Ossim主要功能实战
OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台将Nagiso,Ntop,Snort,Nmap等开源工具集成在一起提供综合的安全保护功能,而不必在各个系统中来回切换比较麻烦,而且统一了数据存储,人们能得到一站式的服务,这就是OSSIM给我们带来的好处。当Ossim系统安装完毕后,我们在输入Web地即可打开主界面,下面的例子我们暂用ossiim3.x为平台讲解,看看它给我们提供了那些实用的功能。
一、安装
安装Ossim和普通Linux发行版没有什么区别,在企业环境部署的时候参照前面一节讲解的Ntop原则,硬件选择方面我们部署Ossim需要独立的一台高性能服务器(内存呢至少8G以上且配备了多处理器,硬盘空间不低于1TB),安装选择自定义安装,到分区选项中我们选择Guided-useentirediskandsetupLVM;分区定义时不要选择"Allfilesinonepartition"而需要选择第三项将/home,/usr/,/var,/tmp分为独立分开。
由于篇幅所限,安装的其他过程就不在讲解,安装时间上一般是半小时左右(更具硬件配置来定)。
安装完毕重启机器,然后再客户机输入你机器的IP地址,这里是http://192.168.150.20/
首次登陆系统输入用户admin,密码:admin,这时系统提示修改密码。
由于OSSIM是用精简的DebianLinux裁剪而成,没有图形界面。在配置好网络之后首次登陆建议进行系统升级alienvault(同时也升级漏洞库),升级方法非常简单输入:
#alienvault-update
首次升级数据量比较大,通常在300MB左右,这时需要你的网络环境比较好。这里需要注意一下整个系统的配置文件在/etc/ossim/ossim_setup.conf里配置,包含了登陆Ip信息、主机名、监听网卡名称、mysql名、Snmp、启动的Sensors类别、监听的网段等重要信息。
1.汉化问题
关于汉化的问题,OSSIM的中文语言包是"/usr/share/local/zh_CN/LC_MESSAGES/ossim.po"输入:
#msgfmtossim.pooossim.mo
因为Apache默认页面的字符编码为UTF-8,为防止每次刷新后显示乱码,需要修改"/etc/apache2/conf.d/charset"
注销AdddefaultCharsetUTF-8一行
然后启用AddDefaultcharsetgb2312,最后重启apache
#/etc/init.d/apache2restart
二、应用
通过验证进入系统后,立刻展现在我们眼前的是事件,日志和评估风险的图像,如果没有显示完整很可能你的浏览器不支持Flash插件。
可以通过监控服务器区域的网段进行扫描获取主机基本信息
点击Tools->NetDiscovery,选择手动扫描,输入CIDR地址,这里是192.168.150.0/24,表示这个网段的IP地址从192.168.150.1开始到192.168.150.254结束,扫描模式一般选择"FastScan",如果机器数量大于5台建议不要选择"FullScan",,如果扫描时间以机器数量为准。扫描完成后忘记确认"Updatedatabasevalues"更新数据库。这一步刚刚完成收集主机的基本信息的任务,下面进行更详细的主机分析-主机的安全信息和事件分析管理。
3).对指定主机进行漏洞扫描
选择Analysis-〉Vulnerabilities-〉ScanJobs-〉新建扫描任务,我们填写网段的基本信息,如上图所示
填写完毕后为确保没有错误,点击"ConfigurationCheck"对配置文件进行检查确认。整个扫描的内容之详细是你所无法想象的,一会儿我们看看结果。
上图中列出了扫描完成后自动生成的饼图,显示出当前主机的安全等级和开放的服务。深红色的区域(High27)表示高危主机有严重的漏洞,需要处理。
详情在Reports选项卡中,在这里红色区域的主机就需要工程师们仔细排查处理了,如果您觉得这还不过瘾,稍后我们会详细讲一个解漏洞扫描案例。
如果您的领导需要查看扫描报告,这时只需在ScanJobs里选择相应输出类型即可,默认系统支持excel,pdf,html,等格式输出。下图就是生成的长达143页的报告。
我们还可以对报告进行定制,在右边的Reports->Reports
在这里监控主机状态的工作变得十分容易,我们选择Assets->Assets,New添加
没有评论:
发表评论