OSSIM v5.0

OSSIM即開源安全信息管理系統(tǒng)(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)，他是目前一個非常流行和完整的開源安全架構(gòu)體系，通過將開源產(chǎn)品進(jìn)行集成,從而提供一種能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺。 它的目的是提供一種集中式、有組織的，能夠更好地進(jìn)行監(jiān)測和顯示的框架式系統(tǒng)，而OSSIM項目的核心工作在于負(fù)責(zé)集成和關(guān)聯(lián)各種產(chǎn)品提供的信息，同時進(jìn)行相關(guān)功能的整合。

OSSIM明確定位為一個集成解決方案，其目標(biāo)并不是要開發(fā)一個新的功能，而是利用豐富的、強(qiáng)大的各種程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等開源系統(tǒng)安全軟件)，在一個保留他們原有功能和作用的開放式架構(gòu)體系環(huán)境下，將他們集成起來。由于開源項目的優(yōu)點,這些工具已經(jīng)是久經(jīng)考驗，同時也經(jīng)過全方位測試、可靠的工具。

OSSIM安裝教程

本次安裝以VMware虛擬機(jī)安裝為例，大家可以自己選擇，當(dāng)然您有條件可以選擇物理計算機(jī)而不是虛擬機(jī)，畢竟性能要好一點。

1、在VMware新建了一個虛擬機(jī)，將光驅(qū)設(shè)置為下載好的iso文件

2、載入后，選擇第一個“意思是無人值守安裝OSSIM”，然后需要輸入IP地址，就是您分配給OSSIM的管理地址，也是將來用瀏覽器訪問的地址。規(guī)劃好，盡量以后別隨便修改，否則配置麻煩。

3、然后是輸入子網(wǎng)掩碼

4、輸入網(wǎng)關(guān)地址，否則OSSIM升級的時候出問題

5、設(shè)置OSSIM的DNS，否則升級也是有問題的

6、分區(qū)設(shè)置，選擇第一個就OK

7、選擇磁盤或分區(qū)，下一步

8、輸入root的密碼，兩次

9、問你是否升級OSSIM，我選擇的yes

10、結(jié)束安裝了，速度還是很快的！

11、在瀏覽器打開我剛才輸入的IP地址注意不是httpS而是http！用戶名和密碼都輸入admin，系統(tǒng)提示第一次登陸需要更改密碼，輸入新密碼即可。

12、Open Source SIM安裝完畢，準(zhǔn)備開始我們的OSSIM之旅吧！

OSSIM配置

1、創(chuàng)建虛機(jī)的過程中，OSSIM的配置流程如下：

① 在“Install OSSIM”界面，點擊“Install AlientVault OSSIM 5.0 (64 Bit)”（此為混合安裝模式）；

② 在“Select a language”界面，選擇“Chinese (Simplified)”，點擊Continue；

③ 在“選擇你的區(qū)域”界面，選擇“中國”，點擊繼續(xù)；

④ 在“配置鍵盤”界面，選擇“美國英語”，點擊繼續(xù)；

⑤ 在“配置網(wǎng)絡(luò)”界面，輸入IP地址：10.111.121.188，點擊繼續(xù)；輸入網(wǎng)絡(luò)掩碼：255.255.255.0，點擊繼續(xù)；輸入網(wǎng)關(guān)：10.111.121.1，點擊繼續(xù)；輸入域名服務(wù)器地址：114.114.114.114，點擊繼續(xù)；

⑥ 在“設(shè)置用戶和密碼”界面，輸入Root用戶的密碼，點擊繼續(xù)；

然后，就可以慢慢坐等安裝結(jié)束。

2、通過Web界面進(jìn)行配置

安裝完成之后，就可以通過Web界面進(jìn)行訪問了：https://10.111.121.188

① 第一次訪問，需要在“Administrator Account Creation”界面輸入FULL NAME、PASSWORD、EMAIL等項，點擊“START USING ALIENVAULT”；

② 然后會跳轉(zhuǎn)到登錄界面，輸入USERNAME和PASSWORD，點擊“LOGIN”；

③ 在“Welcome to the AlienVault OSSIM Getting Started Wizard”界面，點擊“START”，進(jìn)行配置；

④ 在“Configure Network Interfaces”界面，列出作為服務(wù)端的主機(jī)的網(wǎng)口信息，沒什么要修改的，直接點擊“NEXT”；

⑤ 在“Scan & Add Assets”界面，系統(tǒng)會自動探測出局域網(wǎng)內(nèi)的主機(jī)（也可以手動探測），篩選出要進(jìn)行監(jiān)控的資產(chǎn)，點擊“NEXT”；

⑥ 在“Deploy HIDS to Servers”界面，選擇需要部署HIDS agent的主機(jī)，輸入該主機(jī)的Username和Password，先后點擊“DEPLOY”和“CONTINUE”即可，部署完成之后，點擊“NEXT”；

⑦ 在“LOG MANAGEMENT”界面，確認(rèn)相應(yīng)的網(wǎng)絡(luò)資產(chǎn)的Vendor、Model和Version，點擊“ENABLE”即可安裝數(shù)據(jù)源插件，也可以點擊“SKIP THIS STEP”來略過該步；

⑧ 在“JOIN OTX”界面，需要注冊并輸入TOKEN，也可以點擊“SKIP THIS STEP”來略過該步，最后點擊“FINISH”來結(jié)束配置；

3、通過Web界面進(jìn)行管理

配置完成之后，就可以通過Web界面進(jìn)行管理了：https://10.111.121.188

① 在“DASHBOARDS”界面，可以通過視圖直觀地查看系統(tǒng)當(dāng)前狀態(tài)等；

② 在“ANALYSIS”界面，可以對網(wǎng)絡(luò)行為進(jìn)行異常分析，可以告警聚合等；

③ 在“ENVIRONMENT”界面，可以通過“Enable Availability Monitoring”實現(xiàn)Nagios監(jiān)控，可以執(zhí)行漏洞掃描，可以詳細(xì)顯示資產(chǎn)細(xì)節(jié)（漏洞、報警、事件、可用性、服務(wù)、所屬組）等；

④ 在“REPORTS”界面，可以查看系統(tǒng)報告等；

⑤ 在“CONFIGURATION”界面，可以快速預(yù)覽你的資產(chǎn)，可以進(jìn)行系統(tǒng)備份等；

OSSIM控制臺使用：

如果要對其進(jìn)行進(jìn)一步的了解，則需要學(xué)會使用OSSIM的控制臺。

1、使用SSH連接安裝OSSIM 的虛擬機(jī)時，便會進(jìn)入其控制臺界面。界面一共有0~7個選項

0 System Preferences

1 Configure Sensor

2  Maintenance & Troubleshooting 

3  Jailbreak System 

4  About this Installation 

5  Reboot Appliance

6  Shutdown Appliance 

7  Apply  all Changes 

2、選擇1可以進(jìn)入Sensor配置界面，這里可配置網(wǎng)絡(luò)探測器，以及OSSIM豐富的插件，如果更新了配置，需要Apply all Changes。OSSIM 默認(rèn)安裝的插件不多，主要有sudo,ssh,iptables,syslog,dhcp,ossec,rrd,snort.snare等

3、選擇3后選擇OK可以進(jìn)入OSSIM 的Shell界面，進(jìn)入這里之后就能更加直接的看到其內(nèi)部的數(shù)據(jù)了。

4、在/etc/ossim 目錄下可以看到OSSIM agent以及server的一些配置文件，cat ossim_setup.conf ，里面有配置的基本信息，包括，dns、ip、database 的用戶名、密碼，framework，ha，snmp狀態(tài)信息等。

5、OSSIM默認(rèn)安裝本身就具備一些安全防護(hù)和權(quán)限設(shè)置，如果你想獲取里面的文件或者數(shù)據(jù)庫表，需要取消插件中的iptables。并且使用ftp被動模式。