OSSIM Üzerine Custom Plugin Yazılması ve Herhangi Bir log Kaynağının SIEM ile Entegre Edilmesi¶
Alien Vault OSSIM üzerinde özel plugin yazmak için aşağıdaki adımlar takip edilir.
1- Plugin konfigurasyon dosyası (plugin_adi.cfg) plugin pathi altına kopyalanır.
plugins pathi:
/etc/ossim/agent/plugins/
2- Plugin için veritabanı dosyası (plugin_adi.sql) sql pathine kopyalanir ve ossim-db aracını kullanarak veritabanına dahil edilir.
sql pathi:
/usr/share/doc/ossim-mysql/contrib/plugins/
ossim-db icin gerekli komut:
ossim-db < /usr/share/doc/ossim-mysql/contrib/plugins/plugin_adi.sql
3- OSSIM üzerinde syslog yapılandırması dosyasi (plugin_adi.conf) rsyslog pathine kopyalanir.
rsyslog conf pathi:
/etc/rsyslog.d/
4- OSSIM üzerinde syslog rotate ayarlari dosyasi (plugin_adi.log) rotate pathine kopyalanir.
rsyslog rotate pathi:
/etc/logrotate.d/
logrotate filei:
/var/log/plugin_adi.log {
weekly
missingok
rotate 7
compress
notifempty
}
5- Rsyslog servisi yeniden başlatılır.
systemctl restart rsyslog
6- “alienvault-setup” komutu ile Sensör ayarlarından plugin aktif edilir.
alienvault-setup > configure sensor > configure data source plugins > [x] plugin_adi
7- Seçim yapıldıktan sonra geri ana ekrana dönülür ve seçim uygulanır.
alienvault-setup > Apply all changes
8- OSSIM web arabirimiden kayıtlar izlenir.
https://ossim_ip_address > Analysis > Security Events > Real Time