下载地址 http://www.alienvault.com

OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目标是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。OSSIM 明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Mrtg、Snort、Nmap、Openvas以及Ntop等开源系统安全软件)。在一个保留它们原有功能和作用的开放式架构体系环境下,将它们集成起来。到目前为止,OSSIM支持多达两千多种插件,由于开源项目的优点,这些工具已经久经考验,同时也经过全方位测试,更加可靠。

1,安装

创建虚拟机的过程就不多说了,大概流程如下:在"Install OSSIM"界面,点击"Install AlientVault OSSIM 5.0 (64 Bit)"(此为混合安装模式,下面那个是sensor,也就是一般所谓的收集信息的代理端);之后"选择你的区域"界面,,"配置键盘","配置网络"界面, "设置用户和密码"。然后,就可以慢慢坐等安装结束,大约半小时多点。

PS:先废话几句,以为5.X版本会解决这个语言问题的,但是仍然没有,就是安装时候选中文安装,我这破笔记本老提示找不到网卡,后来先英文,等装到选择网卡,设好IP后,在回头把语言改掉,这样就出现中文的网卡界面了(如下图)。

但是最后仍然不行,这样安装完成重启后,会一直重复下面这画,按说已经装好了,但是就是访问不了IP(可以ping,但是80,443没开)。后来改成选英文安装就一路畅通了。

装完特意看一下VM的网卡型号

# dmesg | grep -i eth0

[ 1.991566] e1000 0000:02:00.0 eth0: (PCI:66MHz:32-bit) 00:50:56:3e:44:55

[ 1.991573] e1000 0000:02:00.0 eth0: Intel(R) PRO/1000 Network Connection

intel的网卡,看来纯粹是中文的问题了(就像前段时间安装Ubuntu Server 16一样,中文的就是不行,英文的一路OK)

2,配置

第一次访问,需要在"Administrator Account Creation"界面输入FULL NAME、PASSWORD、EMAIL等项,点击"START USING ALIENVAULT";然后会跳转到登录界面,输入USERNAME和PASSWORD,点击"LOGIN"; 在"Welcome to the AlienVault OSSIM Getting Started Wizard"界面,点击"START",进行配置; 在"Configure Network Interfaces"界面,列出作为服务端的主机的网口信息,没什么要修改的,直接点击"NEXT";在"Scan & Add Assets"界面,系统会自动探测出局域网内的主机(也可以手动探测),筛选出要进行监控的资产,点击"NEXT"; 在"Deploy HIDS to Servers"界面,选择需要部署HIDS agent的主机,输入该主机的Username和Password,先后点击"DEPLOY"和"CONTINUE"即可,部署完成之后,点击"NEXT";在"LOG MANAGEMENT"界面,确认相应的网络资产的Vendor、Model和Version,点击"ENABLE"即可安装数据源插件,也可以点击"SKIP THIS STEP"来略过该步; 在"JOIN OTX"界面,需要注册并输入TOKEN,也可以点击"SKIP THIS STEP"来略过该步,最后点击"FINISH"来结束配置;

说明,OTX是注册后再https://otx.alienvault.com/api/页面的右上角找到

3,管理

配置完成之后,就可以通过Web界面进行管理了,访问前面配置的ip:https://192.168.1.134

在"DASHBOARDS"界面,可以通过视图直观地查看系统当前状态等;在"ANALYSIS"界面,可以对网络行为进行异常分析,可以告警聚合等;在"ENVIRONMENT"界面,可以通过"Enable Availability Monitoring"实现Nagios监控,可以执行漏洞扫描,可以详细显示资产细节(漏洞、报警、事件、可用性、服务、所属组)等; 在"REPORTS"界面,可以查看系统报告等;在"CONFIGURATION"界面,可以快速预览你的资产,可以进行系统备份等。

  • 上来先扫描一下自己的网段

效果还可以

  • 再去看各种报表

报告支持iso27001,PCI-DSS 3.0等安全标准要求,还是很不错的。

下载生成后的PDF

  • 用户操作记录也很详细

具体怎么使用的我就不介绍了,装了后看图示就基本能清楚了,用起来还是比较简单的,要是用不来,可以看看《开源安全运维平台OSSIM最佳实践》,这书写的还是比较全面的,看介绍和页数,应该可以。

4,观察一下console端如何

[root@node222 test]# ssh 192.168.1.134

The authenticity of host '192.168.1.134 (192.168.1.134)' can't be established.

RSA key fingerprint is 7b:4c:3b:c6:2b:f1:08:af:12:6c:43:5e:f3:be:8c:e0.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.1.134' (RSA) to the list of known hosts.

root@192.168.1.134's password:

=========================================================================

=========================================================================

== _ _ _ _ ==

== __ _ | | (_) ___ _ __ __ __ __ _ _ _ | | | |_ ==

== / _` | | | | | / _ \ | '_ \ \ \ / / / _` | | | | | | | | __| ==

== | (_| | | | | | | __/ | | | | \ V / | (_| | | |_| | | | | |_ ==

== \__,_| |_| |_| \___| |_| |_| \_/ \__,_| \__,_| |_| \__| ==

== ==

=========================================================================

===================== http://www.alienvault.com ========================

=========================================================================

==== Access the AlienVault web interface using the following URL: =====

https://192.168.1.134/

=========================================================================

Hostname 'alienvault' (192.168.1.134)

-----------------------------------------------------------------------------------------------------------------------

+--------------------AlienVault Setup----------------------+

| AlienVault Setup |

| +------------------------------------------------------+ |

| | 0 System Preferences | |

| | 1 Configure Sensor | |

| | 2 Maintenance & Troubleshooting | |

| | 3 Jailbreak System | |

| | 4 Support | |

| | 5 About this Installation | |

| | 6 Reboot Appliance | |

| | 7 Shutdown Appliance | |

| | 8 Apply all Changes | |

| | | |

| +------------------------------------------------------+ |

+----------------------------------------------------------+

| < ?? > < Exit > |

+----------------------------------------------------------+

Access the AlienVault web interface using the following URL: https://192.168.1.134/

下面选择第三项,就可以进去了

+--------------------Jailbreak Commandline notice----------------------+

| |

| |

| Jailbreak Commandline notice. |

| |

| Hey! Please do us a favor, you want to get full commandline access - |

| can you take a minute and explain to us what you are trying to do? |

| This will help us improve the product and make it easier for you in |

| the future. |

| |

| Read more at http://www.alienvault.com/jailbreak |

| |

| |

| Do you want to continue? |

| |

| |

| |

| |

| |

| |

| |

| |

| |

| |

+----------------------------------------------------------------------+

| < ? > < ? > |

+----------------------------------------------------------------------+

Starting shell

alienvault:~# netstat -nltp

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2654/mysqld

tcp 0 0 0.0.0.0:40011 0.0.0.0:* LISTEN 871/apache2

tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 3225/redis-server

tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 1557/memcached

tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 1308/openvasmd

tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 18609/openvassd: wa

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 871/apache2

tcp 0 0 0.0.0.0:4369 0.0.0.0:* LISTEN 1340/epmd

tcp 0 0 0.0.0.0:4949 0.0.0.0:* LISTEN 19853/munin-node

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3546/sshd

tcp 0 0 0.0.0.0:3000 0.0.0.0:* LISTEN 2929/ntop

tcp 0 0 0.0.0.0:56216 0.0.0.0:* LISTEN 1378/beam

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3192/master

tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 871/apache2

tcp 0 0 0.0.0.0:40001 0.0.0.0:* LISTEN 9625/ossim-server

tcp 0 0 0.0.0.0:40002 0.0.0.0:* LISTEN 9625/ossim-server

tcp 0 0 0.0.0.0:40003 0.0.0.0:* LISTEN 20601/python

tcp 0 0 0.0.0.0:40009 0.0.0.0:* LISTEN 9625/ossim-server

tcp6 0 0 :::22 :::* LISTEN 3546/sshd

tcp6 0 0 :::3128 :::* LISTEN 20952/(squid)

tcp6 0 0 :::5672 :::* LISTEN 1378/beam

alienvault:~#

开的服务还真多,我这很多东西还没打开,否则更多。

5,小结

之前一直觉得OSSIM用起来不错,对于网络的威胁至少能够感知不少,还带了扫描器,可以主动去评估资产,但是如果作为一款日志分析产品而言,由于近二年的大数据平台以及ELK、kafka等日志处理相关产品的发展,个人感觉OSSIM已经不适合大中型企业日志分析发展的需要了,最关键的原因是性能问题,不适合分布式的部署,很容易产生瓶颈。

https://otx.alienvault.com/settings/

OSSIM安装与使用感受的更多相关文章

  1. OSSIM安装使用教程(OSSIM-5.6.5)

    一.说明 1.1 相关概念说明 SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为. SIM,security inform ...

  2. VMware下OSSIM 5.2.0的下载、安装和初步使用(图文详解)

    不多说,直接上干货! 入门阶段不建议选用最新的版本. 采用OSSIM 4.11 到 OSSIM5.0.3 之间任何版本做实验,sensor的状态都会是“V”.   建议,入门,采用OSSIM5.0.0 ...

  3. 《开源安全运维平台OSSIM最佳实践》

    <开源安全运维平台OSSIM最佳实践> 经多年潜心研究开源技术,历时三年创作的<开源安全运维平台OSSIM最佳实践>一书即将出版.该书用80多万字记录了,作者10多年的IT行业 ...

  4. 前端模块化工具--webpack使用感受

    话说前头 webpack前段时间有听说一下,现在已经到了3.x的版本,自己没去接触.因为之前使用gulp来作为自己的项目构建工具.现在感觉gulp使用的趋势在减少.现在这段时间去接触了webpack, ...

  5. 分享4个运维平台工具OSSIM、Ansible的学习思路

    对于当今企业安全来说,真正价值不在于亡羊补牢,也不在于一个或多个高危漏洞.企业在乎的是如何防患于未然,如何快速定位攻击,如何快速解决安全问题.OSSIM作为开源的安全信息管理平台,对于企业的需求来说毋 ...

  6. openstack kolla多节点容器化环境安装

    好久没写随笔了,6月份趁着在公司没有太忙的事儿,把公司的服务器进行了虚拟化,采用的openstack当前的容器化方案kolla. 整体安装完的感受时,小白感觉自己是个大牛!哈哈,开玩笑,由于以前是开发 ...

  7. 【转】Java 项目UML反向工程转化工具

    原文链接:http://www.cnblogs.com/bakari/p/3561207.html 今天在看一个模拟器的源码,一个包里有多个类,一个类里又有多个属性和方法,如果按顺序看下来,不仅不能对 ...

  8. 初试集群虚拟化搭建(二)—— Xen, kvm, OpenStack, VMware ESXi, Citrix XenServer等种种选择

    小伙伴们找到了一些主流方案的资料,最终选择了XenServer6.5作为平台搭建. Xen 特点: 功能强大,支持Linux的各种发行版本 通常是在现有Linux操作系统上安装,是一种半虚拟化的安装方 ...

  9. 【效率神奇】Github丧心病狂的9个狠招

    Github,一个被业内朋友成为「全球最大的同性交友社区」的平台. 小时候遇到不会的字可以查新华字典.后来写作文我们可以通过作文书.或者文摘去找合适的素材.同样,写代码可以去Github上找适合自己的 ...

随机推荐

  1. PLSQ创建用户L

    1.首先使用dba权限角色登陆PLSQL 2.选择File-New-User   输入需要创建的账户及密码,选择表空间 3.一定要分配的权限:Role privileges 角色权限,至少分配conn ...

  2. wxGlade的图标,原来是来自蒙德里安的名画!

    一直用wxGlade做GUI的,今天突然发现它的图标和一副油画很像. wxGlade的图标,图标的文件名竟然就叫做mondrian.ico 蒙德里安创造了很多这种纯粹的基本要素的作品,下面是其中之一, ...

  3. HDU - 5875 Function(预处理)

    Function The shorter, the simpler. With this problem, you should be convinced of this truth.      Yo ...

  4. 特性attribute,声明和使用attribute,应用attribute,AOP面向切面,多种方式实现AOP

    1 特性attribute,和注释有什么区别2 声明和使用attribute3 应用attribute4 AOP面向切面5 多种方式实现AOP ---------------------------- ...

  5. 如何快速编写大项目的Makefile文件

    在构建C++的后台服务时,经常需要自己来编写makefile文件,而如果没有合适的方法或模板时,编写makefile文件是一件很费时费力的事情.因此,为了帮助程序员高效准确的编写makefile文件, ...

  6. Elasticsearch Query DSL查询入门

    本篇为学习DSL时做的笔记,适合ES新手,大佬请略过~ Query DSL又叫查询表达式,是一种非常灵活又富有表现力的查询语言,采用JSON接口的方式实现丰富的查询,并使你的查询语句更灵活.更精确.更 ...

  7. plsql developer 执行sql 文件

    用 Command Window,执行 @'sql file path' 注意,上面sql文件路径要加单引号

  8. 解决phpwind 9 转换到 discuz x 3.1的头像仍然不显示问题

    phpwind 9 转换到 discuz x 3.1后,按照discuz转换程序的步骤做,头像仍然不显示,后来登录后重新上传头像发现,是文件名的原因,如下操作改名即可(还好我的论坛会员不多,不然手改累 ...

  9. postman的安装和使用方法详解

    文章来源:http://www.cnplugins.com/tool/specify-postman-methods.html 非官网安装 这是一种直接通过打包已经安装的扩展程序的方式,来进行我认为的 ...

  10. 管道是如何随着WebHost的开启被构建出来的?

    管道是如何随着WebHost的开启被构建出来的? 注册的服务器和中间件共同构成了ASP.NET Core用于处理请求的管道, 这样一个管道是在我们启动作为应用宿主的WebHost时构建出来的.要深刻了 ...