最新-開源可視化安全管理平臺Ossim5.0使用「預(yù)覽」

最新-開源可視化安全管理平臺Ossim5.0使用「預(yù)覽」 

   你還在為安裝日志分析系統(tǒng)而苦惱嗎？你還費(fèi)盡力氣嘗試各種流量監(jiān)控系統(tǒng)嗎？你還在花重金購買漏洞掃描系統(tǒng)嗎？你的領(lǐng)導(dǎo)還在不停地催促你索要各種監(jiān)控分析報(bào)表嗎？當(dāng)你真正用上OSSIM平臺之后，才發(fā)現(xiàn)經(jīng)過多年努力，建設(shè)的這些系統(tǒng)無非是一個個安全孤島，過眼云煙而已，數(shù)據(jù)既不能自動共享，更無法做到關(guān)聯(lián)分析。下面為大家展示開源OSSIM的一些亮點(diǎn)。

   Ossim5.0系統(tǒng)，在2015年4月20號由Alienvault公司對外發(fā)布，它從2003年誕生到現(xiàn)在，經(jīng)歷了十多年的不斷錘煉，目前已經(jīng)是一款成熟的開源SIEM產(chǎn)品，以下是OSSIM在內(nèi)網(wǎng)監(jiān)控中發(fā)揮作用的截圖（點(diǎn)擊每張截圖均可放大）。

安全態(tài)勢分析 :數(shù)據(jù)的可視化，用簡單明了的圖形化方式將數(shù)據(jù)本身及其內(nèi)涵展示給大家，非常方便。ossim在一個相對集中的界面中給出了盡可能多的數(shù)據(jù)屬性。

網(wǎng)絡(luò)***可視化分析，***的可視化，實(shí)質(zhì)是將安全讓大家看的見。

用Nagios監(jiān)控，設(shè)置過程，一鍵搞定。

快速預(yù)覽你的資產(chǎn)

與OTX結(jié)合

漏洞掃描一鍵完成

通過OTX技術(shù)及時了解全球IP信譽(yù)情況，因?yàn)锳lienvault在全球建立了一套分布式信譽(yù)評估機(jī)構(gòu)，這些評估信息來源于：

舉報(bào)機(jī)制；

監(jiān)管機(jī)制（異常行為檢測、合規(guī)性評估）；

系統(tǒng)完整性檢查；

IDS/IPS、蜜罐等系統(tǒng)；

主動搜索+內(nèi)容分析的結(jié)果；

這說明他所提供的信譽(yù)評估系統(tǒng)并非孤立的系統(tǒng)，而是一個動態(tài)的由不同合作伙伴組成的生態(tài)系統(tǒng)，這一點(diǎn)看是絕大多數(shù)企業(yè)無法完成的任務(wù)。

    這里演示的其實(shí)是網(wǎng)絡(luò)***地理分布圖，通過此圖，用戶可以很清楚的看到哥哥地區(qū)的***IP情況，這種方法對于宏觀掌握***疫情，有著很重要的意義。我們用傳統(tǒng)方法也能根據(jù)IP在地圖上定位，主要是從上報(bào)者的IP或電子郵件歸屬，進(jìn)行分類統(tǒng)計(jì)，然后在映射到地理信息系統(tǒng)而形成一個活躍地圖,在OSSIM采用采用了OTX的方式，數(shù)據(jù)更加精確。

    詳細(xì)顯示資產(chǎn)細(xì)節(jié)（漏洞、報(bào)警、事件、可用性、服務(wù)、所屬組），資產(chǎn)管理的目的就是識別信息系統(tǒng)內(nèi)部所有類別的網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)及操作系統(tǒng)，應(yīng)用系統(tǒng)等。

有了基線指標(biāo)，才能分析網(wǎng)絡(luò)異常行為（對這一功能，其他監(jiān)控工具望塵莫及）。

可視化直觀展示網(wǎng)絡(luò)***類別

      多源異構(gòu)設(shè)備的數(shù)據(jù)采集及標(biāo)準(zhǔn)化,是絕對多數(shù)運(yùn)維人員的技術(shù)難點(diǎn)，然而通過OSSIM Agent實(shí)現(xiàn)卻非常方便，無需用戶編程，就可以實(shí)現(xiàn)在監(jiān)控中心的以圖形化方式集中顯示安全事件,《Unix/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控》一書中主要對該模塊中數(shù)據(jù)采集的流程及字段標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)與實(shí)現(xiàn)并測試其結(jié)果。

告警聚合--海量事件中你無需練就火眼金睛，OSSIM助你識別網(wǎng)絡(luò)威脅。

OSSIM中通過基于協(xié)議分析的特征檢測技術(shù)發(fā)現(xiàn)***行為，無論是漏洞利用還是暴力破解，都會讓它們無所遁形。這種檢測技術(shù)的核心在于建立和維護(hù)了一個KDB(知識庫)。

Ossec Agent遠(yuǎn)程部署方便快捷(我要看安裝視頻)

Netflow的可視化，助力網(wǎng)絡(luò)異常流量分析

漏洞數(shù)量全局把控

流量監(jiān)控(注意在OSSIM 5.0.4之后的版本中取消了Ntop服務(wù))

日志收集，輕松檢索30+million的日志量

智能事件分析

及時消息提醒

即使你不是DBA，也能通過一鍵操作，搞定系統(tǒng)備份！

生成以上這些截圖，無需管理員手工編譯、安裝、配置繁瑣的文件，更無需編程，最重要的問題是-FREE。心動的朋友可以考慮立即安裝啦。

Ossim 5.1 命令行下升級完整視頻下載         WebUI下升級視頻下載

OSSIM 5.0系統(tǒng)下載地址：http://pan.baidu.com/s/1mgEDRKW

選擇混合安裝模式，菜單第一項(xiàng)Alienvautl OSSIM

軟件下載：

OSSIM 5.2.0                           OSSIM 5.1.0 ISO網(wǎng)盤下載

OSSIM 5.1.0的改進(jìn)

1)增加了遠(yuǎn)程系統(tǒng)認(rèn)證（使用設(shè)備配置SSH公共密鑰和證書連接AlienVault系統(tǒng)root密碼）
2)×××配置環(huán)境
3)增強(qiáng)的OTX一體化
4)提高關(guān)鍵資產(chǎn)的主機(jī)級可視性

5)數(shù)據(jù)源插件的擴(kuò)展功能進(jìn)一步增強(qiáng)
從單一資產(chǎn)（如系統(tǒng)日志和應(yīng)用程序日志中收集多個日志類型）。一旦數(shù)據(jù)源插件被啟用，搜索和過濾的資產(chǎn)清單，通過插件，以確保日志被收集的關(guān)鍵資產(chǎn)，并迅速找出任何資產(chǎn)監(jiān)控的空白。

6)刪除了一些陳舊插件
以下插件已經(jīng)從AlienVault USM和OSSIM V5.1刪除。這意味著，這些插件已經(jīng)從產(chǎn)品中刪除，將不再被包含在插件更新。
iphone

forensics-db-1

malwaredomainlist-monitor

motion

nessus-monitor

ntop-monitor

snortunified

osiris

7）自定義插件的更新

8）開源工具引用
在OSSIM V5.1產(chǎn)品能夠更好地反映每個提供的內(nèi)置功能的開源工具的名稱更新。以下的名字已經(jīng)在USM和性能變化。
Nagios to Availability Monitoring

Ossec to AlienVault HIDS

nmap to Asset Discovery Scan

OpenVAS to Vulnerability Assessment

Suricata to AlienVault NIDS

Kismet to Wireless IDS

Nfsen to Netflow

OCS to Software Inventory

更多OSSIM5.1爆料我們以后在放出。

        好了，看了以上介紹的內(nèi)容是不是覺得OSSIM很牛，這些高大上的圖標(biāo)看得眼花繚亂，是不是能解決企業(yè)面臨的安全問題？只是一堆的統(tǒng)計(jì)圖表的肯定不能算真正意義上SIEM，OSSIM還要結(jié)合企業(yè)自身的安全團(tuán)隊(duì)使用，這才是一個整合資源與流程的自動化處理中心，部署OSSIM前先有一個安全團(tuán)隊(duì)、一定的資產(chǎn)信息、有一套的信息安全管理流程和安全事件處理流程。OSSIM系統(tǒng)不是像防火墻、IDS那樣買了就能直接起到具體作用。

OSSIM入門視頻教程：http://edu.51cto.com/course/course_id-1186.html 

有關(guān)OSSIM基礎(chǔ)入門的內(nèi)容，大家可參考我的2015年新作。