目录
一、说明
1.1 相关概念说明
1.2 OSSIM是什么
二、OSSIM安装
2.1 下载
2.2 硬件资源需求
2.3 安装准备
2.4 安装过程
三、登录使用
3.1 操作系统登录使用
3.2 Web登录使用
一、说明
1.1 相关概念说明
SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为。
SIM,security information management,安全信息管理,指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。
SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的结合体。
SOC,security operations center,安全运营中心。
TI,Threat Intelligence,威胁情报。SOC偏重内部网络态势感知,而TI偏重于外部网络态势感知比如新出了什么漏洞、病毒、安全事件等等。
SA,situational awareness,态势感知。
SRC,Security Response Center,安全响应中心。狭义上只是一个提交产品漏洞的入口,但广义上包含各种安全系统及系统维护人员。
他们的关系是:SRC > SA >= SOC [ + TI ] >= SIEM = SEM+SIM。
一款典型的SIEM产品具有以下功能:资产发现、漏洞扫描、入侵检测、日志存储分析和可视化展示。
参考:
https://en.wikipedia.org/wiki/Security_information_and_event_management
https://en.wikipedia.org/wiki/Information_security_operations_center
https://en.wikipedia.org/wiki/Situation_awareness
https://help.aliyun.com/knowledge_detail/42302.html
1.2 OSSIM是什么
OSSIM是SIEM的代表性产品,在产品形式上和Kali类似是一个基于Debain进行二次开发的Linux发行版,当前5.6.5版本基于Dibian 8(jessie)。
OSSIM使用Nmap等实现资产发现、使用Nessus等实现漏洞扫描、使用Snort等实现入侵检测、使用MySQL等进行数据存储,自己实现的部分主要是工具、数据整合和可视化展示。
李晨光OSSIM博文:http://blog.51cto.com/chenguang/category10.html
二、OSSIM安装
2.1 下载
ISO文件下载地址:https://www.alienvault.com/products/ossim/download
2.2 硬件资源需求
基础配置:CPU—-2*2,内存—-8G,硬盘—-20G以上
以下是我安装完成后未创建任何扫描等任务时的CPU、内存、磁盘使用情况。
2.3 安装准备
VMware就和普通虚拟机一样,创建Linux虚拟机设置好ISO文件即可。不过要注意操作系统选Debian(第几版本倒影响不大),我选CentOS的时候发现是直接运行iso了并没有进入安装。
真机安装就用UltraISO等制作一下启动盘,然后从U盘启动即可,后续安装步骤就完全和虚拟机安装一样。不过我在一台真机安装有一个问题,完成后启动时一直停在"loading,please wait“并没有正常出现登录界面,不知是某些机器的bug还是普遍存在(注意这不是操作系统启不来,此时系统和应用都已经启来了,使用安装时设置的ip和密码通过ssh上去即可正常使用)。
2.4 安装过程
其实Linux安装都大同小异都是选语言、选时区、设密码那几步,下面简单截一下图。
选OSSIM。OSSIM包含服务器组件+Sensor,Sensor相当于一个Client。
语言选择,简体中文支持似乎说不太好,直接英文即可要选中文也可以。
地区选择,由于操作系统根据选择的地区确定系统使用的时区,为了时间是本地时间我们要正确选择中国。
操作系统编码,默认即可
键盘,默认即可
下几步是网络设置,为了避免安装完后还要手动纠正网络这里最好正确填写要设置的ip、掩码、网关。
子网掩码
网关
DNS,最多可以设置3个,使用空格隔开即可
root用户密码
物理机安装时还有个划分磁盘的操作,但虚拟机安装没看到直接进入了安装,问题不大意思懂得就行。
上边的安装过程需要二三十分钟,安装过程可能会出现黑屏,敲击任意键唤醒屏幕即可。
安装的最后会运行cdsetup的程序,这个程序主要是创建OSSIM相关的数据库。
三、登录使用
3.1 操作系统登录使用
系统安装完成后,自动重启进入界面如下,使用安装时自己设定的密码登录即可
(如果虚拟机没有安装过程而是直接运行了iso那默认是root/toor)
登录后进入AlienVault Setup界面如下,这其实是一个名为ossim-setup的程序。
基本配置在AlienVault Setup进行操作即可,如果想要进入系统,那就下移到”Jailbreak System“菜单进入
选择Yes回车进入
如果想回到AlienVault Setup,退出重新登录即可,当然也可以直接输入ossim-setup。
3.2 Web登录使用
在登录界面和AlienVault Setup界面都可以看到有提示ossim的url,直接在浏览器访问该链接即可。
首次登录需要设置admin的密码,medium以上强度即可
然后会自动跳转登录界面,使用admin和上边设定的密码进入即可。
首次登录需要进行几步设置,不过基本都直接NEXT即可。
选择网卡,直接NEXT
当前扫描到的资产,直接NEXT
安装基于主机的入侵检测系统。windows主机需要输入域管理账号Linux机器需要输入主机账号,然后在在右边选中机器,然后点击DEPLOY进行安装。
我们不安装,直接NEXT。
日志管理。我这里是虚拟机所以没有什么直接SKIP THIS STEEP,有也是直接NEXT。
OTX即Open Threat Exchange,威胁情报交换,自己注册个账号去登录即可。我这里直接SKIP THIS STEEP
进入OSSIM
此时终于进入见到OSSIM的庐山真面目
dashboards菜单—-可视化图表
analysis—-用于筛选查看收集到的数据
environment—-资产清单、漏洞扫描、流量监控等重要功能就在这里
reports—-顾名思义就是生成和查看各种报告的地方
configuration—-web系统匹置菜单
OSSIM也就以上几个菜单的功能,复杂度都不及ELK和Zabbix自己随便点点玩玩就差不多了。