Transcription
GUIDE UTILISATEUR
Table des matièresInstallation et configuration de AlienVault . 2Prérequis conseillé : . 2Installation du système : . 2Déploiement d’un HIDS Agent . 6Guide d’utilisation AlienVault. 8Les alarmes . 8Les tickets . 9Le dashboard . 10Environnement . 11Les rapports . 12
Installation et configuration de AlienVaultPrérequis conseillé : 8 CPU cores 16-24GB RAM 500GB HDD E1000 carte adaptateur virtuelInstallation du système :Sélectionner Install Alienvault OSSIM pour installer le serveur.Choisissez votre carte Ethernet et cliquez sur Entrée.
Définir l’adresse IP pour accéder à l’interface web de votre serveur AlienVault.Ensuite il faut définir un mot de passe pour l’utilisateur de la console.
Une fois ceci fait, accéder à la page web via l’adresse IP saisie précédemment et remplissez lesinformations pour le compte administrateur qui aura accès à la page web comme ci-dessous.Une fois ceci fait, il faut choisir le rôle de chaque carte réseau présentes sur votre serveur.Ici, la carte eth0 servira pour le management et la eth1 pour la surveillance et la collecte des journaux.
Ensuite, vous arriverez sur cette page qui vous proposera de rechercher tous les équipementsdisponibles sur le réseau vous aurez alors la visibilité sur les systèmes d’exploitation Windows, Linuxet les équipements réseau.
Déploiement d’un HIDS AgentEnsuite vous pourrez déployer un agent sur les postes à l’aide compte de l’administrateur du domainepour assurer l'intégrité des fichiers, la surveillance, la détection des rootkits et la collecte des journauxdes événements sur les machines. Cela permet aux machines équipées d’un agent d’être superviséepar AlienVault notamment pour les vulnérabilités possibles.Cliquez sur « Continue »
Une fois ceci fait, vous aurez accès au tableau de gestion et de monitoring afin de superviser voséquipements présents sur votre réseau.
Guide d’utilisation AlienVaultLes alarmesDans « Analysis » puis « Alarme », vous pouvez filtrer en sélectionnant la sonde l’IP et le typed’alarmes.En dessous vous pouvez voir un tableau récapitulatif des attaques avec l’adresse IP source etl’adresse IP de destination, le type d’attaque ainsi que la gravité de l’attaque.Cela permet d’avoir une visibilité rapide des risques majeurs que vous avez subit.
Les ticketsLes tickets sont générés par Alienvault dans la catégorie « Tickets ». Ils permettent de voir lesvulnérabilités des machines et pouvoir intervenir.Dans le détail du ticket on voit tout ce qui est scannés ainsi que les services et ce qu’il faut fermercomme ports.
Le dashboardIl permet d’avoir une vision globale de toutes les catégories. Vous pouvez visionner les typesd’alarmes sur les différentes machines. Il est personnalisable pour pouvoir faire afficher les donnéesqui vous intéresse le plus.
EnvironnementDans cet onglet vous pourrez voir les agents déployer et leur état. On peut également s’ils sontdéconnectés redémarrer l’agent, faire une vérification du poste pour voir si les clés de registre ou desfichiers système ont été modifiés.On peut également voir l’adresse IP définit par défaut ainsi que l’adresse IP actuelle et l’utilisateurconnecté sur le poste.
Les rapportsIls permettent de générer de graphiques et autres stats par rapport à ce que vous souhaitez. Vouspouvez filtrer par date, selon les adresses IP, selon la zone géographique réseau, ect.Exemple de rapport en annexe.
Déploiement d'un HIDS Agent Ensuite vous pourrez déployer un agent sur les postes à l'aide ompte de l'administrateur du domaine pour assurer l'intégrité des fichiers, la surveillance, la détection des rootkits et la collecte des journaux . par AlienVault notamment pour les vulnérabilités possibles. Cliquez sur « Continue »
