des matières

Installation et configuration de AlienVault .............................................................................................

2

Prérequis conseillé : ............................................................................................................................ 2

Installation du système : ..................................................................................................................... 2

Déploiement d’un HIDS Agent ............................................................................................................ 6

Guide d’utilisation AlienVault ..................................................................................................................

8

Les alarmes .......................................................................................................................................... 8

Les tickets ............................................................................................................................................ 9

Le dashboard ..................................................................................................................................... 10

Environnement .................................................................................................................................. 11

Les rapports ....................................................................................................................................... 12

Installation et configuration de AlienVault

Prérequis conseillé :

• 8 CPU cores • 16-24GB RAM • 500GB HDD • E1000 carte adaptateur virtuel

Installation du système :

Sélectionner Install Alienvault OSSIM pour installer le serveur.

Choisissez votre carte Ethernet et cliquez sur Entrée.

Définir l’adresse IP pour accéder à l’interface web de votre serveur AlienVault.

Ensuite il faut définir un mot de passe pour l’utilisateur de la console.

Une fois ceci fait, accéder à la page web via l’adresse IP saisie précédemment et remplissez les
informations pour le compte administrateur qui aura accès à la page web comme ci-dessous.

Une fois ceci fait, il faut choisir le rôle de chaque carte réseau présentes sur votre serveur.

Ici, la carte eth0 servira pour le management et la eth1 pour la surveillance et la collecte des
journaux.

Ensuite, vous arriverez sur cette page qui vous proposera de rechercher tous les équipements
disponibles sur le réseau vous aurez alors la visibilité sur les systèmes d’exploitation Windows, Linux
et les équipements réseau.
Déploiement d’un HIDS Agent

Ensuite vous pourrez déployer un agent sur les postes à l’aide compte de l’administrateur du
domaine pour assurer l'intégrité des fichiers, la surveillance, la détection des rootkits et la collecte
des journaux des événements sur les machines. Cela permet aux machines équipées d’un agent
d’être supervisée par AlienVault notamment pour les vulnérabilités possibles.

Cliquez sur « Continue »

Une fois ceci fait, vous aurez accès au tableau de gestion et de monitoring afin de superviser vos
équipements présents sur votre réseau.

Guide d’utilisation AlienVault

Les alarmes

Dans « Analysis » puis « Alarme », vous pouvez filtrer en sélectionnant la sonde l’IP et le type
d’alarmes.

En dessous vous pouvez voir un tableau récapitulatif des attaques avec l’adresse IP source et
l’adresse IP de destination, le type d’attaque ainsi que la gravité de l’attaque.

Cela permet d’avoir une visibilité rapide des risques majeurs que vous avez subit.

Les tickets

Les tickets sont générés par Alienvault dans la catégorie « Tickets ». Ils permettent de voir les
vulnérabilités des machines et pouvoir intervenir.

Dans le détail du ticket on voit tout ce qui est scannés ainsi que les services et ce qu’il faut fermer
comme ports.

Le dashboard
Il permet d’avoir une vision globale de toutes les catégories. Vous pouvez visionner les types
d’alarmes sur les différentes machines. Il est personnalisable pour pouvoir faire afficher les données
qui vous intéresse le plus.

Environnement Dans cet onglet vous pourrez voir les agents déployer et leur état. On peut
également s’ils sont déconnectés redémarrer l’agent, faire une vérification du poste pour voir si les
clés de registre ou des fichiers système ont été modifiés.

On peut également voir l’adresse IP définit par défaut ainsi que l’adresse IP actuelle et l’utilisateur
connecté sur le poste.
Les rapports

Ils permettent de générer de graphiques et autres stats par rapport à ce que vous souhaitez. Vous
pouvez filtrer par date, selon les adresses IP, selon la zone géographique réseau, ect.

Exemple de rapport en annexe.