OSSIM安装使用教程(OSSIM-5.6.5)

一、说明

1.1 相关概念说明

SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为。

SIM,security information management,安全信息管理,指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。

SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的结合体。

SOC,security operations center,安全运营中心。

TI,Threat Intelligence,威胁情报。SOC偏重内部网络态势感知,而TI偏重于外部网络态势感知比如新出了什么漏洞、病毒、安全事件等等。

SA,situational awareness,态势感知。

SRC,Security Response Center,安全响应中心。狭义上只是一个提交产品漏洞的入口,但广义上包含各种安全系统及系统维护人员。

他们的关系是:SRC > SA >= SOC [ + TI ]  >= SIEM = SEM+SIM。

一款典型的SIEM产品具有以下功能:资产发现、漏洞扫描、入侵检测、日志存储分析和可视化展示。

参考:

https://en.wikipedia.org/wiki/Security_information_and_event_management

https://en.wikipedia.org/wiki/Information_security_operations_center

https://en.wikipedia.org/wiki/Situation_awareness

https://help.aliyun.com/knowledge_detail/42302.html

 

1.2 OSSIM是什么

OSSIM是SIEM的代表性产品,在产品形式上和Kali类似是一个基于Debain进行二次开发的Linux发行版,当前5.6.5版本基于Dibian 8(jessie)。

OSSIM使用Nmap等实现资产发现、使用Nessus等实现漏洞扫描、使用Snort等实现入侵检测、使用MySQL等进行数据存储,自己实现的部分主要是工具、数据整合和可视化展示。

李晨光OSSIM博文:http://blog.51cto.com/chenguang/category10.html

 

二、OSSIM安装

2.1 下载

ISO文件下载地址:https://www.alienvault.com/products/ossim/download

 

2.2 硬件资源需求

基础配置:CPU----2*2,内存----8G,硬盘----20G以上

以下是我安装完成后未创建任何扫描等任务时的CPU、内存、磁盘使用情况。

 

2.3 安装准备

VMware就和普通虚拟机一样,创建Linux虚拟机设置好ISO文件即可。不过要注意操作系统选Debian(第几版本倒影响不大),我选CentOS的时候发现是直接运行iso了并没有进入安装。

真机安装就用UltraISO等制作一下启动盘,然后从U盘启动即可,后续安装步骤就完全和虚拟机安装一样。不过我在一台真机安装有一个问题,完成后启动时一直停在"loading,please wait“并没有正常出现登录界面,不知是某些机器的bug还是普遍存在(注意这不是操作系统启不来,此时系统和应用都已经启来了,使用安装时设置的ip和密码通过ssh上去即可正常使用)。

 

2.4 安装过程

其实Linux安装都大同小异都是选语言、选时区、设密码那几步,下面简单截一下图。

选OSSIM。OSSIM包含服务器组件+Sensor,Sensor相当于一个Client。

 

语言选择,简体中文支持似乎说不太好,直接英文即可要选中文也可以。

地区选择,由于操作系统根据选择的地区确定系统使用的时区,为了时间是本地时间我们要正确选择中国。

操作系统编码,默认即可

键盘,默认即可

下几步是网络设置,为了避免安装完后还要手动纠正网络这里最好正确填写要设置的ip、掩码、网关。

子网掩码

网关

DNS,最多可以设置3个,使用空格隔开即可

root用户密码

 物理机安装时还有个划分磁盘的操作,但虚拟机安装没看到直接进入了安装,问题不大意思懂得就行。

上边的安装过程需要二三十分钟,安装过程可能会出现黑屏,敲击任意键唤醒屏幕即可。

安装的最后会运行cdsetup的程序,这个程序主要是创建OSSIM相关的数据库。

 

三、登录使用

3.1 操作系统登录使用

系统安装完成后,自动重启进入界面如下,使用安装时自己设定的密码登录即可

(如果虚拟机没有安装过程而是直接运行了iso那默认是root/toor)

登录后进入AlienVault Setup界面如下,这其实是一个名为ossim-setup的程序。

基本配置在AlienVault Setup进行操作即可,如果想要进入系统,那就下移到”Jailbreak System“菜单进入

选择Yes回车进入

如果想回到AlienVault Setup,退出重新登录即可,当然也可以直接输入ossim-setup。

 

2.2 Web登录使用

在登录界面和AlienVault Setup界面都可以看到有提示ossim的url,直接在浏览器访问该链接即可。

首次登录需要设置admin的密码,medium以上强度即可

然后会自动跳转登录界面,使用admin和上边设定的密码进入即可。

 首次登录需要进行几步设置,不过基本都直接NEXT即可。

选择网卡,直接NEXT

当前扫描到的资产,直接NEXT

安装基于主机的入侵检测系统。windows主机需要输入域管理账号Linux机器需要输入主机账号,然后在在右边选中机器,然后点击DEPLOY进行安装。

我们不安装,直接NEXT。

 

 日志管理。我这里是虚拟机所以没有什么直接SKIP THIS STEEP,有也是直接NEXT。

OTX即Open Threat Exchange,威胁情报交换,自己注册个账号去登录即可。我这里直接SKIP THIS STEEP

 

 进入OSSIM

此时终于进入见到OSSIM的庐山真面目

dashboards菜单----可视化图表

analysis----用于筛选查看收集到的数据

environment----资产清单、漏洞扫描、流量监控等重要功能就在这里

reports----顾名思义就是生成和查看各种报告的地方

configuration----web系统匹置菜单

OSSIM也就以上几个菜单的功能,复杂度都不及ELK和Zabbix自己随便点点玩玩就差不多了。

posted on 2018-11-22 14:41  诸子流  阅读(12594)  评论(0编辑  收藏  举报