OSSIM

浅析SIEM、态势感知平台、安全运营中心

我的梦境 提交于 2020-12-26 18:33:53
近年来SIEM、态势感知平台、安全运营中心等概念炒的火热,有的人认为这都是安全管理产品,这些产品就是一回事,有人认为还是有所区分。那么到底什么是SIEM、什么是态势感知平台、什么是安全运营中心,他们之间有什么联系和区别呢? 一、SIEM SIEM英文是security information and event managemen安全信息和事件管理 SIEM是一个由多个监视和分析组件组成的安全系统,旨在帮助组织检测和减轻威胁 一款典型的SIEM产品是将许多其他安全规则和工具结合在一个综合的框架下形成的一个合集。 典型的包括以下模块 日志管理(LMS)——用于传统日志收集和存储的工具。 安全信息管理(SIM)——集中于从多个数据源收集和管理与安全相关的数据的工具或系统。例如,这些数据源可以是防火墙、DNS服务器、路由器和防病毒应用程序。 安全事件管理(SEM)——基于主动监视和分析的系统,包括数据可视化、事件相关性和警报 大多数的SIEM包括以下元素 1、安全数据采集 主要是基于安全日志数据,日志表示在数字环境中运行的进程的原始输出,是提供实时发生的事情的准确图像的最佳来源,因此是SIEM系统的主要数据源。无论是防火墙日志、服务器日志、数据库日志,还是在实际网络环境中生成的任何其他类型的日志,SIEM系统都能够收集这些数据并将其存储在一个中心位置以进行扩展的保留

可视化Snort报警

*爱你&永不变心* 提交于 2020-08-11 20:30:33
可视化Snort报警 Snort默认输出报警内容存储在专门的报警文件里,由于没有专门的可视化界面,即使是专业的分析人员在查阅这些报警文件时非常不方便。大约在2000年,出现了ACID(Analysis Console for Intrusion Databases)这款工具,这也是最早的一款有关Snort报警可视化工具,再次之后还出现过Snorby开源可视化工具,由于他安装比较复杂又不是ACID分支,故在本文不做详细介绍。 第一代:ACID可视化效果** ACID出现年代比较久远当时的可视化效果非常弱,只有简单的柱状图显示。 图1 首次出现的ACID主界面 图2 改良之后的ACID主界面 第二代:BASE可视化效果 2003年ACID停止开发,进而演化出它的更新版本BASE,它提供了更强大的图形化分析和检索功能。不过BASE的生命终结于2011年,之后,BASE继续发展集成到OSSIM系统控制台中。 下面为大家介绍的BASE开源工具中就提供了将Snort报警数据通过图表(可以生成柱状图、折线图以及饼图)的方式展现给用户的功能。操作步骤如下: 步骤1:在BASE首页选择“Graph Alert Data”按钮 第三代:BASE升级版 BASE在2010年停止开发之后,将他升级版融入到OSSIM的仪表盘以及SIEM事件分析控制台当中,下面我们看看2011年出现的OSSIM 2

网络分析与监控专题 [购课送配套图书]活动截止日期7-1

戏子无情 提交于 2020-08-05 08:55:46
本课程介绍了IDS基础,重点讲解了Ubuntu、CentOS环境下的Snort安装配置包括数据存储数据展现的完整过程,而且从OSSIM安装故障讲起逐步涉及到OSSIM远程连接、添加插件并捕获事件、再到分布式环境部署。 URL: https://edu.51cto.com/topic/1987.html 来源: oschina 链接: https://my.oschina.net/u/4257044/blog/4326086

OSSIM架构与组成综述

瘦欲@ 提交于 2020-03-09 10:11:28
OSSIM架构与组成综述 OSSIM布道师 李晨光 一、背景 如果运维工程师手里没有高效的管理工具支持,就很难快速处理故障。市面上有很多运维监控工具,例如商业版的 Solarwinds、ManageEngine以及WhatsUp等,开源的MRTG、Nagios、Cacti、Zabbix、OpenNMS、Ganglia等。 由于它们彼此之间所生成的数据没有关联,无法共享,即便部署了这些工具,很多运维人员并没有从中真正解脱出来,成千上万条警告信息堆积在一起,很难识别问题的根源,结果被海量日志所淹没,无法解脱出来。 另外在传统运维环境中,当查看各种监控系统时需要多次登录,查看繁多的界面,更新管理绝大多数工作主要是手工操作,即使一个简单的系统变更,需要运维人员逐一登录系统,若遇到问题,管理员便会在各种平台间来回查询,或靠人肉方式搜索故障关键词,不断的重复着这种工作方式。企业需要一种集成安全的运维平台,满足专业化、标准化和流程化的需要来实现运维工作的自动化管理,通过关联分析及时发现故障隐患,这种优秀的开源平台叫做OSSIM即开源安全信息管理系统(Open source Security Information Management),下面让我们认识一下OSSIM的基本结构和组成 从架构上来看,OSSIM系统是一个开放的框架,它的核心价值在于创新的集成各开源软件之所长,它里面的模块既有C

OSSIM中主动与被动探测工具(pads+pf0+arpwatch)组合应用

拥有回忆 提交于 2020-03-09 10:00:32
OSSIM中主动与被动探测工具(pads+pf0+arpwatch)组合应用 OSSIM 不仅降低了大家涉足 IDS 的门槛,而且为各种复杂的应用提供了一种快捷的平台,其中核心技术之一就是基于插件的事件提取,系统内置的 180 插件,几乎囊括了各大硬件设备厂商和各种网络应用。下面对 OSSIM3 下把一些不起眼的小工具组合起来,就能为你解决大问题。下面就对pads+p0f+ arpwatch的使用 进行简单说明。 工具介绍 对于下面介绍的这些开源工具,在OSSIM中无需安装配置,你只要懂得如何应用就OK。 Arpwatch: 这款工具主要功能是监听网络中的 ARP 记录,它可用来监控 Linux 上的以太网地址解析 (MAC 和 IP 地址的变化 ) 。它在一段时间内,持续监控以太网活动并输出 IP 和 MAC 地址配对变动的日志。对地址配对的增改发出警告,这对于检测网络上的 ARP 攻击非常有用,对于有时候临时上线服务器的检测也能及时发现。 OSSIM 中启用 arpwatch插件实现主动检测,这样 非常方便,只需要在检测插件中选择 arpwatch 即可,系统同就会为您自动安装并配置完毕, 如下图所示。 p0f: 它是 一款被动式的指纹识别工具,它通过分析网络通信识别远端的操作系统。 ossim31:~# p0f p0f - passive os fingerprinting

【识记 烂笔头】

十年热恋 提交于 2020-02-25 10:04:26
1.在线客服系统--乐语 2.开源信息安全管理平台-OSSIM   OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等开源系统安全软件)。在一个保留他们原有功能和作用的开放式架构体系环境下,将他们集成起来。而OSSIM项目的核心工作在于 负责集成和关联各种产品提供的信息,同时进行相关功能的整合。由于开源项目的优点,这些工具已经是久经考验,同时也经过全方位测试、可靠的工具。 3.被黑网站统计: http://www.zone-h.com.cn/ 4.可以下载ISO的网址 http://www.filewatcher.com/ 5.AIX的论坛 http://www.aixchina.net/ 6.知道创宇公司 http://tech.huanqiu.com/view/2014-11/5206445.html 7.安全联盟 http://www.anquan.org/ 8.IBM AppScan http://www-01.ibm.com/support/knowledgecenter/ 9.渗透测试培训 http://www.xiaosedi.com/ 10.Windows 2K3 序列号 http://blog.chinaunix.net/uid-26204366-id

程序员必看:如何处理突发的程序故障?

陌路散爱 提交于 2020-01-22 23:07:11
在互联网公司中,大家常提到的是用代码“改变世界”的开发人员。其实,产品上线和维护,除了开发,还有一个岗位也肩负着重要责任。 他们随时待命,遇到系统故障要立马解决,还要为项目上线、维护、更新等重大事情提供IT资源,让产品能如期运转。 他们就是运维工程师,就像急诊科医生一样,总是临危受命,抢救项目于水火。 但这种临危不乱,快速解决问题的技能并非人人都会的。在未来,IT岗位越来越需要综合能力强的人员,无论是开发还是运维,在知识体系上有所重合。运维需要了解开发,而开发也需要掌握运维基础。 下面为大家分享优秀的运维工程师必备的两项技能吧!作为新手运维和其他互联网岗位的人员学习参考。 面对问题和故障 与其他Linux系统一样,在学习OSSIM的过程中也会出现各种问题和故障。由于网上能直接找到的资料有限,所以很多新手都担心出现问题,在面对问题时都很局促,特别是当一个个问题接踵而来时会显得无可奈何。 学习OSSIM可以充分暴露你的“知识短板”,这体现在编程语言、数据库、操作系统、TCP/IP、网络安全的各个方面。 不过通过解决OSSIM中遇到的问题,就会逐步弥补这些短板。学习就是一个发现问题与解决问题的过程,只要掌握了OSSIM的体系结构和运行原理,很多问题都可以迎刃而解。 当然,前提是我们已经具备了下面所列的这些扎实的基本功: ◎ 有一定的英文水平; ◎ 了解网络原理尤其是TCP/IP的内容;

用Doxygen+GraphViz生成OSSIM源码中函数关系调用图

给你一囗甜甜゛ 提交于 2020-01-15 16:06:22
在阅读OSSIM源码时经常要参阅代码中函数调用图,下面我们采用Doxygen+GraphViz的方式生成这种图像,由于OSSIM大多数源码的函数调用非常复杂,这先上两张简单的PNG图片。 OSSIM V 2.1 源码: https://github.com/ossimuser/OSSIM 图1 sim-log.c函数关系调用 图2 ossim.h头文件中的函数调用关系 图3 sim-container.h头文件文件中函数调用关系 Tips: Doxygen+GraphViz组合的安装在Windows、Linux、Mac平台都有相关安装资料,这里不详细叙述。 来源: 51CTO 作者: 李晨光 链接: https://blog.51cto.com/chenguang/2466906

用开源工具OCSNG管理资产信息

泪湿孤枕 提交于 2019-12-10 15:16:08
用开源工具OCSNG管理资产信息 (本文提供软件和部署视频) 今天为大家介绍的OCS,它能帮助管理员掌握计算机软件安装和配置,通过Web界面自动为你的资产建立好台账。它的Server和Agent通讯基于B/S架构,而对用户而言,可以通过已B/S方式来查询资产的状况。OcsNG既可以架构在Windows平台也可以是Linux/UNIX平台,前提需要准备好LAMP环境。 一、系统部署 通过首先介绍Windows环境下安装OCSNG-Server,因为在Windows环境下无需考虑各种包的依赖关系,也不用进行繁琐的配置,可谓是傻瓜化安装,特别适合初级管理员,软件下载和环境下面做个基本介绍。 通信服务器:为网络Agent远程通信链路,用来传送文件或信息提供通信服务。 部署服务器:用来为客户机批量部署Agent。 数据库:存储资产信息。 下面的实验在假设OCS Inventory Server IP为 192.168.11.125。 下载 OCSNG-Windows-Server-Setup.exe 下载 OCSNG-Windows-Agent.exe 安装包中集成了 XAMPP 环境,如果机器系统中已安装了 AMP 环境,请删除干净。 默认安装目录为 c:\xampp\ 路径也修改为其他盘符。 选择完全安装。 系统会自动配置 Apache 环境, 选择 OCS Inventory NG