OSSIM开源安全信息管理系统(一)
2021SC@SDUSC
一、項目綜述
- 項目背景:
本項目為山東大學軟件學院2021-2022學年秋季學期 “軟件工程應用與實踐” 課程項目 - 小組成員:
網安工學 李宏偉、網安工學 凌琛、 網安工學 黃怡淇 - 課程目標:
下載相應開源項目源代碼,主要任務是小組內成員協(xié)作分析項目源代碼,給出代碼分析報告并在博客發(fā)布。記錄項目源代碼分析過程中遇到的問題,以及解決辦法。 - 項目計劃:
本組項目計劃第一篇博客對選題項目“OSSIM開源安全信息管理系統(tǒng)”進行簡單介紹與了解。首先進行系統(tǒng)的安裝搭建與部署,了解OSSIM的基本功能、設計目標及設計思想,學習OSSIM系統(tǒng)的基本使用。然后后面的課程將下載OSSIM源代碼,并對其源代碼進行基礎架構分析,找出OSSIM系統(tǒng)關鍵部分源代碼,小組內成員一同對關鍵部分源代碼進行進一步的深入了解與分析。因為目前OSSIM系統(tǒng)的漢化工作并不完善,所以完成OSSIM系統(tǒng)重要部分源代碼分析后,如果后續(xù)有時間,小組計劃對OSSIM系統(tǒng)進行漢化,可以使得OSSIM系統(tǒng)更加方便的使用。 - 任務分配:
按照OSSIM系統(tǒng)架構進行簡單的任務分配,具體關鍵代碼實現(xiàn)部分,由小組內成員共同討論完成分析。
李宏偉:數(shù)據(jù)倉庫(Database)、Web框架(Framework)
凌琛:安全插件(Plug-ins)、傳感器(Sensor)
黃怡淇:代理進程(Agent)、關聯(lián)引擎(Server)
二、OSSIM簡介
OSSIM即開源安全信息管理系統(tǒng)(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),由美國的Alien Vault公司開發(fā),是一個非常流行和完整的開源安全架構體系。OSSIM通過將開源產品進行集成,從而提供一種能夠實現(xiàn)安全監(jiān)控功能的基礎平臺。 它的目的是提供一種集中式、有組織的、能夠更好地進行監(jiān)測和顯示的框架式系統(tǒng)。
OSSIM定位于一個集成解決方案,其目標并不是要開發(fā)一個新的系統(tǒng),而是利用豐富的,強大的各種程序,包括: Suricata、Ntop、Spade(異常檢測引擎)、Tcptrack(TCP會話實時監(jiān)控)、P0f、Arpwatch(MAC異常檢測)、OpenVAS(漏洞掃描)、Nagios(主機及服務可用性監(jiān)控)、Nikto、RabbitMQ、Redis、Ansible、Ossec、RRD Tools(網絡鏈路流量監(jiān)控軟件)、RRD Tool等開源軟件。
在保留原有功能的開放式環(huán)境下,將他們有機集成起來。OSSIM項目的核心工作在于負責集成和關聯(lián)各種產品提供的信息,同時進行相關功能的整合,它具有入侵檢測,漏洞掃描,資產管理,安全監(jiān)控,日志分析,流量分析等功能。
相關概念:
SEM,security event management,安全事件管理,指對事件進行實時監(jiān)控,收集信息差展生通知和告警的行為。
SIM,security information management,安全信息管理,指對SEM收集和產生的數(shù)據(jù)進行長期保存以供歷史和趨勢分析的行為。
SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的結合體。
SOC,security operations center,安全運營中心。
OSSIM是開源的SIM,其核心仍然是依靠SIEM,主要優(yōu)點是通過有關事件、數(shù)據(jù)、風險等信息,實時了解全網威脅態(tài)勢。是一個從 運維監(jiān)控→事前預警→事后報警→SIEM日志分析故障 的一個快速解決問題的網絡系統(tǒng)。
在產品形式上與Kali類似是一個基于Debain進行二次開發(fā)的Linux發(fā)行版
三、OSSIM安裝
1、官網下載ISO鏡像文件:https://cybersecurity.att.com/products/ossim/download
2、VMware 安裝 ISO 鏡像文件
OSSIM基于Debain進行二次開發(fā)的,所以要注意操作系統(tǒng)選Debian
基礎配置:CPU----2*2,內存----8G,硬盤----20G以上,網絡----NAT
運行虛擬機,選擇第一個安裝選項:Install AlienVault OSSIM
(包括 Sensor+OSSIM+Server+Database+Framework)
選擇語言:開始想選中文簡體,但是continue以后,系統(tǒng)提示可能有部分語言包不完整,也就是可能出現(xiàn)簡體中文、繁體中文、英文同時出現(xiàn)的情況。這樣的話還是選擇了英文(可以安裝漢化包)
選擇時區(qū):other — Asia — China
選擇編碼:默認UTF-8即可
鍵盤默認即可
配置網絡:先查看一下本機 ip
設置 ip 地址
設置子網掩碼
設置網關
DNS:最多配置三個,中間用空格隔開。114.114.114.114 國內常用 ,223.5.5.5 阿里DNS ,8.8.8.8 谷歌DNS
設置root賬號的密碼
等待安裝,時間有點長
安裝完成后,root賬號密碼登錄
選擇3選項進入系統(tǒng)命令行界面
web頁面訪問:在登錄界面和 AlienVault Setup 界面都可以看到有提示ossim 的 ip 地址,下面顯示 ip 地址,瀏覽器訪問即可(支持IE10、Safari8、Chrome44)
第一次登錄,設置一下admin賬號密碼
使用admin賬號登錄
然后進行一些基本配置
首先是管理接口的配置,如果有多塊網卡,可將管理口、嗅探口和日志收集口分別由eth0、eth1、eth2承擔。網絡監(jiān)控接口采用SPAN或者TAP分流設備。此時系統(tǒng)后臺已經開始使用nmap工具掃描服務器所在網段中的設備。
配置結束后來到主界面
本篇文章部分內容參考或轉載自下列文章及書籍。侵權即刪。
參考書籍:
- 《開源安全運維平臺OSSIM疑難解析(入門篇)》——李晨光著
- 《開源安全運維平臺OSSIM疑難解析(提高篇)》——李晨光著
- 《開源安全運維平臺:OSSIM最佳實踐》——李晨光著
參考文章:
- https://blog.51cto.com/chenguang/2426473
- https://blog.csdn.net/lcgweb/article/details/101284949
- https://blog.51cto.com/chenguang/1665012
- https://www.cnblogs.com/lsdb/p/10000061.html
- https://blog.51cto.com/chenguang/1691090
- https://blog.51cto.com/chenguang/category10.html
- https://blog.51cto.com/topic/ossim.html
- https://blog.csdn.net/isinstance/article/details/53694361
- https://blog.51cto.com/chenguang/1332329
- https://www.cnblogs.com/airoot/p/8072727.html
- https://blog.51cto.com/chenguang/1738731
- https://blog.csdn.net/security_yj/article/details/120153992
下一篇(功能介紹):OSSIM開源安全信息管理系統(tǒng)(二)
總結
以上是生活随笔為你收集整理的OSSIM开源安全信息管理系统(一)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: php如何设置随机数字和字母,PHP获取
- 下一篇: CentOS只读文件系统