OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),他是目前一个非常流行和完整的开源安全架构体系,通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统,而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合。
OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等开源系统安全软件),在一个保留他们原有功能和作用的开放式架构体系环境下,将他们集成起来。由于开源项目的优点,这些工具已经是久经考验,同时也经过全方位测试、可靠的工具。
OSSIM安装教程
本次安装以VMware虚拟机安装为例,大家可以自己选择,当然您有条件可以选择物理计算机而不是虚拟机,毕竟性能要好一点。
1、在VMware新建了一个虚拟机,将光驱设置为下载好的iso文件
2、载入后,选择第一个“意思是无人值守安装OSSIM”,然后需要输入IP地址,就是您分配给OSSIM的管理地址,也是将来用浏览器访问的地址。规划好,尽量以后别随便修改,否则配置麻烦。
3、然后是输入子网掩码
4、输入网关地址,否则OSSIM升级的时候出问题
5、设置OSSIM的DNS,否则升级也是有问题的
6、分区设置,选择第一个就OK
7、选择磁盘或分区,下一步
8、输入root的密码,两次
9、问你是否升级OSSIM,我选择的yes
10、结束安装了,速度还是很快的!
11、在浏览器打开我刚才输入的IP地址注意不是httpS而是http!用户名和密码都输入admin,系统提示第一次登陆需要更改密码,输入新密码即可。
12、Open Source SIM安装完毕,准备开始我们的OSSIM之旅吧!
OSSIM配置
1、创建虚机的过程中,OSSIM的配置流程如下:
① 在“Install OSSIM”界面,点击“Install AlientVault OSSIM 5.0 (64 Bit)”(此为混合安装模式);
② 在“Select a language”界面,选择“Chinese (Simplified)”,点击Continue;
③ 在“选择你的区域”界面,选择“中国”,点击继续;
④ 在“配置键盘”界面,选择“美国英语”,点击继续;
⑤ 在“配置网络”界面,输入IP地址:10.111.121.188,点击继续;输入网络掩码:255.255.255.0,点击继续;输入网关:10.111.121.1,点击继续;输入域名服务器地址:114.114.114.114,点击继续;
⑥ 在“设置用户和密码”界面,输入Root用户的密码,点击继续;
然后,就可以慢慢坐等安装结束。
2、通过Web界面进行配置
安装完成之后,就可以通过Web界面进行访问了:https://10.111.121.188
① 第一次访问,需要在“Administrator Account Creation”界面输入FULL NAME、PASSWORD、EMAIL等项,点击“START USING ALIENVAULT”;
② 然后会跳转到登录界面,输入USERNAME和PASSWORD,点击“LOGIN”;
③ 在“Welcome to the AlienVault OSSIM Getting Started Wizard”界面,点击“START”,进行配置;
④ 在“Configure Network Interfaces”界面,列出作为服务端的主机的网口信息,没什么要修改的,直接点击“NEXT”;
⑤ 在“Scan & Add Assets”界面,系统会自动探测出局域网内的主机(也可以手动探测),筛选出要进行监控的资产,点击“NEXT”;
⑥ 在“Deploy HIDS to Servers”界面,选择需要部署HIDS agent的主机,输入该主机的Username和Password,先后点击“DEPLOY”和“CONTINUE”即可,部署完成之后,点击“NEXT”;
⑦ 在“LOG MANAGEMENT”界面,确认相应的网络资产的Vendor、Model和Version,点击“ENABLE”即可安装数据源插件,也可以点击“SKIP THIS STEP”来略过该步;
⑧ 在“JOIN OTX”界面,需要注册并输入TOKEN,也可以点击“SKIP THIS STEP”来略过该步,最后点击“FINISH”来结束配置;
3、通过Web界面进行管理
配置完成之后,就可以通过Web界面进行管理了:https://10.111.121.188
① 在“DASHBOARDS”界面,可以通过视图直观地查看系统当前状态等;
② 在“ANALYSIS”界面,可以对网络行为进行异常分析,可以告警聚合等;
③ 在“ENVIRONMENT”界面,可以通过“Enable Availability Monitoring”实现Nagios监控,可以执行漏洞扫描,可以详细显示资产细节(漏洞、报警、事件、可用性、服务、所属组)等;
④ 在“REPORTS”界面,可以查看系统报告等;
⑤ 在“CONFIGURATION”界面,可以快速预览你的资产,可以进行系统备份等;
OSSIM控制台使用:
如果要对其进行进一步的了解,则需要学会使用OSSIM的控制台。
1、使用SSH连接安装OSSIM 的虚拟机时,便会进入其控制台界面。界面一共有0~7个选项
0 System Preferences
1 Configure Sensor
2 Maintenance & Troubleshooting
3 Jailbreak System
4 About this Installation
5 Reboot Appliance
6 Shutdown Appliance
7 Apply all Changes
2、选择1可以进入Sensor配置界面,这里可配置网络探测器,以及OSSIM丰富的插件,如果更新了配置,需要Apply all Changes。OSSIM 默认安装的插件不多,主要有sudo,ssh,iptables,syslog,dhcp,ossec,rrd,snort.snare等
3、选择3后选择OK可以进入OSSIM 的Shell界面,进入这里之后就能更加直接的看到其内部的数据了。
4、在/etc/ossim 目录下可以看到OSSIM agent以及server的一些配置文件,cat ossim_setup.conf ,里面有配置的基本信息,包括,dns、ip、database 的用户名、密码,framework,ha,snmp状态信息等。
5、OSSIM默认安装本身就具备一些安全防护和权限设置,如果你想获取里面的文件或者数据库表,需要取消插件中的iptables。并且使用ftp被动模式。
共有 0条评论