OSSIM开源安全信息管理系统(一)
2021SC@SDUSC一、OSSIM简介OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),由美国的Alien Vault公司开发,是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。
2021SC@SDUSC
一、项目综述
- 项目背景:
本项目为山东大学软件学院2021-2022学年秋季学期 “软件工程应用与实践” 课程项目 - 小组成员:
网安工学 李宏伟、网安工学 凌琛、 网安工学 黄怡淇 - 课程目标:
下载相应开源项目源代码,主要任务是小组内成员协作分析项目源代码,给出代码分析报告并在博客发布。记录项目源代码分析过程中遇到的问题,以及解决办法。 - 项目计划:
本组项目计划第一篇博客对选题项目“OSSIM开源安全信息管理系统”进行简单介绍与了解。首先进行系统的安装搭建与部署,了解OSSIM的基本功能、设计目标及设计思想,学习OSSIM系统的基本使用。然后后面的课程将下载OSSIM源代码,并对其源代码进行基础架构分析,找出OSSIM系统关键部分源代码,小组内成员一同对关键部分源代码进行进一步的深入了解与分析。因为目前OSSIM系统的汉化工作并不完善,所以完成OSSIM系统重要部分源代码分析后,如果后续有时间,小组计划对OSSIM系统进行汉化,可以使得OSSIM系统更加方便的使用。 - 任务分配:
按照OSSIM系统架构进行简单的任务分配,具体关键代码实现部分,由小组内成员共同讨论完成分析。
李宏伟:数据仓库(Database)、Web框架(Framework)
凌琛:安全插件(Plug-ins)、传感器(Sensor)
黄怡淇:代理进程(Agent)、关联引擎(Server)
二、OSSIM简介
OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),由美国的Alien Vault公司开发,是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。
OSSIM定位于一个集成解决方案,其目标并不是要开发一个新的系统,而是利用丰富的,强大的各种程序,包括: Suricata、Ntop、Spade(异常检测引擎)、Tcptrack(TCP会话实时监控)、P0f、Arpwatch(MAC异常检测)、OpenVAS(漏洞扫描)、Nagios(主机及服务可用性监控)、Nikto、RabbitMQ、Redis、Ansible、Ossec、RRD Tools(网络链路流量监控软件)、RRD Tool等开源软件。
在保留原有功能的开放式环境下,将他们有机集成起来。OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合,它具有入侵检测,漏洞扫描,资产管理,安全监控,日志分析,流量分析等功能。
相关概念:
SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为。
SIM,security information management,安全信息管理,指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。
SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的结合体。
SOC,security operations center,安全运营中心。
OSSIM是开源的SIM,其核心仍然是依靠SIEM,主要优点是通过有关事件、数据、风险等信息,实时了解全网威胁态势。是一个从 运维监控→事前预警→事后报警→SIEM日志分析故障 的一个快速解决问题的网络系统。
在产品形式上与Kali类似是一个基于Debain进行二次开发的Linux发行版
三、OSSIM安装
1、官网下载ISO镜像文件:https://cybersecurity.att.com/products/ossim/download
2、VMware 安装 ISO 镜像文件
OSSIM基于Debain进行二次开发的,所以要注意操作系统选Debian
基础配置:CPU----2*2,内存----8G,硬盘----20G以上,网络----NAT
运行虚拟机,选择第一个安装选项:Install AlienVault OSSIM
(包括 Sensor+OSSIM+Server+Database+Framework)
选择语言:开始想选中文简体,但是continue以后,系统提示可能有部分语言包不完整,也就是可能出现简体中文、繁体中文、英文同时出现的情况。这样的话还是选择了英文(可以安装汉化包)
选择时区:other — Asia — China
选择编码:默认UTF-8即可
键盘默认即可
配置网络:先查看一下本机 ip
设置 ip 地址
设置子网掩码
设置网关
DNS:最多配置三个,中间用空格隔开。114.114.114.114 国内常用 ,223.5.5.5 阿里DNS ,8.8.8.8 谷歌DNS
设置root账号的密码
等待安装,时间有点长
安装完成后,root账号密码登录
选择3选项进入系统命令行界面
web页面访问:在登录界面和 AlienVault Setup 界面都可以看到有提示ossim 的 ip 地址,下面显示 ip 地址,浏览器访问即可(支持IE10、Safari8、Chrome44)
第一次登录,设置一下admin账号密码
使用admin账号登录
然后进行一些基本配置
- 配置网络
首先是管理接口的配置,如果有多块网卡,可将管理口、嗅探口和日志收集口分别由eth0、eth1、eth2承担。网络监控接口采用SPAN或者TAP分流设备。此时系统后台已经开始使用nmap工具扫描服务器所在网段中的设备。 - 发现网络资源:设置监控网络环境中的各种资产,可以通过扫描和导入CSV文件两种方式完成。
- 部署HIDS:为部署基于主机的IDS而设置,主要目的是执行文件完整性监控,rootkit检测以及收集日志。注意这里需要关闭防火墙才能部署成功
- 日志管理
- 将OSSIM加入OTX
配置结束后来到主界面
本篇文章部分内容参考或转载自下列文章及书籍。侵权即删。
参考书籍:
- 《开源安全运维平台OSSIM疑难解析(入门篇)》——李晨光著
- 《开源安全运维平台OSSIM疑难解析(提高篇)》——李晨光著
- 《开源安全运维平台:OSSIM最佳实践》——李晨光著
参考文章:
- https://blog.51cto.com/chenguang/2426473
- https://blog.csdn.net/lcgweb/article/details/101284949
- https://blog.51cto.com/chenguang/1665012
- https://www.cnblogs.com/lsdb/p/10000061.html
- https://blog.51cto.com/chenguang/1691090
- https://blog.51cto.com/chenguang/category10.html
- https://blog.51cto.com/topic/ossim.html
- https://blog.csdn.net/isinstance/article/details/53694361
- https://blog.51cto.com/chenguang/1332329
- https://www.cnblogs.com/airoot/p/8072727.html
- https://blog.51cto.com/chenguang/1738731
- https://blog.csdn.net/security_yj/article/details/120153992
下一篇(功能介绍):OSSIM开源安全信息管理系统(二)
更多推荐
所有评论(0)