sim应用程序有哪些（平台介绍及使用）

sim应用程序有哪些（平台介绍及使用）根据日志SIEM会将有威胁的event展示出来查看收集到的日志deployment status(需要配置location才可以显示，具体看文末faq)analysis 模块主要有四个功能 alarm、siem、row log、ticket。（开源版本不提供rowlog功能）SIEM的主要功能就是根据HIDS收集来的日志，或者如果agentless 采集的日志进行数据整理，然后在alarm中提供分析研判威胁

背景： 社区关于OSSIM的文档太少了，最近研究安全信息管理做了个文档记录，分享给各位，有需要可收藏自己学习了解下。功能很强大，只是资料很少，用的人貌似也不多。

一、ossim介绍1.1 ossim系统是什么？优势哪些？可以解决哪些问题？

ossim即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)，是一个非常流行和完整的开源安全架构体系。ossim通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台.

• 将nagios、snort 、ossec、clamav、openvas 等等开源软件结合在一起
• iso镜像安装，简单快捷
• 跨平台，agent、agentless均支持
• 安全报告一键生成
• HIDS、NIDS态势感知，根据网络和操作系统相关安全日志分析潜在风险

1.2 功能1.2.1工具集

• IDS
  NIDS SnortHIDS ossec
• 漏扫 Nessus、nmap、p0f
• 监控Nagios、Ntop、TcpTrack

1.2.2 架构

• Sensor 通过HIDS、NIDS、日志统计分析实现IDS、异常探测、实时日志监控等
• Servers 支持多机部署，整合数据、资产管理
• Consoles

二、主要功能介绍及配置IDS、可用性监控、弱点分析2.1 dashboard 仪表盘提供相关指标展示

overview

首页

deployment status(需要配置location才可以显示，具体看文末faq)

2.2 ANALYSIS 提供对收集的网络数据、日志数据进行分析研判、预警

analysis 模块主要有四个功能 alarm、siem、row log、ticket。（开源版本不提供rowlog功能）

SIEM的主要功能就是根据HIDS收集来的日志，或者如果agentless 采集的日志进行数据整理，然后在alarm中提供分析研判威胁

查看收集到的日志

根据日志SIEM会将有威胁的event展示出来

2.3 ENVIRONMENT 提供资产维护、弱点检测、网络监测、流量分析、可用性、态势感知配置等（核心功能）2.3.1 asset 资产管理

ossim 提供系统配置引导、自动、手动、导入等多种方式添加资产分配资产组，也可以配置针对资产的定期自动扫描添加主机计划

添加资产

2.3.2 vulnerabilityies弱点分析

在vulnerabilities中，可以创建扫描任务针对添加的的agent进行扫描，生成扫描报告，报告格式有HTML、PDF、EXCEL三种

首次安装完成需要在SCAN JOBS中NEW SCAN JOB ，创建扫描任务，选择agent（agent安装 需要参考<<HIDS agent安装>>），扫描完成后，该页面就会看到对应报告

弱点分析

漏洞信息

2.3.3 Dection 检测

dection模块提供agent信息管理、agenless配置、HIDS配置管理等

2.3.3.1 添加HIDS agent2.3.3.1.1 下载 ossec agent

#下载ossec agent

wget https://codeload.github.com/ossec/ossec-hids/tar.gz/refs/tags/3.7.0/ossec-hids-3.7.0.tar.gz

wget https://updates.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/atomic-release-1.0-23.el7.art.noarch.rpm

2.3.3.1.2 安装 依赖、配置agent

#安装

yum install -y gcc gcc-c pcre2-devel libevent-devel zlib-devel openssl-devel systemd-devel

rpm -ivh atomic-release-1.0-23.el7.art.noarch.rpm

tar -zvxf ossec-hids-3.7.0.tar.gz

cd ossec-hids-3.7.0

./install

agent

#输入ossim 服务器地址 192.168.201.97 即可

#

- 已正确完成系统配置.

- 要启动 OSSEC HIDS:

/var/ossec/bin/ossec-control start

- 要停止 OSSEC HIDS:

/var/ossec/bin/ossec-control stop

- 要查看或修改系统配置 请编辑 /var/ossec/etc/ossec.conf

#配置开机启动

touch /var/ossec/queue/rids/sender

echo "/var/ossec/bin/ossec-control start" >> /etc/rc.local

2.3.3.1.3 导入客户端Key

在environment-agents 中查看key

服务器上导入key

#导入import 扩展key（获取key的来源在OSSIM ：environment--》detection–》agent–》add agent-》extract key 就会弹出key）

#执行manage_agents ，根据提示输入I导入，Q退出

/var/ossec/bin/manage_agents

/var/ossec/bin/ossec-control restart 即可。agent 模块观察agent是否为active即可

#防火墙需要开通

ossim-server 需要向客户端开通本地UDP1514端口

2.3.3.1.4 添加插件

ossim对于主机的态势感知、服务安全监控等都需要单独配置插件来实现，所以在安装完成agent或者配置了agentless之后，需要进入aseet找到对应IP的资产，添加plugin

进入资产页面：

选择PLUGINS-EDIT PLUGINS VENDOR 选择alienVault Model 根据需要选择，默认可以只先选择一个Availability的监控（正常没有使用这个插件的情况下，就如上图是N/A的状态），版本的话有的插件是有版本有的没有版本，SAVE即可。另外确认agent是否添加成功可以通过右侧的HIDS状态是否为绿色

2.3.3.2 添加agentless

此场景适用于较低版本的无法安装hids agent 的linux系统，只需要配置ssh即可自动采集相关日志数据。

如果使用普通用户，需要配置sudo用户和sudo的权限，保证该用户可以使用sudo权限即可。

以上配置完成后，需要参考2.3.3.1.4的方法给主机配置对应的插件

PS：如果出现disconnect可以事先ssh 一下，保存ssh指纹信息，默认ossim的ssh貌似不能处理新的ssh连接信息

agentless添加完成之后，在ENVIRONMENT-ASSETS 中看到的状态就是下面的样子（配置完插件），Availability 状态为UP，若为Pending，稍等片刻就会变为UP

配置services

在配置完agent 之后，ossim会对当前agent 做服务扫描，会将扫描出来的service自动罗列出来，但是默认是不监控的，需要进入services，编辑Services，打开monitor，至此agent基本配置完成。agentless 的主机也是如此配置。

编辑服务

2.3.3.3 HIDS control 配置

关于hids的控制主要就是四个服务，主要确认两个agentless、HIDS service 是UP即可 同时DEBUG 模式可以方便调试问题

2.3.4 NET Flow

关于NETFlow 功能是通过嗅探数据包、进行协议分析(通过Ntop实现)以及提供sFlow/NetFlow监控示例数据来收集这些数据

netflow提供了一个全局的网络监测，该模式需要网卡处于混合模式监听所有流量，但是现在凡是内网基本都是交换机了，通过当前服务器的流量也就是广播的流量了，因为此处需要交换机配置SPAN才能更有意义。如果想要达到更精准的检测还需要配合交换机中的sensor 来实现异常流量采集

2.3.5 Traffic capture

这个模块就是抓包了，可以选择相应的主机，设置时间、包大小，但是这个需要配置vlan的sensor

2.3.6 Availability 可用性监控

关于可用性监控，这里可以提供全局所有添加了available monitor插件监控的所有主机包括其service状态的全局监控

提供服务详情、问题详情追踪等

提供Reporinting，可以根据时间、主机生成对应的可用性报告、事件报告等

2.4 REPORT 提供生成对应安全报告

report模块可以针对报警、可用性、威胁、弱点、用户活动等多个维度创建email、pdf等格式报告，也可在线根据主机IP信息查询主机信息

2.5 Configuration 配置用户密码、网络地址、sensor地址等2.5.1 ADMINISTRATION

此模块主要配置登录ossim的用户信息、备份策略（备份前需要配置备份文件的加密密码，否则系统不能自动备份）、ossim扫描相关的配置参数，此功能目前只是在配置备份时使用到。

2.5.2 DEPLOYMENT

deployment模块可以用来配置webui的服务器地址、web访问信息、服务器网卡信息、数据库的信息，更新病毒特征库、版本更新、ossimserver本机cpu内存硬盘的消耗ui展示。

3. FAQ3.1 dashboard-deployment status 无数据

需要配置经纬度，具体位置在 Configuration-deployment-locations中添加坐标即可。但是地图由于对应服务是谷歌服务这里地图是无法显示的。

3.2 添加agent，进入agent资产查看 HIDS服务为红色，不可用状态

方法一：进入ENVIRONMENT-DETECTION-HIDS Control 打开Debug查看错误，可以尝试重启agent，也可进入agent ，tail -f /var/ossec/log/ossec.log 查看日志，根据日志解决。确认防火墙22端口（agentless模式），服务器端的udp1514是否对agent开放（agent模式）

方法二：确认agenless模式的主机 用户名若为普通用户是否有sudo权限，或者在ossim server尝试ssh连接一次agent，看是否可以成功登录

3.3 修改ossim服务器的IP地址

方法一： 登录服务器修改网卡配置（不推荐）

登录服务器之后选择3，Ok。进入shell 添加网卡信息 重启即可。

不推荐原因：由于ossim 本身有代理squid 数据库 等等好多服务都用到了这个IP，修改还需要去修改对应的配置，不过如果是双网卡的话，新加一个内网IP可以这样操作。但是依然有个缺点，我实际测试内网IP在机器重启后 会丢，还需要重新配置

# vim /etc/network/interfaces

# /etc/init.d/networking restart

方法二：在webUI Configuration 的deployment中修改（不推荐，学习使用）

方法三：console 修改（推荐）

选0 System Preference - 0 Configure Network - 0 Setup Management Network- 选择对应的网卡，输入新IP 和掩码 返回到最开始的页面，应用所有修改即可

第二步

第三步

第四步选网卡

输入IP、掩码

保存后，然后back，back 返回到最开始的下图页面，应用所有改变即可。

应用即可