ओएसएसआईएम का उपयोग करके होस्ट आईडी के साथ अपने थ्रेट डिटेक्शन क्षमताओं को कैसे सुधारें - कैसे

ओएसएसआईएम का उपयोग करके होस्ट आईडी के साथ अपने थ्रेट डिटेक्शन क्षमताओं को कैसे सुधारें

जब कोई घुसपैठ का पता लगाने वाला सिस्टम (आईडीएस) लाता है, तो आप संभवतः अपने नेटवर्क पर स्थापित अपने वेक्सिंग या भरोसेमंद हार्डवेयर उपकरणों की छवियों को जोड़ते हैं जो असामान्य नेटवर्क ट्रैफ़िक व्यवहार को ट्रैक करते हैं। ये नेटवर्क-केंद्रित डिवाइस हस्ताक्षरित पुस्तकालयों के खिलाफ ट्रैफ़िक को स्कैन करने के लिए बेहद प्रभावी हैं जो ज्ञात दुर्भावनापूर्ण फ़ाइल हैश और सामान्य शरारती व्यवहार पर सचेत करने के लिए हैं। इन उपकरणों को नेटवर्क आईडीएस (एनआईडीएस) और उनके इनलाइन काउंटर पार्ट्स, नेटवर्क घुसपैठ निवारण प्रणाली (एनआईपीएस) कहा जाता है।

हालांकि, घुसपैठ का पता लगाने वाली क्षमताओं का एक और वर्ग है जो होस्ट आईडी (एड्स) नामक एनआईडी को पूरक करता है। HIDS सॉफ्टवेयर मॉड्यूल हैं जो विंडोज, लिनक्स और अन्य ओएस सर्वर पर स्थापित होते हैं। HIDS को वास्तव में मूल्यवान बनाता है हमलावर के असफल परिधि से गुजरने के बाद HIDS दुर्भावनापूर्ण गतिविधि का पता लगाता है और अब आपके महत्वपूर्ण वेब, स्टोरेज और व्यावसायिक सेवाओं को चलाने वाले मेजबानों को संक्रमित करना शुरू कर रहा है।

आपकी खतरे का पता लगाने की रणनीति में HIDS को जोड़ना एक अच्छा विचार है, और यहां बताया गया है कि कैसे।

कुल 14 चरण

चरण 1: समझें कि आपको एचआईडीएस से क्या लाभ होंगे

हालाँकि, NIDS की तुलना में कम व्यापक रूप से उपयोग किया जाता है, HIDS NIDS की तरह अलार्म उत्पन्न कर सकता है और इसमें अतिरिक्त क्षमताएं हैं जिन्हें आपको अपनी खतरे का पता लगाने की रणनीतियों के लिए विचार करना चाहिए।

- HIDS लॉग फ़ाइल गतिविधि पर विश्लेषण और चेतावनी
- एड्स एनआईडीएस एन्क्रिप्शन अंधा धब्बे की निगरानी कर सकते हैं, क्योंकि एन्क्रिप्शन से पहले डेटा डेटा पर काम करते हैं
- जब महत्वपूर्ण फाइलें बदली जाती हैं, तो HIDS खतरे के संकेतक का पता लगा सकता है
- जब विंडोज रजिस्ट्रियों में हेराफेरी होती है, तो HIDS खतरे के संकेतक का पता लगा सकता है
- HIDS रूटकिट इंस्टॉल का पता लगा सकता है
- HIDS लॉग विश्लेषण NIDS अलर्ट और धमकी इंटेलिजेंस के साथ सहसंबद्ध किया जा सकता है

चरण 2: यह तय करें कि आपको किस HIDS का उपयोग करना चाहिए और आप इसे कहाँ प्राप्त करते हैं

इस गाइड के लिए, हम OSSIM (ओपन सोर्स सिक्योरिटी इंफॉर्मेशन मैनेजमेंट) के साथ उपलब्ध HIDS क्षमता पर ध्यान केंद्रित करने जा रहे हैं।

ओएसएसआईएम एक ओपन-सोर्स खतरा प्रबंधन प्रणाली है जो संपत्ति की खोज, भेद्यता आकलन, एड्स, एड्स (हमारे विषय आज), कोलम्बिया, और घटना सहसंबंध सहित प्रमुख खतरे का पता लगाने की क्षमताओं को एकीकृत करता है। यह महत्वपूर्ण है क्योंकि एक उपकरण अपने आप में केवल घुसपैठ कहानी का एक हिस्सा बताता है।

OSSIM HIDS की एक अन्य महत्वपूर्ण विशेषता यह है कि यह लिनक्स, यूनिक्स, ओपनबीएसडी, फ्रीबीएसडी, ओएसएक्स, सोलारिस और विंडोज मेजबानों का समर्थन करता है।

आप OSSIM से: https://www.alienvault.com/products/ossim डाउनलोड कर सकते हैं

एक अन्य विकल्प OSSEC का उपयोग एक स्टैंडअलोन ओपन-सोर्स HIDS के रूप में किया जाता है। OSSIM संस्करण 5.x OSSEC को एकीकृत करता है।

आप OSSEC से: https://ossec.github.io/downloads.html डाउनलोड कर सकते हैं

एलियन वॉल्ट की यूएसएम सहित कई वाणिज्यिक उत्पाद उपलब्ध हैं, लेकिन हम आपके अवकाश पर करने के लिए Google व्यायाम को छोड़ देंगे।

चरण 3: अपनी आवश्यकताओं के लिए सही परिनियोजन विकल्प का निर्धारण करें


OSSIM HIDS को दो घटकों, HIDS एजेंट और OSSIM के रूप में तैनात किया जाता है। OSSIM HIDS कार्यक्षमता दो विन्यास में तैनात किया जा सकता है:

- स्थानीय: एक ऑल-इन-वन दृष्टिकोण, जहां HIDS एजेंट और OSSIM दोनों को स्थानीय रूप से उस होस्ट की सुरक्षा के उद्देश्य से एकल होस्ट पर स्थापित किया गया है। हालाँकि, यह विकल्प विंडोज की निगरानी के लिए उपलब्ध नहीं है, क्योंकि OSSIM एक लिनक्स आधारित समाधान है। यह विंडोज स्टैंड ओएसएसईसी के लिए अकेला बाधा है, क्योंकि ओएसएसईसी में एक सर्वर घटक है जो विंडोज पर नहीं चलता है।

- ओएसएसआईएम + एड्स एजेंट: सबसे अधिक इस्तेमाल किया जाने वाला ओएसएसआईएम एड्स तैनाती विन्यास है, क्योंकि यह एक ही ओएसएसआईएम उदाहरण से कई मेजबानों की निगरानी करने की क्षमता प्रदान करता है। यह संभावना नहीं है कि आपके व्यवसाय की जरूरत एकल होस्ट को सुरक्षित करने के लिए है और चूंकि यह विंडोज के लिए हमारा एकमात्र विकल्प है, ओएसएसआईएम + एड्स एजेंट मॉडल के साथ जाने देता है। ओएसएसआईएम स्वचालित रूप से विंडोज एड्स एजेंटों को तैनात करेगा, इसलिए किसी अतिरिक्त सॉफ़्टवेयर की आवश्यकता नहीं है।

इस गाइड में हम एक विंडोज सर्वर HIDS एजेंट पर अपनी चर्चा पर ध्यान केंद्रित करेंगे।

चरण 4: एक ओएसएसआईएम एड्स स्थापित करें - भाग 1


a) किसी सर्वर पर या VMWare हाइपरवाइजर पर OSSIM इंस्टॉल करें

OSSIM एक डेबियन लिनक्स पर आधारित एक .iso छवि के रूप में प्रदान की जाती है। हम ओएसएसआईएम को स्थापित करने के विवरण को शामिल नहीं करने जा रहे हैं क्योंकि यह वास्तव में सरल और आत्म-व्याख्यात्मक है। भौतिक या वर्चुअल सीडी डालें, इंस्टॉल शुरू करें, और फिर स्क्रीन से निर्देशों का पालन करें (@ 10 मिनट)।
यहां बताया गया है कि समाप्त इंस्टॉल स्क्रीन कैसा दिखता है:

इंस्टॉल के दौरान आपके द्वारा बनाए गए क्रेडेंशियल्स के साथ कॉन्फ़िगर किए गए आईपी पते के लिए एक ब्राउज़र को समाप्त करने पर।

चरण 5: एक ओएसएसआईएम एड्स स्थापित करें - भाग 2


बी) ओएसएसआईएम कंसोल से विंडोज एड्स एजेंट की तैनाती होती है
-विशेषता> ASSETS और सकल पर ध्यान दें
लक्ष्य Windows सर्वर का चयन करें
-सेलेक्ट एक्टीशन> एड्स एजेंट नियुक्त करें

चरण 6: एक ओएसएसआईएम एड्स स्थापित करें - भाग 3


ग) तैनाती शुरू करने के लिए लक्ष्य होस्ट की विंडो क्रेडेंशियल प्रदान करें

एजेंट को तैनात करने के अलावा, OSSIM HIDS एजेंट और OSSIM के बीच ट्रैफ़िक को एन्क्रिप्ट करने के लिए एक SSL कुंजी जोड़ी बनाएगा।

चरण 7: सत्यापित करें कि HIDS एजेंट और OSSIC ठीक से काम कर रहे हैं


आप नेत्रहीन देखेंगे कि OSSIM ने HSS एजेंट को सफलतापूर्वक OSSEC या OSSIM कंसोल (ENVIRONMENT> ASSETS & GROUPS) नामक एक कार्यक्रम प्रविष्टि के रूप में तैनात किया है।

चरण 8: आप OSSEC ऐप से HIDS एजेंट की निगरानी कर सकते हैं


HIDS एजेंट पहले से ही परिनियोजन में प्रारंभ हो चुका होगा, लेकिन आप OSSEC लॉग से स्थिति देख सकते हैं, प्रारंभ / रोक सकते हैं, OSSEC लॉग देख सकते हैं और बदल सकते हैं।

चरण 9: विंडोज सर्वर पर एक ईवेंट बनाएं और इसे ओएसएसआईएम में देखें


अब विंडोज सर्वर पर एक ईवेंट बनाएं और OSSIM में ईवेंट देखें।
- ossec.conf को खोलें और संपादित करें (देखें> कॉन्फ़िगरेशन देखें)। डिफ़ॉल्ट रूप से, HIDS एजेंट फ़ाइल अखंडता के लिए इसे स्वयं कॉन्फ़िगरेशन फ़ाइल की जाँच करेगा। यह समझ में आता है क्योंकि आप एक हमलावर को H सेटिंग को संशोधित करके मेजबान पर अंधा धब्बे बनाना चाहते हैं।
- हम स्कैनिंग अंतराल को संशोधित करेंगे, फ़ाइल को बचाएंगे, और फिर HIDS एजेंट को रोकेंगे और पुनः आरंभ करेंगे।

चरण 10: सत्यापित करें कि घटना OSSIM में ANALYSIS> सुरक्षा ईवेंट (कोलम्बिया) में नेविगेट करके लॉग की गई है


यहां आप HIDS कॉन्फ़िगरेशन फ़ाइल चेकसम को परिवर्तित देख सकते हैं।

यह बहुत आसान है।

चरण 11: HIDS एजेंट को कॉन्फ़िगर करें

ऊपर दिए गए स्क्रीन कैप्चर में, आप विंडोज ओएसएसईसी ऐप मेनू देख सकते हैं> व्यू कॉन्फिगरेशन देखें। यह फ़ाइल एक संपादन योग्य XLM फ़ाइल है। यह फ़ाइल HIDS एजेंट को बताती है कि क्या निगरानी करनी है। यह 3 मुख्य वर्गों की रचना करता है:

Localfile - मॉनिटर करने के लिए फ़ाइलें / ईवेंट लॉग
रूटचेक - रूटकिट स्कैनिंग
Syscheck - मॉनिटर करने के लिए सिस्टम फ़ाइल / रजिस्ट्री प्रविष्टियाँ

Localfile अनुभाग वह जगह है जहाँ आप जोड़ेंगे और हटाएंगे जो OSSIM विश्लेषण के लिए अग्रेषित करता है। Syscheck अनुभाग वह जगह है जहाँ आप यह निर्धारित करेंगे कि परिवर्तनों के लिए जाँच करने के लिए कौन सी फ़ाइलें और रजिस्ट्री हैं। डिफ़ॉल्ट रूप से, HIDS एजेंट सभी system32 निर्देशिकाओं के साथ-साथ नीतियों, संस्करणों, सेवाओं और सुरक्षा से संबंधित Windows रजिस्ट्री की जाँच करेगा जो परिवर्तनों के लिए जाँच की गई हैं।

Ossec.conf फ़ाइल को सीधे Windows होस्ट पर संशोधित करने के अलावा, OSSIM आपको OSSIM कंसोल (ENVIROMENT> DETECTION> Hids) से HIDS एजेंट कॉन्फ़िगरेशन को बदलने के लिए तंत्र प्रदान करता है।

डिफ़ॉल्ट विंडोज ossec.conf को परिशिष्ट में चिपकाया गया है। यह आपको विंडोज होस्ट पर डिफ़ॉल्ट रूप से निगरानी रखने के लिए एक त्वरित दृश्य देगा।

चरण 12: बकवास को कम करें और HIDS को ट्यून करें

जैसा कि आप कल्पना कर सकते हैं, डिफ़ॉल्ट HIDS एजेंट के साथ विंडोज मेजबानों के एक सक्रिय पूल की निगरानी करने से घटनाओं की एक कष्टप्रद राशि उत्पन्न होगी। ओएसएसआईएम में चीटर को कम करने और खतरे का पता लगाने की प्रभावशीलता बढ़ाने के लिए कई शक्तिशाली विन्यास योग्य क्षमताएं हैं।

जटिल राज्य निगरानी के लिए नीतियों, निर्देशों और सहसंबंधों के साथ ओएसएसआईएम का अनुकूलन या ट्यूनिंग करना (जैसे कि ब्रूट फोर्स लॉगिन हमलों और उपयोगकर्ता वसा उंगलियों के बीच अंतर करना) है कि सुरक्षा प्रभावशीलता को कैसे महसूस किया जा सकता है। लेकिन यह वह जगह है जहाँ आपको अपने सुरक्षा और व्यावसायिक उद्देश्यों को जानना-समझना होगा। और यदि आप इस बिंदु तक पढ़ने के बाद भी HIDS में रुचि रखते हैं, तो आपको विवरण को खोदना चाहिए और इसे स्वयं आज़माना चाहिए।

चरण 13: एलियन वॉल्ट यूएसएम के बारे में एक टिप्पणी

यूनिफाइड सिक्योरिटी मैनेजमेंट (USM) एल्विसॉल्ट का OSSIM का व्यावसायिक कार्यान्वयन है। यूएसएम में ओएसएसआईएम के कई संवर्द्धन हैं और इसमें खतरे की खुफिया जानकारी शामिल है।

हमारा लक्ष्य आपको एक एकीकृत खतरे का पता लगाने और अनुपालन प्रबंधन समाधान प्रदान करना है जो आसानी से उपयोग और सस्ती दोनों है। हमने उन सभी आवश्यक सुरक्षा क्षमताओं का निर्माण किया है जिनकी आपको एक एकीकृत सुरक्षा प्रबंधन प्लेटफ़ॉर्म में ज़रूरत है, जो तब एलियनवॉल्ट लैब्स और हमारे ओपन थ्रेट एक्सचेंज (ओटीएक्स) से अप-टू-मिनट खतरे की खुफिया द्वारा संचालित होती है - दुनिया का पहला सही मायने में खुला खतरा खुफिया समुदाय जो कार्रवाई योग्य समुदाय-संचालित खतरे के डेटा के साथ सहयोगी रक्षा करने में सक्षम बनाता है।

परिणाम एक शक्तिशाली समाधान है जो पूर्ण सुरक्षा दृश्यता के अपने वादे को पूरा करता है

चरण 14: परिशिष्ट - डिफॉल्ट ओएसएसयूएम विंडोज एड्स एजेंट: ossec.conf









आवेदन
इवेंट लोग



सुरक्षा
इवेंट लोग



प्रणाली
इवेंट लोग





./shared/win_audit_rcl.txt
./shared/win_applications_rcl.txt
./shared/win_malware_rcl.txt







72000


नहीं



% Windir% / win.ini
% Windir% / System.ini
C: autoexec.bat
C: config.sys
C: Boot.ini
% Windir% / System32 / CONFIG.NT
% Windir% / System32 / AUTOEXEC.NT
% Windir% / System32 / at.exe
% Windir% / System32 / attrib.exe
% Windir% / System32 / Cacls.exe
% Windir% / System32 / debug.exe
% Windir% / System32 / drwatson.exe
% Windir% / System32 / Drwtsn32.exe
% Windir% / System32 / edlin.exe
% Windir% / System32 / eventcreate.exe
% Windir% / System32 / eventtriggers.exe
% Windir% / System32 / ftp.exe
% Windir% / System32 / net.exe
% Windir% / System32 / net1.exe
% Windir% / System32 / Netsh.exe
% Windir% / System32 / rcp.exe
% Windir% / System32 / Reg.exe
% Windir% / regedit.exe
% Windir% / System32 / regedt32.exe
% Windir% / System32 / regsvr32.exe
% Windir% / System32 / rexec.exe
% Windir% / System32 / rsh.exe
% Windir% / System32 / runas.exe
% Windir% / System32 / Sc.exe
% Windir% / System32 / subst.exe
% Windir% / System32 / telnet.exe
% Windir% / System32 / tftp.exe
% Windir% / System32 / tlntsvr.exe
% Windir% / System32 / ड्राइवरों / आदि
C: Documents and Settings / All Users / Start Menu / Programs / Startup
C: Users / Public / All Users / Microsoft / Windows / Start Menu / Startup
लॉग $ | .htm $ | .jpg $ | .png $ | .chm $ | .pnf $ | .evtx $



HKEY_LOCAL_MACHINE Software Classes batfile
HKEY_LOCAL_MACHINE Software Classes cmdfile
HKEY_LOCAL_MACHINE Software Classes comfile
HKEY_LOCAL_MACHINE Software Classes exefile
HKEY_LOCAL_MACHINE Software Classes piffile
HKEY_LOCAL_MACHINE Software Classes AllFilesystemObjects
HKEY_LOCAL_MACHINE Software Classes निर्देशिका
HKEY_LOCAL_MACHINE Software Classes फ़ोल्डर
HKEY_LOCAL_MACHINE Software Classes प्रोटोकॉल
HKEY_LOCAL_MACHINE सॉफ्टवेयर नीतियाँ
HKEY_LOCAL_MACHINE सुरक्षा
HKEY_LOCAL_MACHINE Software Microsoft Internet Explorer


HKEY_LOCAL_MACHINE प्रणाली CurrentControlSet Services
HKEY_LOCAL_MACHINE System CurrentControlSet Control Session Manager KnownDLLs
HKEY_LOCAL_MACHINE System CurrentControlSet Control SecurePipeServers winreg

HKEY_LOCAL_MACHINE सॉफ्टवेयर Microsoft Windows CurrentVersion भागो
HKEY_LOCAL_MACHINE सॉफ्टवेयर Microsoft Windows CurrentVersion RunOnce
HKEY_LOCAL_MACHINE सॉफ्टवेयर Microsoft Windows CurrentVersion RunOnceEx
HKEY_LOCAL_MACHINE सॉफ्टवेयर Microsoft Windows CurrentVersion यूआरएल
HKEY_LOCAL_MACHINE सॉफ्टवेयर Microsoft Windows CurrentVersion नीतियाँ
HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows
HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon

HKEY_LOCAL_MACHINE Software Microsoft Active सेटअप Installed घटक




HKEY_LOCAL_MACHINE सुरक्षा नीति राज
HKEY_LOCAL_MACHINE सुरक्षा सैम डोमेन खाते उपयोगकर्ता
Enum $



नहीं



10.47.30.100
120
240





प्रभावी घुसपैठ का पता लगाने के कार्यान्वयन को विशेष रूप से नेटवर्क आईडी पर निर्भर होने से परे जाना चाहिए। आपकी सुरक्षा-में-गहन रणनीति में HIDS को जोड़ने से आपकी खतरे का पता लगाने की क्षमता मजबूत होगी। OSSIM आपको अपनी खतरे का पता लगाने की क्षमताओं को बढ़ाने के लिए शक्तिशाली ओपन-सोर्स विकल्प प्रदान करता है।