开源USM-AlienVault OSSIM初探
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了开源USM-AlienVault OSSIM初探相关的知识,希望对你有一定的参考价值。
什么是USM,其实就是安全管理平台的百宝箱,不需要二次开发可以直接将插件嵌入到平台。整合各种功能插件、日志信息、监控信息。下面就让我们一起聊一聊OSSIM吧。
1、概述
美国公司,在德国、西班牙、英国和墨西哥设有分支机构。主要从事SIEM(SOC)相关业务。主要商业模式是推广开源的OSSIM,并提供服务收费。另自建SOC中心,号称Cloud
SIEM。
2、产品情况
有三种产品:OpenSource SIM、SIM Professional和Cloud SIEM。SIM Professional版本基于OpenSource SIM(OSSIM)开发,同一个分支,未注册的就是OS版,通过注册号注册成为Prof版会增加关联分析能力、一些合规性报表等。老版本的ossim的源代码把所有代码放在一个工程下面,1.0以后的版本基本都分开了,代码工程如下:
1.agent 2.os-sim 3.server 4.web 5.ossim-gsoc2008
3、收费服务
培训、认证、技术支持和定期数据更新(通告、规则、报表、插件等)。
4、业界评价
Gartner的SOC行业分析幻方(Magic Quadrant)一直没有将其考察范围,主要因素可能是营收还比较小不满足Gartner标准,但是由于OpenSource概念行业一直对其比较关注。
5、OpenSource SIM情况
架构
系统分为SIEM、Sensor和Logger三部分。Sensor类似于采集器,但是含义更广,包含拓扑发现、漏洞信息收集等所有的信息收集功能;Logger是类似于我们通讯服务器,负责存储、备份、取证等;SIEM就是操作中心、审计、规则等等。
OSSIM可以分成几大部分:
ossim-agent
ossim-framemork
ossim-server
ossim-web界面
可以参考的方面
基于插件的体系,灵活性比基于配置更强一些,也便于整合第三方工具;
缺点是可能会造成一些混乱
采集协议支持较为全面(很多是依赖插件完成),比如Syslog, Syslog-ng,
SNMPv2, SNMPv3, OPSEC, HTTP,WMI, SQL, ODBC, FTP,SFTP, Socket
UNIX, flat file, SSH, Rsync, Samba, NFS, SDEE, RDEP, CPMI多种协议
利用多种开源工具无需一次开发
支持无线网络的功能比较特别
展现方式比较丰富,速度较慢
6、安装
安装拓扑:
VMware 新建alienvault_ossim 的虚拟机,将光驱设置为下载好的iso文件就OK。
在“Install OSSIM”界面,点击“Install AlientVaultOSSIM 5.0 (64Bit)”
(此为混合安装模式);
在“Select a language”界面,选择“Chinese (Simplified)”,点击Continue;
在“选择你的区域”界面,选择“中国”,点击继续;
在“配置键盘”界面,选择“美国英语”,点击继续;
在“配置网络”界面,输入IP地址:172.16.100.100,点击继续;
输入网络掩码:255.255.255.0,点击继续;
输入网关:172.16.100.1,点击继续;
输入域名服务器地址:114.114.114.114,点击继续;
在“设置用户和密码”界面,输入Root用户的密码,点击继续;
安装完成之后,就可以通过Web界面进行访问了:https://172.16.100.100
7、总结
经过对代码研究,似乎代码也不是完整的(应该缺少很多规则的定义)。没有任何工程和编译说明,从代码编译出二进制包估计是不可能的。基本是个大杂烩,采用了插件的体系结构,有内置的插件,也有第三方的插件。目前的插件号称有2000多种。展现方式是比较丰富的,比如雷达图之类的。另外正式版做了大量27001和PCI-DSS合规性报表(没注册码看不见内容,只能看见标题),比较符合国外的应用环境。开源版没有多条事件的关联分析能力,Prof版才有。
非常值得注意的一个事是:众包模式和大量威胁数据可能不会提高USM的有效性。这方面最权威的第三方分析机构Gartner认为,更多的数据并不一定是一件好事,如果你不能正确地分析这些数据。“我们的问题并不是缺少数据,我们缺少的是分析这些数据的智能化。”如果下一代产品可以提供智能和实用性的结合体,企业才能够获益。USM市场还有很大的可开拓的空间!
常见报错解决方法:
1、OSSIM 简体中文显示乱码问题解决
#首先是进入OSSIM的管理后台,用SSH登录后,进入系AlienVault Setup菜单,选择 3 Jailbreak system 即可使用Root权限进入后台
#修改本地化
执行 dpkg-reconfigure locales
#添加VIM对于UTF-8的支持
vi /etc/vim/vimrc
行尾添加
set encoding=utf8
set fileencodings=ucs-bom,gbk,gb2312,gb18030,utf-8,latin1
#同时指定自己的远程登录时字体编码为UTF-8
#默认安装完成没有msgfmt这个命令
apt-get install gettext
1)把/usr/share/locale/zh_CN/LC_MESSAGES/ossim.po下载到本地;
2)另存为GB2312格式;
3)用word将繁体中文改为简体;
4)修改第17行的编码,从UTF-8改成GB2312;
5)将修改后的文件上传到服务器覆盖原有的文件;
6)按照网上的方式运行msgfmt ossim.po -o ossim.mo
7)修改apache配置文件:/etc/apache2/conf.d/charset,在最后增加“AddDefaultCharset gb2312”;
8)重启apache:/etc/init.d/apache2 restart,一切OK。
===========================================
以上是关于开源USM-AlienVault OSSIM初探的主要内容,如果未能解决你的问题,请参考以下文章