OSSIM安裝使用教程（OSSIM-5.6.5）

一、說明

1.1 相關概念說明

SEM，security event management，安全事件管理，指對事件進行實時監控，收集信息差展生通知和告警的行為。

SIM，security information management，安全信息管理，指對SEM收集和產生的數據進行長期保存以供歷史和趨勢分析的行為。

SIEM，security information and event management，安全信息和事件管理，即SEM和SIM的結合體。

SOC，security operations center，安全運營中心。

TI，Threat Intelligence，威脅情報。SOC偏重內部網絡態勢感知，而TI偏重於外部網絡態勢感知比如新出了什么漏洞、病毒、安全事件等等。

SA，situational awareness，態勢感知。

SRC，Security Response Center，安全響應中心。狹義上只是一個提交產品漏洞的入口，但廣義上包含各種安全系統及系統維護人員。

他們的關系是：SRC > SA >= SOC [ + TI ]  >= SIEM = SEM+SIM。

一款典型的SIEM產品具有以下功能：資產發現、漏洞掃描、入侵檢測、日志存儲分析和可視化展示。

參考：

https://en.wikipedia.org/wiki/Security_information_and_event_management

https://en.wikipedia.org/wiki/Information_security_operations_center

https://en.wikipedia.org/wiki/Situation_awareness

https://help.aliyun.com/knowledge_detail/42302.html

 

1.2 OSSIM是什么

OSSIM是SIEM的代表性產品，在產品形式上和Kali類似是一個基於Debain進行二次開發的Linux發行版，當前5.6.5版本基於Dibian 8（jessie）。

OSSIM使用Nmap等實現資產發現、使用Nessus等實現漏洞掃描、使用Snort等實現入侵檢測、使用MySQL等進行數據存儲，自己實現的部分主要是工具、數據整合和可視化展示。

李晨光OSSIM博文：http://blog.51cto.com/chenguang/category10.html

 

二、OSSIM安裝

2.1 下載

ISO文件下載地址：https://www.alienvault.com/products/ossim/download

 

2.2 硬件資源需求

基礎配置：CPU----2*2，內存----8G，硬盤----20G以上

以下是我安裝完成后未創建任何掃描等任務時的CPU、內存、磁盤使用情況。

 

2.3 安裝准備

VMware就和普通虛擬機一樣，創建Linux虛擬機設置好ISO文件即可。不過要注意操作系統選Debian（第幾版本倒影響不大），我選CentOS的時候發現是直接運行iso了並沒有進入安裝。

真機安裝就用UltraISO等制作一下啟動盤，然后從U盤啟動即可，后續安裝步驟就完全和虛擬機安裝一樣。不過我在一台真機安裝有一個問題，完成后啟動時一直停在"loading,please wait“並沒有正常出現登錄界面，不知是某些機器的bug還是普遍存在（注意這不是操作系統啟不來，此時系統和應用都已經啟來了，使用安裝時設置的ip和密碼通過ssh上去即可正常使用）。

 

2.4 安裝過程

其實Linux安裝都大同小異都是選語言、選時區、設密碼那幾步，下面簡單截一下圖。

選OSSIM。OSSIM包含服務器組件+Sensor，Sensor相當於一個Client。

 

語言選擇，簡體中文支持似乎說不太好，直接英文即可要選中文也可以。

地區選擇，由於操作系統根據選擇的地區確定系統使用的時區，為了時間是本地時間我們要正確選擇中國。

操作系統編碼，默認即可

鍵盤，默認即可

下幾步是網絡設置，為了避免安裝完后還要手動糾正網絡這里最好正確填寫要設置的ip、掩碼、網關。

子網掩碼

網關

DNS，最多可以設置3個，使用空格隔開即可

root用戶密碼

 物理機安裝時還有個划分磁盤的操作，但虛擬機安裝沒看到直接進入了安裝，問題不大意思懂得就行。

上邊的安裝過程需要二三十分鍾，安裝過程可能會出現黑屏，敲擊任意鍵喚醒屏幕即可。

安裝的最后會運行cdsetup的程序，這個程序主要是創建OSSIM相關的數據庫。

 

三、登錄使用

3.1 操作系統登錄使用

系統安裝完成后，自動重啟進入界面如下，使用安裝時自己設定的密碼登錄即可

（如果虛擬機沒有安裝過程而是直接運行了iso那默認是root/toor）

登錄后進入AlienVault Setup界面如下，這其實是一個名為ossim-setup的程序。

基本配置在AlienVault Setup進行操作即可，如果想要進入系統，那就下移到”Jailbreak System“菜單進入

選擇Yes回車進入

如果想回到AlienVault Setup，退出重新登錄即可，當然也可以直接輸入ossim-setup。

 

2.2 Web登錄使用

在登錄界面和AlienVault Setup界面都可以看到有提示ossim的url，直接在瀏覽器訪問該鏈接即可。

首次登錄需要設置admin的密碼，medium以上強度即可

然后會自動跳轉登錄界面，使用admin和上邊設定的密碼進入即可。

 首次登錄需要進行幾步設置，不過基本都直接NEXT即可。

選擇網卡，直接NEXT

當前掃描到的資產，直接NEXT

安裝基於主機的入侵檢測系統。windows主機需要輸入域管理賬號Linux機器需要輸入主機賬號，然后在在右邊選中機器，然后點擊DEPLOY進行安裝。

我們不安裝，直接NEXT。

 

 日志管理。我這里是虛擬機所以沒有什么直接SKIP THIS STEEP，有也是直接NEXT。

OTX即Open Threat Exchange，威脅情報交換，自己注冊個賬號去登錄即可。我這里直接SKIP THIS STEEP

 

 進入OSSIM

此時終於進入見到OSSIM的廬山真面目

dashboards菜單----可視化圖表

analysis----用於篩選查看收集到的數據

environment----資產清單、漏洞掃描、流量監控等重要功能就在這里

reports----顧名思義就是生成和查看各種報告的地方

configuration----web系統匹置菜單

OSSIM也就以上幾個菜單的功能，復雜度都不及ELK和Zabbix自己隨便點點玩玩就差不多了。