一、说明
1.1 相关概念说明
SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为。
SIM,security information management,安全信息管理,指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。
SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的结合体。
SOC,security operations center,安全运营中心。
TI,Threat Intelligence,威胁情报。SOC偏重内部网络态势感知,而TI偏重于外部网络态势感知比如新出了什么漏洞、病毒、安全事件等等。
SA,situational awareness,态势感知。
SRC,Security Response Center,安全响应中心。狭义上只是一个提交产品漏洞的入口,但广义上包含各种安全系统及系统维护人员。
他们的关系是:SRC > SA >= SOC [ + TI ] >= SIEM = SEM+SIM。
一款典型的SIEM产品具有以下功能:资产发现、漏洞扫描、入侵检测、日志存储分析和可视化展示。
参考:
https://en.wikipedia.org/wiki/Security_information_and_event_management
https://en.wikipedia.org/wiki/Information_security_operations_center
https://en.wikipedia.org/wiki/Situation_awareness
https://help.aliyun.com/knowledge_detail/42302.html
1.2 OSSIM是什么
OSSIM是SIEM的代表性产品,在产品形式上和Kali类似是一个基于Debain进行二次开发的Linux发行版,当前5.6.5版本基于Dibian 8(jessie)。
OSSIM使用Nmap等实现资产发现、使用Nessus等实现漏洞扫描、使用Snort等实现入侵检测、使用MySQL等进行数据存储,自己实现的部分主要是工具、数据整合和可视化展示。
李晨光OSSIM博文:http://blog.51cto.com/chenguang/category10.html
二、OSSIM安装
2.1 下载
ISO文件下载地址:https://www.alienvault.com/products/ossim/download
2.2 硬件资源需求
基础配置:CPU----2*2,内存----8G,硬盘----20G以上
以下是我安装完成后未创建任何扫描等任务时的CPU、内存、磁盘使用情况。
2.3 安装准备
VMware就和普通虚拟机一样,创建Linux虚拟机设置好ISO文件即可。不过要注意操作系统选Debian(第几版本倒影响不大),我选CentOS的时候发现是直接运行iso了并没有进入安装。
真机安装就用UltraISO等制作一下启动盘,然后从U盘启动即可,后续安装步骤就完全和虚拟机安装一样。不过我在一台真机安装有一个问题,完成后启动时一直停在"loading,please wait“并没有正常出现登录界面,不知是某些机器的bug还是普遍存在(注意这不是操作系统启不来,此时系统和应用都已经启来了,使用安装时设置的ip和密码通过ssh上去即可正常使用)。
2.4 安装过程
其实Linux安装都大同小异都是选语言、选时区、设密码那几步,下面简单截一下图。
选OSSIM。OSSIM包含服务器组件+Sensor,Sensor相当于一个Client。
语言选择,简体中文支持似乎说不太好,直接英文即可要选中文也可以。
地区选择,由于操作系统根据选择的地区确定系统使用的时区,为了时间是本地时间我们要正确选择中国。
操作系统编码,默认即可
键盘,默认即可
下几步是网络设置,为了避免安装完后还要手动纠正网络这里最好正确填写要设置的ip、掩码、网关。
子网掩码
网关
DNS,最多可以设置3个,使用空格隔开即可
root用户密码
物理机安装时还有个划分磁盘的操作,但虚拟机安装没看到直接进入了安装,问题不大意思懂得就行。
上边的安装过程需要二三十分钟,安装过程可能会出现黑屏,敲击任意键唤醒屏幕即可。
安装的最后会运行cdsetup的程序,这个程序主要是创建OSSIM相关的数据库。
三、登录使用
3.1 操作系统登录使用
系统安装完成后,自动重启进入界面如下,使用安装时自己设定的密码登录即可
(如果虚拟机没有安装过程而是直接运行了iso那默认是root/toor)
登录后进入AlienVault Setup界面如下,这其实是一个名为ossim-setup的程序。
基本配置在AlienVault Setup进行操作即可,如果想要进入系统,那就下移到”Jailbreak System“菜单进入
选择Yes回车进入
如果想回到AlienVault Setup,退出重新登录即可,当然也可以直接输入ossim-setup。
2.2 Web登录使用
在登录界面和AlienVault Setup界面都可以看到有提示ossim的url,直接在浏览器访问该链接即可。
首次登录需要设置admin的密码,medium以上强度即可
然后会自动跳转登录界面,使用admin和上边设定的密码进入即可。
首次登录需要进行几步设置,不过基本都直接NEXT即可。
选择网卡,直接NEXT
当前扫描到的资产,直接NEXT
安装基于主机的入侵检测系统。windows主机需要输入域管理账号Linux机器需要输入主机账号,然后在在右边选中机器,然后点击DEPLOY进行安装。
我们不安装,直接NEXT。
日志管理。我这里是虚拟机所以没有什么直接SKIP THIS STEEP,有也是直接NEXT。
OTX即Open Threat Exchange,威胁情报交换,自己注册个账号去登录即可。我这里直接SKIP THIS STEEP
进入OSSIM
此时终于进入见到OSSIM的庐山真面目
dashboards菜单----可视化图表
analysis----用于筛选查看收集到的数据
environment----资产清单、漏洞扫描、流量监控等重要功能就在这里
reports----顾名思义就是生成和查看各种报告的地方
configuration----web系统匹置菜单
OSSIM也就以上几个菜单的功能,复杂度都不及ELK和Zabbix自己随便点点玩玩就差不多了。