开源USM-AlienVault OSSIM初探

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了开源USM-AlienVault OSSIM初探相关的知识,希望对你有一定的参考价值。

什么是USM,其实就是安全管理平台的百宝箱,不需要二次开发可以直接将插件嵌入到平台。整合各种功能插件、日志信息、监控信息。下面就让我们一起聊一聊OSSIM吧。


1、概述

美国公司,在德国、西班牙、英国和墨西哥设有分支机构。主要从事SIEM(SOC)相关业务。主要商业模式是推广开源的OSSIM,并提供服务收费。另自建SOC中心,号称Cloud

SIEM


2、产品情况

有三种产品:OpenSource SIMSIM ProfessionalCloud SIEMSIM Professional版本基于OpenSource SIM(OSSIM)开发,同一个分支,未注册的就是OS版,通过注册号注册成为Prof版会增加关联分析能力、一些合规性报表等。老版本的ossim的源代码把所有代码放在一个工程下面,1.0以后的版本基本都分开了,代码工程如下: 

1.agent  2.os-sim  3.server  4.web  5.ossim-gsoc2008


3、收费服务

培训、认证、技术支持和定期数据更新(通告、规则、报表、插件等)。


4、业界评价

Gartner的SOC行业分析幻方(Magic Quadrant)一直没有将其考察范围,主要因素可能是营收还比较小不满足Gartner标准,但是由于OpenSource概念行业一直对其比较关注。


5、OpenSource SIM情况

架构

系统分为SIEM、Sensor和Logger三部分。Sensor类似于采集器,但是含义更广,包含拓扑发现、漏洞信息收集等所有的信息收集功能;Logger是类似于我们通讯服务器,负责存储、备份、取证等;SIEM就是操作中心、审计、规则等等。

技术分享图片

技术分享图片

OSSIM可以分成几大部分:

           ossim-agent

           ossim-framemork

           ossim-server

           ossim-web界面

可以参考的方面

  • 基于插件的体系,灵活性比基于配置更强一些,也便于整合第三方工具;

    缺点是可能会造成一些混乱

  • 采集协议支持较为全面(很多是依赖插件完成),比如Syslog, Syslog-ng,

    SNMPv2, SNMPv3, OPSEC, HTTP,WMI, SQL, ODBC, FTP,SFTP, Socket

    UNIX, flat file, SSH, Rsync, Samba, NFS, SDEE, RDEP, CPMI多种协议

  • 利用多种开源工具无需一次开发

  • 支持无线网络的功能比较特别

  • 展现方式比较丰富,速度较慢


6、安装

安装拓扑:

技术分享图片


VMware 新建alienvault_ossim 的虚拟机,将光驱设置为下载好的iso文件就OK。


  • 在“Install OSSIM”界面,点击“Install AlientVaultOSSIM 5.0 (64Bit)”

    (此为混合安装模式);

技术分享图片

  • 在“Select a language”界面,选择“Chinese (Simplified)”,点击Continue;

技术分享图片

  • 在“选择你的区域”界面,选择“中国”,点击继续;

技术分享图片

  • 在“配置键盘”界面,选择“美国英语”,点击继续;

技术分享图片

  • 在“配置网络”界面,输入IP地址:172.16.100.100,点击继续;

技术分享图片

  • 输入网络掩码:255.255.255.0,点击继续;

技术分享图片

  • 输入网关:172.16.100.1,点击继续;

技术分享图片

  • 输入域名服务器地址:114.114.114.114,点击继续;

技术分享图片

  • 在“设置用户和密码”界面,输入Root用户的密码,点击继续;

技术分享图片

  • 安装完成之后,就可以通过Web界面进行访问了:https://172.16.100.100


7、总结

经过对代码研究,似乎代码也不是完整的(应该缺少很多规则的定义)。没有任何工程和编译说明,从代码编译出二进制包估计是不可能的。基本是个大杂烩,采用了插件的体系结构,有内置的插件,也有第三方的插件。目前的插件号称有2000多种。展现方式是比较丰富的,比如雷达图之类的。另外正式版做了大量27001PCI-DSS合规性报表(没注册码看不见内容,只能看见标题),比较符合国外的应用环境。开源版没有多条事件的关联分析能力,Prof版才有。


非常值得注意的一个事是:众包模式和大量威胁数据可能不会提高USM的有效性。这方面最权威的第三方分析机构Gartner认为,更多的数据并不一定是一件好事,如果你不能正确地分析这些数据。“我们的问题并不是缺少数据,我们缺少的是分析这些数据的智能化。”如果下一代产品可以提供智能和实用性的结合体,企业才能够获益。USM市场还有很大的可开拓的空间!




常见报错解决方法:

1、OSSIM 简体中文显示乱码问题解决
#首先是进入OSSIM的管理后台,用SSH登录后,进入系AlienVault Setup菜单,选择 3 Jailbreak system  即可使用Root权限进入后台
#修改本地化
执行 dpkg-reconfigure locales
#添加VIM对于UTF-8的支持
vi /etc/vim/vimrc
行尾添加
set encoding=utf8
set fileencodings=ucs-bom,gbk,gb2312,gb18030,utf-8,latin1
#同时指定自己的远程登录时字体编码为UTF-8


#默认安装完成没有msgfmt这个命令
apt-get install gettext


1)把/usr/share/locale/zh_CN/LC_MESSAGES/ossim.po下载到本地;
2)另存为GB2312格式;
3)用word将繁体中文改为简体;
4)修改第17行的编码,从UTF-8改成GB2312;
5)将修改后的文件上传到服务器覆盖原有的文件;
6)按照网上的方式运行msgfmt ossim.po -o ossim.mo
7)修改apache配置文件:/etc/apache2/conf.d/charset,在最后增加“AddDefaultCharset gb2312”;
8)重启apache:/etc/init.d/apache2 restart,一切OK。


===========================================







以上是关于开源USM-AlienVault OSSIM初探的主要内容,如果未能解决你的问题,请参考以下文章

开源OSSIM系统具备日志采集和分析的能力吗?

《开源安全运维平台-OSSIM最佳实践》已经上市

OSSIM开源安全信息管理系统(十五)

OSSIM(开源大数据安全分析平台)荣登2017年度Gartner SIEM魔力象限

《开源安全运维平台:OSSIM最佳实践》内容简介

让你久等了!《开源安全运维平台OSSIM疑难解析--入门篇》9月上市