Skip to content

OSSIM Üzerine Custom Plugin Yazılması ve Herhangi Bir log Kaynağının SIEM ile Entegre Edilmesi

Alien Vault OSSIM üzerinde özel plugin yazmak için aşağıdaki adımlar takip edilir.

Test ISO

1- Plugin konfigurasyon dosyası (plugin_adi.cfg) plugin pathi altına kopyalanır.

plugins pathi:

/etc/ossim/agent/plugins/

2- Plugin için veritabanı dosyası (plugin_adi.sql) sql pathine kopyalanir ve ossim-db aracını kullanarak veritabanına dahil edilir.

sql pathi:

/usr/share/doc/ossim-mysql/contrib/plugins/

ossim-db icin gerekli komut:

ossim-db < /usr/share/doc/ossim-mysql/contrib/plugins/plugin_adi.sql

3- OSSIM üzerinde syslog yapılandırması dosyasi (plugin_adi.conf) rsyslog pathine kopyalanir.

rsyslog conf pathi:

/etc/rsyslog.d/

4- OSSIM üzerinde syslog rotate ayarlari dosyasi (plugin_adi.log) rotate pathine kopyalanir.

rsyslog rotate pathi:

/etc/logrotate.d/

logrotate filei:

/var/log/plugin_adi.log {
    weekly
    missingok
    rotate 7
    compress
    notifempty
}

5- Rsyslog servisi yeniden başlatılır.

systemctl restart rsyslog

6- “alienvault-setup” komutu ile Sensör ayarlarından plugin aktif edilir.

alienvault-setup > configure sensor > configure data source plugins > [x] plugin_adi

7- Seçim yapıldıktan sonra geri ana ekrana dönülür ve seçim uygulanır.

alienvault-setup > Apply all changes

8- OSSIM web arabirimiden kayıtlar izlenir.

https://ossim_ip_address > Analysis > Security Events > Real Time