OSSIM安装与使用感受

下载地址 http://www.alienvault.com

   

OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目标是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。OSSIM 明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括MrtgSnortNmapOpenvas以及Ntop等开源系统安全软件)。在一个保留它们原有功能和作用的开放式架构体系环境下,将它们集成起来。到目前为止,OSSIM支持多达两千多种插件由于开源项目的优点,这些工具已经久经考验,同时也经过全方位测试,更加可靠。

   

1,安装

创建虚拟机的过程就不多说了,大概流程如下:在"Install OSSIM"界面,点击"Install AlientVault OSSIM 5.0 (64 Bit)"(此为混合安装模式,下面那个是sensor,也就是一般所谓的收集信息的代理端);之后"选择你的区域"界面,,"配置键盘","配置网络"界面, "设置用户和密码"。然后,就可以慢慢坐等安装结束,大约半小时多点。

   

   

PS:先废话几句,以为5.X版本会解决这个语言问题的,但是仍然没有,就是安装时候选中文安装,我这破笔记本老提示找不到网卡,后来先英文,等装到选择网卡,设好IP后,在回头把语言改掉,这样就出现中文的网卡界面了(如下图)。

   

但是最后仍然不行,这样安装完成重启后,会一直重复下面这画,按说已经装好了,但是就是访问不了IP(可以ping,但是80,443没开)。后来改成选英文安装就一路畅通了。

装完特意看一下VM的网卡型号

# dmesg | grep -i eth0

[ 1.991566] e1000 0000:02:00.0 eth0: (PCI:66MHz:32-bit) 00:50:56:3e:44:55

[ 1.991573] e1000 0000:02:00.0 eth0: Intel(R) PRO/1000 Network Connection

intel的网卡,看来纯粹是中文的问题了(就像前段时间安装Ubuntu Server 16一样,中文的就是不行,英文的一路OK

   

   

   

2,配置

第一次访问,需要在"Administrator Account Creation"界面输入FULL NAMEPASSWORDEMAIL等项,点击"START USING ALIENVAULT";然后会跳转到登录界面,输入USERNAMEPASSWORD,点击"LOGIN"; 在"Welcome to the AlienVault OSSIM Getting Started Wizard"界面,点击"START",进行配置; 在"Configure Network Interfaces"界面,列出作为服务端的主机的网口信息,没什么要修改的,直接点击"NEXT";在"Scan & Add Assets"界面,系统会自动探测出局域网内的主机(也可以手动探测),筛选出要进行监控的资产,点击"NEXT"; 在"Deploy HIDS to Servers"界面,选择需要部署HIDS agent的主机,输入该主机的UsernamePassword,先后点击"DEPLOY"和"CONTINUE"即可,部署完成之后,点击"NEXT";在"LOG MANAGEMENT"界面,确认相应的网络资产的VendorModelVersion,点击"ENABLE"即可安装数据源插件,也可以点击"SKIP THIS STEP"来略过该步; 在"JOIN OTX"界面,需要注册并输入TOKEN,也可以点击"SKIP THIS STEP"来略过该步,最后点击"FINISH"来结束配置;

说明,OTX是注册后再https://otx.alienvault.com/api/页面的右上角找到

   

3,管理

配置完成之后,就可以通过Web界面进行管理了访问前面配置的iphttps://192.168.1.134

在"DASHBOARDS"界面,可以通过视图直观地查看系统当前状态等;在"ANALYSIS"界面,可以对网络行为进行异常分析,可以告警聚合等;在"ENVIRONMENT"界面,可以通过"Enable Availability Monitoring"实现Nagios监控,可以执行漏洞扫描,可以详细显示资产细节(漏洞、报警、事件、可用性、服务、所属组)等; 在"REPORTS"界面,可以查看系统报告等;在"CONFIGURATION"界面,可以快速预览你的资产,可以进行系统备份等。

   

  • 上来先扫描一下自己的网段

   

   

   

效果还可以

   

   

  • 再去看各种报表

   

报告支持iso27001,PCI-DSS 3.0等安全标准要求,还是很不错的。

下载生成后的PDF

   

  • 用户操作记录也很详细

具体怎么使用的我就不介绍了,装了后看图示就基本能清楚了,用起来还是比较简单的,要是用不来,可以看看《开源安全运维平台OSSIM最佳实践》,这书写的还是比较全面的,看介绍和页数,应该可以。

   

4,观察一下console端如何

[root@node222 test]# ssh 192.168.1.134

The authenticity of host '192.168.1.134 (192.168.1.134)' can't be established.

RSA key fingerprint is 7b:4c:3b:c6:2b:f1:08:af:12:6c:43:5e:f3:be:8c:e0.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.1.134' (RSA) to the list of known hosts.

root@192.168.1.134's password:

=========================================================================

=========================================================================

== _ _ _ _ ==

== __ _ | | (_) ___ _ __ __ __ __ _ _ _ | | | |_ ==

== / _` | | | | | / _ \ | '_ \ \ \ / / / _` | | | | | | | | __| ==

== | (_| | | | | | | __/ | | | | \ V / | (_| | | |_| | | | | |_ ==

== \__,_| |_| |_| \___| |_| |_| \_/ \__,_| \__,_| |_| \__| ==

== ==

=========================================================================

===================== http://www.alienvault.com ========================

=========================================================================

==== Access the AlienVault web interface using the following URL: =====

https://192.168.1.134/

=========================================================================

Hostname 'alienvault' (192.168.1.134)

-----------------------------------------------------------------------------------------------------------------------

   

   

   

   

   

+--------------------AlienVault Setup----------------------+

| AlienVault Setup |

| +------------------------------------------------------+ |

| | 0 System Preferences | |

| | 1 Configure Sensor | |

| | 2 Maintenance & Troubleshooting | |

| | 3 Jailbreak System | |

| | 4 Support | |

| | 5 About this Installation | |

| | 6 Reboot Appliance | |

| | 7 Shutdown Appliance | |

| | 8 Apply all Changes | |

| | | |

| +------------------------------------------------------+ |

+----------------------------------------------------------+

| < ?? > < Exit > |

+----------------------------------------------------------+

   

   

   

   

   

   

Access the AlienVault web interface using the following URL: https://192.168.1.134/

下面选择第三项,就可以进去了

   

+--------------------Jailbreak Commandline notice----------------------+

| |

| |

| Jailbreak Commandline notice. |

| |

| Hey! Please do us a favor, you want to get full commandline access - |

| can you take a minute and explain to us what you are trying to do? |

| This will help us improve the product and make it easier for you in |

| the future. |

| |

| Read more at http://www.alienvault.com/jailbreak |

| |

| |

| Do you want to continue? |

| |

| |

| |

| |

| |

| |

| |

| |

| |

| |

+----------------------------------------------------------------------+

| < ? > < ? > |

+----------------------------------------------------------------------+

   

Starting shell

alienvault:~# netstat -nltp

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2654/mysqld

tcp 0 0 0.0.0.0:40011 0.0.0.0:* LISTEN 871/apache2

tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 3225/redis-server

tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 1557/memcached

tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 1308/openvasmd

tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 18609/openvassd: wa

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 871/apache2

tcp 0 0 0.0.0.0:4369 0.0.0.0:* LISTEN 1340/epmd

tcp 0 0 0.0.0.0:4949 0.0.0.0:* LISTEN 19853/munin-node

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3546/sshd

tcp 0 0 0.0.0.0:3000 0.0.0.0:* LISTEN 2929/ntop

tcp 0 0 0.0.0.0:56216 0.0.0.0:* LISTEN 1378/beam

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3192/master

tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 871/apache2

tcp 0 0 0.0.0.0:40001 0.0.0.0:* LISTEN 9625/ossim-server

tcp 0 0 0.0.0.0:40002 0.0.0.0:* LISTEN 9625/ossim-server

tcp 0 0 0.0.0.0:40003 0.0.0.0:* LISTEN 20601/python

tcp 0 0 0.0.0.0:40009 0.0.0.0:* LISTEN 9625/ossim-server

tcp6 0 0 :::22 :::* LISTEN 3546/sshd

tcp6 0 0 :::3128 :::* LISTEN 20952/(squid)

tcp6 0 0 :::5672 :::* LISTEN 1378/beam

alienvault:~#

开的服务还真多,我这很多东西还没打开,否则更多。

   

   

5,小结

之前一直觉得OSSIM用起来不错,对于网络的威胁至少能够感知不少,还带了扫描器,可以主动去评估资产,但是如果作为一款日志分析产品而言,由于近二年的大数据平台以及ELKkafka等日志处理相关产品的发展,个人感觉OSSIM已经不适合大中型企业日志分析发展的需要了,最关键的原因是性能问题,不适合分布式的部署,很容易产生瓶颈。

https://otx.alienvault.com/settings/

posted on 2016-07-31 21:50  iamqiu  阅读(13454)  评论(0编辑  收藏  举报

导航