下載地址 http://www.alienvault.com
OSSIM通過將開源產品進行集成,從而提供一種能夠實現安全監控功能的基礎平台。它的目標是提供一種集中式、有組織的,能夠更好地進行監測和顯示的框架式系統。OSSIM 明確定位為一個集成解決方案,其目標並不是要開發一個新的功能,而是利用豐富的、強大的各種程序(包括Mrtg、Snort、Nmap、Openvas以及Ntop等開源系統安全軟件)。在一個保留它們原有功能和作用的開放式架構體系環境下,將它們集成起來。到目前為止,OSSIM支持多達兩千多種插件,由於開源項目的優點,這些工具已經久經考驗,同時也經過全方位測試,更加可靠。
1,安裝
創建虛擬機的過程就不多說了,大概流程如下:在"Install OSSIM"界面,點擊"Install AlientVault OSSIM 5.0 (64 Bit)"(此為混合安裝模式,下面那個是sensor,也就是一般所謂的收集信息的代理端);之后"選擇你的區域"界面,,"配置鍵盤","配置網絡"界面, "設置用戶和密碼"。然后,就可以慢慢坐等安裝結束,大約半小時多點。
PS:先廢話幾句,以為5.X版本會解決這個語言問題的,但是仍然沒有,就是安裝時候選中文安裝,我這破筆記本老提示找不到網卡,后來先英文,等裝到選擇網卡,設好IP后,在回頭把語言改掉,這樣就出現中文的網卡界面了(如下圖)。
但是最后仍然不行,這樣安裝完成重啟后,會一直重復下面這畫,按說已經裝好了,但是就是訪問不了IP(可以ping,但是80,443沒開)。后來改成選英文安裝就一路暢通了。
裝完特意看一下VM的網卡型號
# dmesg | grep -i eth0
[ 1.991566] e1000 0000:02:00.0 eth0: (PCI:66MHz:32-bit) 00:50:56:3e:44:55
[ 1.991573] e1000 0000:02:00.0 eth0: Intel(R) PRO/1000 Network Connection
intel的網卡,看來純粹是中文的問題了(就像前段時間安裝Ubuntu Server 16一樣,中文的就是不行,英文的一路OK)
2,配置
第一次訪問,需要在"Administrator Account Creation"界面輸入FULL NAME、PASSWORD、EMAIL等項,點擊"START USING ALIENVAULT";然后會跳轉到登錄界面,輸入USERNAME和PASSWORD,點擊"LOGIN"; 在"Welcome to the AlienVault OSSIM Getting Started Wizard"界面,點擊"START",進行配置; 在"Configure Network Interfaces"界面,列出作為服務端的主機的網口信息,沒什么要修改的,直接點擊"NEXT";在"Scan & Add Assets"界面,系統會自動探測出局域網內的主機(也可以手動探測),篩選出要進行監控的資產,點擊"NEXT"; 在"Deploy HIDS to Servers"界面,選擇需要部署HIDS agent的主機,輸入該主機的Username和Password,先后點擊"DEPLOY"和"CONTINUE"即可,部署完成之后,點擊"NEXT";在"LOG MANAGEMENT"界面,確認相應的網絡資產的Vendor、Model和Version,點擊"ENABLE"即可安裝數據源插件,也可以點擊"SKIP THIS STEP"來略過該步; 在"JOIN OTX"界面,需要注冊並輸入TOKEN,也可以點擊"SKIP THIS STEP"來略過該步,最后點擊"FINISH"來結束配置;
說明,OTX是注冊后再https://otx.alienvault.com/api/頁面的右上角找到
3,管理
配置完成之后,就可以通過Web界面進行管理了,訪問前面配置的ip:https://192.168.1.134
在"DASHBOARDS"界面,可以通過視圖直觀地查看系統當前狀態等;在"ANALYSIS"界面,可以對網絡行為進行異常分析,可以告警聚合等;在"ENVIRONMENT"界面,可以通過"Enable Availability Monitoring"實現Nagios監控,可以執行漏洞掃描,可以詳細顯示資產細節(漏洞、報警、事件、可用性、服務、所屬組)等; 在"REPORTS"界面,可以查看系統報告等;在"CONFIGURATION"界面,可以快速預覽你的資產,可以進行系統備份等。
- 上來先掃描一下自己的網段
效果還可以
- 再去看各種報表
報告支持iso27001,PCI-DSS 3.0等安全標准要求,還是很不錯的。
下載生成后的PDF
- 用戶操作記錄也很詳細
具體怎么使用的我就不介紹了,裝了后看圖示就基本能清楚了,用起來還是比較簡單的,要是用不來,可以看看《開源安全運維平台OSSIM最佳實踐》,這書寫的還是比較全面的,看介紹和頁數,應該可以。
4,觀察一下console端如何
[root@node222 test]# ssh 192.168.1.134
The authenticity of host '192.168.1.134 (192.168.1.134)' can't be established.
RSA key fingerprint is 7b:4c:3b:c6:2b:f1:08:af:12:6c:43:5e:f3:be:8c:e0.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.134' (RSA) to the list of known hosts.
root@192.168.1.134's password:
=========================================================================
=========================================================================
== _ _ _ _ ==
== __ _ | | (_) ___ _ __ __ __ __ _ _ _ | | | |_ ==
== / _` | | | | | / _ \ | '_ \ \ \ / / / _` | | | | | | | | __| ==
== | (_| | | | | | | __/ | | | | \ V / | (_| | | |_| | | | | |_ ==
== \__,_| |_| |_| \___| |_| |_| \_/ \__,_| \__,_| |_| \__| ==
== ==
=========================================================================
===================== http://www.alienvault.com ========================
=========================================================================
==== Access the AlienVault web interface using the following URL: =====
=========================================================================
Hostname 'alienvault' (192.168.1.134)
-----------------------------------------------------------------------------------------------------------------------
+--------------------AlienVault Setup----------------------+
| AlienVault Setup |
| +------------------------------------------------------+ |
| | 0 System Preferences | |
| | 1 Configure Sensor | |
| | 2 Maintenance & Troubleshooting | |
| | 3 Jailbreak System | |
| | 4 Support | |
| | 5 About this Installation | |
| | 6 Reboot Appliance | |
| | 7 Shutdown Appliance | |
| | 8 Apply all Changes | |
| | | |
| +------------------------------------------------------+ |
+----------------------------------------------------------+
| < ?? > < Exit > |
+----------------------------------------------------------+
Access the AlienVault web interface using the following URL: https://192.168.1.134/
下面選擇第三項,就可以進去了
+--------------------Jailbreak Commandline notice----------------------+
| |
| |
| Jailbreak Commandline notice. |
| |
| Hey! Please do us a favor, you want to get full commandline access - |
| can you take a minute and explain to us what you are trying to do? |
| This will help us improve the product and make it easier for you in |
| the future. |
| |
| Read more at http://www.alienvault.com/jailbreak |
| |
| |
| Do you want to continue? |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
+----------------------------------------------------------------------+
| < ? > < ? > |
+----------------------------------------------------------------------+
Starting shell
alienvault:~# netstat -nltp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2654/mysqld
tcp 0 0 0.0.0.0:40011 0.0.0.0:* LISTEN 871/apache2
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 3225/redis-server
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 1557/memcached
tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 1308/openvasmd
tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 18609/openvassd: wa
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 871/apache2
tcp 0 0 0.0.0.0:4369 0.0.0.0:* LISTEN 1340/epmd
tcp 0 0 0.0.0.0:4949 0.0.0.0:* LISTEN 19853/munin-node
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3546/sshd
tcp 0 0 0.0.0.0:3000 0.0.0.0:* LISTEN 2929/ntop
tcp 0 0 0.0.0.0:56216 0.0.0.0:* LISTEN 1378/beam
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3192/master
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 871/apache2
tcp 0 0 0.0.0.0:40001 0.0.0.0:* LISTEN 9625/ossim-server
tcp 0 0 0.0.0.0:40002 0.0.0.0:* LISTEN 9625/ossim-server
tcp 0 0 0.0.0.0:40003 0.0.0.0:* LISTEN 20601/python
tcp 0 0 0.0.0.0:40009 0.0.0.0:* LISTEN 9625/ossim-server
tcp6 0 0 :::22 :::* LISTEN 3546/sshd
tcp6 0 0 :::3128 :::* LISTEN 20952/(squid)
tcp6 0 0 :::5672 :::* LISTEN 1378/beam
alienvault:~#
開的服務還真多,我這很多東西還沒打開,否則更多。
5,小結
之前一直覺得OSSIM用起來不錯,對於網絡的威脅至少能夠感知不少,還帶了掃描器,可以主動去評估資產,但是如果作為一款日志分析產品而言,由於近二年的大數據平台以及ELK、kafka等日志處理相關產品的發展,個人感覺OSSIM已經不適合大中型企業日志分析發展的需要了,最關鍵的原因是性能問題,不適合分布式的部署,很容易產生瓶頸。
https://otx.alienvault.com/settings/