OSSIM安装与使用感受

下载地址 http://www.alienvault.com

OSSIM通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台。它的目标是提供一种集中式、有组织的，能够更好地进行监测和显示的框架式系统。OSSIM 明确定位为一个集成解决方案，其目标并不是要开发一个新的功能，而是利用丰富的、强大的各种程序（包括Mrtg、Snort、Nmap、Openvas以及Ntop等开源系统安全软件）。在一个保留它们原有功能和作用的开放式架构体系环境下，将它们集成起来。到目前为止，OSSIM支持多达两千多种插件，由于开源项目的优点，这些工具已经久经考验，同时也经过全方位测试，更加可靠。

1，安装

创建虚拟机的过程就不多说了，大概流程如下：在"Install OSSIM"界面，点击"Install AlientVault OSSIM 5.0 (64 Bit)"（此为混合安装模式，下面那个是sensor，也就是一般所谓的收集信息的代理端）；之后"选择你的区域"界面，，"配置键盘"，"配置网络"界面， "设置用户和密码"。然后，就可以慢慢坐等安装结束，大约半小时多点。

PS：先废话几句，以为5.X版本会解决这个语言问题的，但是仍然没有，就是安装时候选中文安装，我这破笔记本老提示找不到网卡，后来先英文，等装到选择网卡，设好IP后，在回头把语言改掉，这样就出现中文的网卡界面了（如下图）。

但是最后仍然不行，这样安装完成重启后，会一直重复下面这画，按说已经装好了，但是就是访问不了IP（可以ping，但是80，443没开）。后来改成选英文安装就一路畅通了。

装完特意看一下VM的网卡型号

# dmesg | grep -i eth0

[ 1.991566] e1000 0000:02:00.0 eth0: (PCI:66MHz:32-bit) 00:50:56:3e:44:55

[ 1.991573] e1000 0000:02:00.0 eth0: Intel(R) PRO/1000 Network Connection

intel的网卡，看来纯粹是中文的问题了（就像前段时间安装Ubuntu Server 16一样，中文的就是不行，英文的一路OK）

2，配置

第一次访问，需要在"Administrator Account Creation"界面输入FULL NAME、PASSWORD、EMAIL等项，点击"START USING ALIENVAULT"；然后会跳转到登录界面，输入USERNAME和PASSWORD，点击"LOGIN"； 在"Welcome to the AlienVault OSSIM Getting Started Wizard"界面，点击"START"，进行配置； 在"Configure Network Interfaces"界面，列出作为服务端的主机的网口信息，没什么要修改的，直接点击"NEXT"；在"Scan & Add Assets"界面，系统会自动探测出局域网内的主机（也可以手动探测），筛选出要进行监控的资产，点击"NEXT"； 在"Deploy HIDS to Servers"界面，选择需要部署HIDS agent的主机，输入该主机的Username和Password，先后点击"DEPLOY"和"CONTINUE"即可，部署完成之后，点击"NEXT"；在"LOG MANAGEMENT"界面，确认相应的网络资产的Vendor、Model和Version，点击"ENABLE"即可安装数据源插件，也可以点击"SKIP THIS STEP"来略过该步； 在"JOIN OTX"界面，需要注册并输入TOKEN，也可以点击"SKIP THIS STEP"来略过该步，最后点击"FINISH"来结束配置；

说明，OTX是注册后再https://otx.alienvault.com/api/页面的右上角找到

3，管理

配置完成之后，就可以通过Web界面进行管理了，访问前面配置的ip：https://192.168.1.134

在"DASHBOARDS"界面，可以通过视图直观地查看系统当前状态等；在"ANALYSIS"界面，可以对网络行为进行异常分析，可以告警聚合等；在"ENVIRONMENT"界面，可以通过"Enable Availability Monitoring"实现Nagios监控，可以执行漏洞扫描，可以详细显示资产细节（漏洞、报警、事件、可用性、服务、所属组）等； 在"REPORTS"界面，可以查看系统报告等；在"CONFIGURATION"界面，可以快速预览你的资产，可以进行系统备份等。

• 上来先扫描一下自己的网段

效果还可以

• 再去看各种报表

报告支持iso27001，PCI-DSS 3.0等安全标准要求，还是很不错的。

下载生成后的PDF

• 用户操作记录也很详细

具体怎么使用的我就不介绍了，装了后看图示就基本能清楚了，用起来还是比较简单的，要是用不来，可以看看《开源安全运维平台OSSIM最佳实践》，这书写的还是比较全面的，看介绍和页数，应该可以。

4，观察一下console端如何

[root@node222 test]# ssh 192.168.1.134

The authenticity of host '192.168.1.134 (192.168.1.134)' can't be established.

RSA key fingerprint is 7b:4c:3b:c6:2b:f1:08:af:12:6c:43:5e:f3:be:8c:e0.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.1.134' (RSA) to the list of known hosts.

root@192.168.1.134's password:

=========================================================================

=========================================================================

== _ _ _ _ ==

== __ _ | | (_) ___ _ __ __ __ __ _ _ _ | | | |_ ==

== / _` | | | | | / _ \ | '_ \ \ \ / / / _` | | | | | | | | __| ==

== | (_| | | | | | | __/ | | | | \ V / | (_| | | |_| | | | | |_ ==

== \__,_| |_| |_| \___| |_| |_| \_/ \__,_| \__,_| |_| \__| ==

== ==

=========================================================================

===================== http://www.alienvault.com ========================

=========================================================================

==== Access the AlienVault web interface using the following URL: =====

https://192.168.1.134/

=========================================================================

Hostname 'alienvault' (192.168.1.134)

-----------------------------------------------------------------------------------------------------------------------

+--------------------AlienVault Setup----------------------+

| AlienVault Setup |

| +------------------------------------------------------+ |

| | 0 System Preferences | |

| | 1 Configure Sensor | |

| | 2 Maintenance & Troubleshooting | |

| | 3 Jailbreak System | |

| | 4 Support | |

| | 5 About this Installation | |

| | 6 Reboot Appliance | |

| | 7 Shutdown Appliance | |

| | 8 Apply all Changes | |

| | | |

| +------------------------------------------------------+ |

+----------------------------------------------------------+

| < ?? > < Exit > |

+----------------------------------------------------------+

Access the AlienVault web interface using the following URL: https://192.168.1.134/

下面选择第三项，就可以进去了

+--------------------Jailbreak Commandline notice----------------------+

| |

| |

| Jailbreak Commandline notice. |

| |

| Hey! Please do us a favor, you want to get full commandline access - |

| can you take a minute and explain to us what you are trying to do? |

| This will help us improve the product and make it easier for you in |

| the future. |

| |

| Read more at http://www.alienvault.com/jailbreak |

| |

| |

| Do you want to continue? |

| |

| |

| |

| |

| |

| |

| |

| |

| |

| |

+----------------------------------------------------------------------+

| < ? > < ? > |

+----------------------------------------------------------------------+

Starting shell

alienvault:~# netstat -nltp

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2654/mysqld

tcp 0 0 0.0.0.0:40011 0.0.0.0:* LISTEN 871/apache2

tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 3225/redis-server

tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 1557/memcached

tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 1308/openvasmd

tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 18609/openvassd: wa

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 871/apache2

tcp 0 0 0.0.0.0:4369 0.0.0.0:* LISTEN 1340/epmd

tcp 0 0 0.0.0.0:4949 0.0.0.0:* LISTEN 19853/munin-node

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3546/sshd

tcp 0 0 0.0.0.0:3000 0.0.0.0:* LISTEN 2929/ntop

tcp 0 0 0.0.0.0:56216 0.0.0.0:* LISTEN 1378/beam

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3192/master

tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 871/apache2

tcp 0 0 0.0.0.0:40001 0.0.0.0:* LISTEN 9625/ossim-server

tcp 0 0 0.0.0.0:40002 0.0.0.0:* LISTEN 9625/ossim-server

tcp 0 0 0.0.0.0:40003 0.0.0.0:* LISTEN 20601/python

tcp 0 0 0.0.0.0:40009 0.0.0.0:* LISTEN 9625/ossim-server

tcp6 0 0 :::22 :::* LISTEN 3546/sshd

tcp6 0 0 :::3128 :::* LISTEN 20952/(squid)

tcp6 0 0 :::5672 :::* LISTEN 1378/beam

alienvault:~#

开的服务还真多，我这很多东西还没打开，否则更多。

5，小结

之前一直觉得OSSIM用起来不错，对于网络的威胁至少能够感知不少，还带了扫描器，可以主动去评估资产，但是如果作为一款日志分析产品而言，由于近二年的大数据平台以及ELK、kafka等日志处理相关产品的发展，个人感觉OSSIM已经不适合大中型企业日志分析发展的需要了，最关键的原因是性能问题，不适合分布式的部署，很容易产生瓶颈。

https://otx.alienvault.com/settings/