OSSIM

OSSIM安装注意事项 1.如何选择OSSIM版本 SIEM (安全信息和事件管理)是软件和服务的组合，是安全信息管理和安全事件管理的融合体。SIEM可以管理企业IT资源产生的安全信息（包括日志、告警等）进行统一的实时监控误操作行为进行监控、审计分析、调查取证、出具各种报表报告。OSSIM就是开源版的SIEM，对大型企业有商业版，对于社区有开源版OSSIM，他们主要区别见表1所示。 表1 注意：OSSIM USM ALL-IN-ONE (包含Sensor、Framework、Server、Database) 由于低版本的OSSIM架构相对简单，运行环境要求比较低，所以初学者建议使用低版本的OSSIM，当你对OSSIM原理有深刻理解之后可以在AlienVault官网下载新版继续研究。假如一个初学者使用OSSIM的最新版，你会遇到一些你无法解释通的困惑。 [OSSIM4网盘下载( https://pan.baidu.com/s/1i3l9COH ) （适用于机器内存小于8G的用户） [OSSIM5网盘下载 ( https://pan.baidu.com/s/1ptphG ) （适用于机器内存小于16G的用户） 2.OSSIM安装准备 凡事预则立，不预则废,下面几个问题需要你慎重考虑： （1）首先确定监控范围，需要监控几个网段的多少台服务器，每台设备的日最高流量为多大（需要按峰值考虑）

中国科学院国家科学图书馆立足中国科学院、面向中国，主要为自然科学、边缘交叉科学和高技术领域的科技自主创新提供文献信息保障、战略情报研究服务，同时该中心为国际图书馆协会与机构联合会（IFLA）成员。网址： http://www.las.ac.cn/ 国内网络安全SIEM领域又一开荒之作《开源安全运维平台OSSIM疑难解析》丛书（入门篇、提高篇）再次获中科院图书馆永久收藏。该套丛书是自《开源安全运维平台OSSIM最佳实践》之后，经过近三年时间打磨的又一本OSSIM学习教程，其中汇集了本人在中国电信、移动、华为、中石化、清华、北大等科研机构，实施OSSIM项目过程中所沉淀下来的大量技术创新成果。 来源： 51CTO 作者： 李晨光 链接： https://blog.51cto.com/chenguang/2441749

当遇到SSH异常行为时我们通常选择手动或者去日志服务器上被动查看和分析日志，这样往往无法实时发现可以IP的异常行为，下面通过OSSIM平台通过大数据分析智能的筛选出疑似Attack行为。 通过OSSIM报警平台实时观察到网络异常行为报警 图1 网络异常行为可视化 点击气泡图中某天的一条报警聚合信息 图2 查看详细事件 图3 查看疑似异常行为主机的网络信息以及IP地理位置信息 图4 来源： 51CTO 作者： 李晨光 链接： https://blog.51cto.com/chenguang/2457339

企业应该投资并部署开源SIEM（安全信息和事件管理）工具吗？SIEM是现代企业网络安全的重要组成部分。实际上，SIEM解决方案提供了关键的IT环境保护和合规性标准实现。只有通过日志管理，安全分析和关联以及报告模板，企业才能抵御现代网络攻击。 　　 　　但是，SIEM也会给你的企业IT部门带来严重问题。通常，SIEM的部署和维护成本高昂；其解决方案在资源和时间方面都需要运营成本。此外，SIEM在部署时需要不断进行调整和评估，以确保最佳性能。所有这些都可能让企业放弃部署SIEM解决方案。 　　然而，你的企业可能有获得所需重要安全分析的途径：开源SIEM。 　　什么是开源SIEM？ 　　开源SIEM工具从字面上向公众开放他们的网络安全设计。这使IT专业人员可以更自由地修改和共享工具代码，提供重要的可定制性和适应性。 　　通常，企业可以免费获得这些开源InfoSec工具；因此，与完整的企业级解决方案相比，企业在部署和维护时所面临的成本负担较小。虽然免费的SIEM工具无法提供企业级解决方案的全面性，但开源SIEM确实以合理的成本提供可靠的功能。值得注意的是，一些免费的SIEM工具不会对其使用或保留的数据施加限制，这使其吸引了很多中小型企业（SMB）。 　　为了帮助你企业找到理想的免费安全分析工具，以下提供了10种最佳开源SIEM工具列表，供你参考和选择！ 　　SIEMonster 　

基于Web方式的数据包捕获实践 实验环境 ：下文基于 OSSIM 4. 15.2 平台得出实验结论。 抓包是运维的必备技能，很多网络故障需要靠抓包来解决,如常见的ARP欺骗和广播风暴。另外还有一些网线或光纤接触不好的故障，不抓包也很难分析出来，例如两个公司之间互联，网线测试都没问题，但始终不通。经过抓包分析表明，发现其他单位的ping请求都伴随着ARP查询，而不走路由，这时怀疑有可能掩码设置错误的问题，经仔细排查，确实是路由器上的掩码出现失误。抓包工具有不少但选择一款适合你的工具非常重要。 本文主要为大家介绍OSSIM环境中，故障排除利器—基于Web的数据包分析工具，它是Wireshark的另一种表现形式，这和CloudSharkAppliance(cloudshark.org)的表现手法非常类似。如下图所示。 从功能上看这种基于 Web 的抓包分析工具是 Wireshark 的精简版。它的优势在于远程客户端，通过 Web 界面就可以实现在服务器端抓包，还能够抓到不同传感器（能收集不同网段的信息）所检测的数据包异常。在阅读本章时，需要读者具备网络嗅探与数据报分析的基础知识，具有一定 Wireshark 抓包经历。 过去，分析网络故障常在一个系统中用tcpdump抓包，将包保存起来，再导入Wireshark在进行分析。不过现在使用OSSIM WebUI下的Traffic

2019独角兽企业重金招聘Python工程师标准>>> 关闭OSSIM防火墙 通过修改配置文件来关闭防火墙，就不介绍了，下面讲讲如何直观的帮助小白关闭OSSIIM防火墙。 1.通过终端控制台关闭。 无论你是远程连接到OSSIM还是直接到服务器上操作，请打开终端控制台。 2.在Web UI中关闭。 本文出自 “ 李晨光原创技术博客 ” 博客，请务必保留此出处 http://chenguang.blog.51cto.com/350944/1665103 转载于:https://my.oschina.net/chenguang/blog/613904 文章来源: https://blog.csdn.net/weixin_33739627/article/details/92045186

2019独角兽企业重金招聘Python工程师标准>>> 用OSSIM轻松分析网络设备日志 基于插件的日志收集与处理模式，使得用户可以轻松的利用OSSIM来分析异构网络环境下的各种网络设备日志，下面展示一些硬件设备日志的实例，我们在RAW LOG界面里，搜索栏输入Cisco关键词，立即列出数据源中已有Cisco 路由器、防火墙、交换机等各种搜索条件，你只要知道硬件型号基本都能找到对应数据源。首先以思科ASA防火墙为例来为大家说明。 在系统中通过饼图将各类日志直观的展现给用户，便于查阅。 从网络设备日志收集的日志，经过插件归一化处理之后，转换为标准化事件， 上面显示的这十几个大类，仅通过事件名就能猜出来吧。下面，我们以ASA:ICMP Denied事件为例，看看深入发现什么端倪。首先这种ICMP事件发生了11,189次，而且每条事件详情如下图所示。 其实原始日志为: Aug 24 22 : 26 : 59 Sensor % ASA - 3 - 313001 : Denied ICMP type = 8 , code = 0 from x5 . y6 . z41 . 13 on interface outside 如果让你长期看这些单调的原始日志，肯定会发疯的。还是Cisco ASA插件帮忙，才能把日志处理的如此利索。插件到底是个什么东西？下面看个例子（以OSSIM中 Cisco

　　OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据，然后按照一种标准方式有序发给OSSIM Server，Agent收集到数据后在发送给Server之前要对这些数据进行归一化处理，本文主要就如何有序发送数据与如何完成归一化进行讨论。 　　OSSIM传感器在通过GET框架实现OSSIM代理和OSSIM服务器之间通信协议和数据格式的之间转换。下面我们先简要看一下ossim-agent脚本： 　　#!/usr/bin/python -OOt 　　import sys 　　sys.path.append('/usr/share/ossim-agent/') 　　sys.path.append('/usr/local/share/ossim-agent/') 　　from ossim_agent.Agent import Agent 　　agent = Agent() 　　agent.main() 　　这里需要GET作为OSSIM代理向OSSIM服务器输送数据。实现紧密整合所需的两个主要操作是“生成”(或)OSSIM兼容事件的“映射Mapping”)和此类数据向OSSIM的“传输”服务器。它负责此类操作的GET框架的两个组件是EventHandler和Sender Agent，如图1所示。 　　图1 将Get框架内容集成到OSSIM 　　Event

基于OSSIM 的开源安全运维平台 一个安全运维平台能否有效就要看收集数据的能力,如果数据源都有缺失,那上层的关联分析很可能会产生偏差。对于网络安全设备而言,主要采集其安全日志(包括报警)和设备运行状态信息。这本OSSIM最佳实践向您展示了其基于插件的强大数据采集和处理能力。 然而目前市场上的安全设备的输出信息随着设备种类和生产厂家的不同都有所不同,并且没有一个统一的标准来格式化所有的安全日志。因此,同时收集多源异构安全设备的数据,除了OSSIM之外的各类开源工具都是一个复杂而艰难的过程。 OSSIM连续4年进入Gartner信息安全与事件管理（SIEM）魔力象限也是有他的道理。 1.安全运维平台基本功能 网络管理的功能组成包括:、配置管理、性能管理、变更管理、安全管理、故障管理等。从网管角度来说,最根本的需求就是在一个统一的界面中监控网络中所有安全设备的实时运行状态,将其产生的所有报警及日志信息进行统一收集、集中分析和定时审计;并且能在一个平台中完成安全产品的更新升级、入侵事件的报警、响应处理等功能。在你没有体验过OSSIM之前，这些功能只是梦想。为了实现这个梦想，你会搭建一大堆开源系统，数据分散在各个平台之上。很多人会把他们视为“自动化运维系统”。 当你使用过OSSIM之后，能感觉到这种系统将处于不同安全设备、不同管理系统中无序并分散的海量安全事件进行收集、过滤、关联分析

OSSIM平台安全事件关联分析实践 在《开源安全运维平台OSSIM最佳实践》一书中叙述到，事件关联是整个OSSIM关联分析的核心，对于OSSIM的事件关联需要海量处理能力，主要便于现在需要及时存储从设备采集到的日志，并能关联匹配和输出，进而通过Web UI展示。从实时性上看，关联分析的整个处理过程不能间断，这对系统的实时性要求较高，另外Ossim系统是基于规则的，Ossim内部具有多套高速规则分析引擎，以实现模式匹配和对关联分析结果调用。所以系统的关联引擎是一个典型数据处理系统，必须依靠强大的数据库做支撑，在开源OSSIM系统中就采用了基于MySQL5.6数据库的数据库，在商业版采用MonogDB。 普通日志存入数据库较容易，但如果是关联引擎将报警存入数据库的过程要复杂，到底它的压力在哪儿？例如一个关联规则需要在1秒钟内，通过SQL语句获取10条数据，那么关联引擎就需要在1秒钟内进行10次磁盘存取，这个要求就比普通日志存入数据库高，而OSSIM数据库中的表、字段、索引都为了这种事务处理进行特殊设置，具有一次写多次读的特性。对于复杂模式的匹配非常有用，例如，筛选出1分钟内SSH登录服务器，失败次数超过5次的源IP地址，关联分析引擎将定时进行SQL访问，找到某个符合要求的事件记录。 许多安全管理者抱怨，已经设置了防火墙、入侵检测、防病毒系统、网管软件，为什么网络安全管理仍很麻烦