza para reenviar mensajes de registro en una red IP. Implementa el protocolo bdsico Syslog y lo amplia con capacidades de filtrado basadas en contenido. También admite diferentes salidas de médulos, opciones de configuracién flexibles y agrega caracteristicas como TCP para el transporte. Asegurese de que el puerto 514 (protocolo UDP) esté en el lado del servidor ubuntu 20.04 y que el servidor OSSIM de AlienVault esté abierto para que los registros se puedan reenviar a través de UDP en el puerto 514 Abra el archivo rsyslog.conf y compruebe si incluye todo el archive de configuracién o no Para ello, escriba el siguiente comando cd /etc nano rsyslog. conf eee a ecreae ines em Cn root@ignite:/etc# ff Quite los comentarios de Ia linea siguiente para incluir todos los archivos de configuracién $IncludeConfig /etc/rsyslog.d/*.confSauer ea) Sauear ae Caabteg si LL) ete ey sUmask 0622 Saas ear SaeO ie eet RE) sWorkDirectory /var/spool/rsyslog Includeconfig /etc/rsyslog.d/*.conf Si esta linea de forma predeterminada no esté comentada, gudrdela y salga. Ahora reenviamos los registros rsyslog al servidor OSSIM de AlienVault. Cree un nuevo archivo de configuracién denominado alienvault.conf y agregue la siguiente linea como se muestra a continuacién: nano alienvault.conf *.* @192.168.1.70 Donde 192.168.1.70 es ip del servidor OSSIM root@ignite: /etc/rsyslog.d# nano alienvault.conf ——— root@ignite: /etc/rsyslog.d# cat alienvault.conf *.* @191.168.1.70 root@ignite: /etc/rsyslog.d# Para que los cambios sean efectivos, reinicie el servicio rsyslog mediante el siguiente comando: /etc/init.d/rsyslog restart root@ignite: /etc/rsyslog.d# /etc/init.d/rsyslog restart Restarting rsyslog (via systemctl): rsyslog.service. root@ignite: /etc/rsyslog.d# ffServidor OSSIM Inicie sesién en el servidor OSSIM Jailbreak el servidor a CLI como se muestra a continuacién AlienWault Setup AlienVault Setup Sustem Preferences Configure Sensor Maintenance & Troubleshooting Rene: Ei Support About this Installation Reboot appliance Shutdown Ageliance Apply all Charges ° aL E 4 5 6 8 En el siguiente mensaje, le pedird permiso para acceder a Ia linea de comandos completa, seleccione siy continue. Jailbreak Commanding Hey! Please do us = favor, you went to get full commandline access ~ can you take 3 minute and explain to us whet you are trying to do? This will help Us improve the procist and make it easter for you in the future. Read more at http://mmu.slienvault .com/jailbreal: To you want to continue? Aqui estamos usando tcpdump en el servidor OSSIM para ver las comunicaciones de registro entre Ubuntu 20.04 y OSSIM ejecutando tcpdump para capturar los registros con el sic te comando:tcpdump -i eth® udp port 514 Verifiquemos si estd recibiendo registros del servidor Ubuntu 20.04 o no Ubuntu 20.04 En la maquina ubuntu, estoy cambiando de usuario ejecutando el siguiente comando, y luego veremos que los registros de usuarios que cambian se reflejan en el servidor OSSIM o no. sudo su ocatnisn see ae Cee Volver al servidor OSSIM Servidor OSSIM Veamos qué pasa aqui. iiiHurral!! como podemos ver el registro del servidor Ubuntu ha entrado en el servidor OSSIM, entonces ahora redirigiremos los registros enviados a OSSIM a un archivo. Ahora vamos a configurar Ia filtracién en el Rsyslog. Para ello, siga los siguientes pasos: Dirigete hacia el archivo rsyslog.conf en el directorio, ete.cd /etc nano rsysl En la seccién DIRECTIVAS GLOBALES, la linea "$IncludeConfig /etc/rsyslog.d/*.conf" por defecto incluye todo el archivo de configuracién del sistema. eccnteen cn ccnn REG Cee CCCCCeTeCECCOOCnn hs hi a a Si Era Para filtrar configuraciones y registros especificos de rsyslog, coloque un nombre especifico en el lugar de * para filtrarlo facilmente como se muestra a continuacién: Por ejemplo: $IncludeConfig /etc/rsyslog.d/debian. confE ingrese la siguiente regla en ét If $fromhost-ip == ‘192.168.1.8? then -/var/log/auth. log be Acontinuacién, guarde y salga como se muestra a continuacién (NU nano 2.2.6 File: debian cont Ahora comprobamos que los registros del servidor ubuntu se insertan correctamente en auth.log ono, Antes de hacer rsyslog reinicie y luego siga los siguientes pasos cd /var/log /etc/init.d/rsyslog restart tail -f auth. logComo podemos ver, los registros se inician provenientes del servidor @ ubuntu Ahora pasamos ala parte de AlienVault OSSIM necesita un plug-in t para conectar cualquier fuente de datos al servidor. Los plugins tienen una configuracién basada en XML. Los plugins tienen dos elemento: fg y SQL Vamos a configurar cfg Para hacer esto, dirjjase hacia el directorio /etc/ossim/agent/plugins cd /etc/ossim cd agent/ cd plugins/ en el directorio de plugins, hay muchos plugins disponibles que se pueden activar en OSSIM pasamos a modificar uno a mano, por ejemplo, SSH Para ello, ejecute el siguiente comande: cp ssh.cfg debianssh. cfg Luego, después de abrir el archivo de configuracién debianssh.ctg.nano debiannssh.cfg Y cambie la identificacién del complemento con el no deseado. para que sea identificable para el proceso posterior. Aqui estoy reemplazando el id de complemento 4003 a 9001 como se muestra a continuacién: aera Ahora podemos activar el plugin Vuelva a Ia configuracién de AlienVault ingresando el siguiente comando: alienvault-setup Y luego configure el sensor siguiendo los siguientes pasos Seleccione Configurar sensor > Configurar complementos de origen de datos > debianssh Seleccione Configurar sensorAliervault Setup AlienVailt Setup Systen Preferences Maintenance & Troubleshooting Jailbreak Systen Support. About this Installation Reboot Agaliance Shutdown, Appl iance Apply all Changes Seleccione Configurar complementos de origen de datos Configure Sensor. Configure Sensor Configure Network Monitoring Netuork CIDRS Configure AlienVault Server IP Configure Monitor Plugins Enable Netflow Generator En los pasos anteriores, modificamos un complemento SSH en un complemento debianssh. Selecciénelo en la lista de complementos presionando la barra espaciadora como se muestra acontinuaciénConfigure Data Source Plugins Select Data Sources Y luego regrese a la configuracién de AlienVault seleccionando la opcién Atrds y luego Aplicar todos los cambios ALenveult Setup AlienVault Setup System Preferences ConPigure Sensor Maintenance & Troubleshooting Jailbreak System Support About this Installation Reboot Appliance mYOuSuNEO Shutdown ee Por fin, le pedird permiso para aplicar todos los cambios. Seleccione sf y, a continuacién, continuarPoply all Chara} This will agply the following charges: [sensor] detectors Are you eure? En el siguiente mensaje, se mostrardn los cambios aplicados Apply all Changes Changes Applied Vamos a configurar la parte SQL del plugin Dirigete hacia el directorio de /usr/share/doc/ossim-mysql/contrib/plugins ingresando el siguiente comando cd /usr/share cd /doc cd /ossim-mysql cd /contrib cd /plugins Ejecutando el comando LS puede ver los ejemplos de complementos de SQLvamos a copiar el ssh.sq! a debianssh.sql ejecutando el siguiente comando: cp ssh.sql debianssh.sql trib/plugin apt ott Abra el archivo debianssh.sq! nano debianssh.sql Hagamos algunas modificaciones en el archivo de configuracién para que pueda coincidir con el plugin.cfg con la base de datos SQL. La configuracién se ve similar como se muestra a continuacién pt oa Accepte aeCambie el id de plugin 4001 a 9001 0 de alguna manera el valor de no. que usted designé en la seccién superior como se muestra a continuacién’ Schemes ia un ot iim pareve iii sebee iin sant oan ova iis iam Pane oa nn pan any pa Pan Parnas uaa iin ‘ULL, rin rm cian iin Tr rina MULL) jana rina MULL} [aan pin icin ii uy fanaa an ae Como puede ver, este archivo de configuracién contiene una base de datos predefinida de registros SSH para que si alguna actividad o solicitud sospechosa de SSH llega al servidor Ubuntu, pueda coincidir con esa solicitud Y luego Guardar y salir del archivo. Pongdmoslo en accién y activemos la base de datos reconfiguréndola. Para ello, escriba el siguiente comando:ossim-db < debianssh.sql ossim-db select * from plugin where id = 9001; quit ee epee See epee eee ST Y por fin reconfigurar el servidor OSSIM de AlienVault introduciendo el siguiente comando: alienvault-reconfig Teenie im—my ey EYen Meearentat En la siguiente pantalla, comenzaré a reconfigurar el servidor Alienvault ReconPig Configuring Framework Profile : Si estds viendo esto, entonces felicidades..Ha integrado con éxito el complemento Rsyslog y SSH en el servidor OSSIMa de AlienVault. jAgdrrate fuerte! esto no es suficiente ... Ten paciencia @ En este articulo, explicamos el proceso de integracién y configuracién de Rsyslog y el complemento SSH a AlienVault OSSIM. En el préximo articulo, nuestro enfoque estard en la configuracién e instalacién de agentes OSSEc que envian registros a AlienVault Server. OSSEC es un sistema de deteccién de intrusiones en el host (HIDS) de cédigo abierto que se ejecuta en multiples plataformas de sistemas operativos como Windows, Linux y Solaris. Moc... ete. Autor - Vijay es un hacker ético certificado, escritor técnico y probador de penetracién en Hacking Articles. Tecnologia y Gadget freak. Contacta Aqui f FACEBOOK (EN INGLES vo TWITTER @ — PINTEREST in LINKEDIN 4 PREVIOUS POST NEXT POST » Configuracién del laboratorio SIEM: AlienVault Maskcrafter: 1.1: Tutorial de Vulnhub Search SearchTweets por D Articulos de hacking @hackinarticles, Evaluacién de vulnerabilidades como servicio por Ignite Technologies’ cca acento eed VULNERABILITY Management As Service a7 ean elon ge) 1S Internal eer Meda ve ea Peace me eet \wwnrignitetechnologiesin ‘tdhoras D Articulos de hacking @hackinarticles Foto del dia’Unase A Nuestro Programa De Capacitacién Toa uu Ue PROGRAMS OAC Lg S Support Us esas Ic ARTICLES a Categorias Criptografia y estegnografia Desafios de CTF Ciber forensePirateria de bases de datos Huella Herramientas de hacking Kali Linux Nmap Otros Descifrado de contrasefias Pruebas de penetracién Configuracién de Pentest Lab Escalada de privilegios Equipo Rojo Kit de herramientas de ingenier(a social Uncategorized Pirater(a de sitios web Hackeo de contrasefias de ventanas Pirater(a inalémbrica Pruebas de penetracién inalémbrica Archivo Seleccionar mes Te puede interesar MimiKatz para Pentester: Kerberos Julio 11, 2022 Caldera: Emulacién del Equipo Rojo (Parte 1) Junio 16, 2022