Ossim主要功能實(shí)戰(zhàn)

Ossim主要功能實(shí)戰(zhàn)

OSSIM通過將開源產(chǎn)品進(jìn)行集成，從而提供一種能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺(tái)將Nagiso,Ntop,Snort,Nmap等開源工具集成在一起提供綜合的安全保護(hù)功能，而不必在各個(gè)系統(tǒng)中來回切換比較麻煩，而且統(tǒng)一了數(shù)據(jù)存儲(chǔ)，人們能得到一站式的服務(wù)，這就是OSSIM給我們帶來的好處。當(dāng)Ossim系統(tǒng)安裝完畢后，我們?cè)谳斎隬eb地即可打開主界面，下面的例子我們暫用ossiim 3.x為平臺(tái)講解，看看它給我們提供了那些實(shí)用的功能。

一、安裝

安裝Ossim和普通Linux發(fā)行版沒有什么區(qū)別，在企業(yè)環(huán)境部署的時(shí)候參照前面一節(jié)講解的Ntop原則，硬件選擇方面我們部署Ossim需要獨(dú)立的一臺(tái)高性能服務(wù)器（內(nèi)存呢至少8G以上且配備了多處理器，硬盤空間不低于1TB），安裝選擇自定義安裝，到分區(qū)選項(xiàng)中我們選擇Guided-use entire disk and set up LVM；分區(qū)定義時(shí)不要選擇"All files in one partition"而需要選擇第三項(xiàng)將 /home,/usr/,/var,/tmp分為獨(dú)立分開。

由于篇幅所限，安裝的其他過程就不在講解，安裝時(shí)間上一般是半小時(shí)左右（更具硬件配置來定）。

安裝完畢重啟機(jī)器,然后再客戶機(jī)輸入你機(jī)器的IP地址，這里是 http://192.168.150.20/

首次登陸系統(tǒng)輸入用戶admin,密碼:admin，這時(shí)系統(tǒng)提示修改密碼。

由于OSSIM是用精簡(jiǎn)的Debian Linux裁剪而成，沒有圖形界面。在配置好網(wǎng)絡(luò)之后首次登陸建議進(jìn)行系統(tǒng)升級(jí)alienvault(同時(shí)也升級(jí)漏洞庫)，升級(jí)方法非常簡(jiǎn)單輸入:

#alienvault-update

首次升級(jí)數(shù)據(jù)量比較大，通常在300MB 左右，這時(shí)需要你的網(wǎng)絡(luò)環(huán)境比較好。這里需要注意一下整個(gè)系統(tǒng)的配置文件在/etc/ossim/ossim_setup.conf里配置，包含了登陸Ip信息、主機(jī)名、監(jiān)聽網(wǎng)卡名稱、mysql名、Snmp、啟動(dòng)的Sensors類別、監(jiān)聽的網(wǎng)段等重要信息。

1.漢化問題

關(guān)于漢化的問題，OSSIM的中文語言包是“/usr/share/local/zh_CN/LC_MESSAGES/ossim.po”輸入：

#msgfmt ossim.po –o ossim.mo

因?yàn)锳pache默認(rèn)頁面的字符編碼為UTF-8,為防止每次刷新后顯示亂碼，需要修改”/etc/apache2/conf.d/charset”

注銷AdddefaultCharset UTF-8一行

然后啟用AddDefaultcharset gb2312,最后重啟apache

#/etc/init.d/apache2 restart

二、應(yīng)用

通過驗(yàn)證進(jìn)入系統(tǒng)后，立刻展現(xiàn)在我們眼前的是事件，日志和評(píng)估風(fēng)險(xiǎn)的圖像，如果沒有顯示完整很可能你的瀏覽器不支持Flash插件。

可以通過監(jiān)控服務(wù)器區(qū)域的網(wǎng)段進(jìn)行掃描獲取主機(jī)基本信息

點(diǎn)擊Tools->Net Discovery，選擇手動(dòng)掃描，輸入CIDR地址，這里是192.168.150.0/24 ,表示這個(gè)網(wǎng)段的IP地址從192.168.150.1開始到192.168.150.254結(jié)束,掃描模式一般選擇"FastScan"，如果機(jī)器數(shù)量大于5臺(tái)建議不要選擇"Full Scan",，如果掃描時(shí)間以機(jī)器數(shù)量為準(zhǔn)。掃描完成后忘記確認(rèn)“Update database values”更新數(shù)據(jù)庫。這一步剛剛完成收集主機(jī)的基本信息的任務(wù)，下面進(jìn)行更詳細(xì)的主機(jī)分析-主機(jī)的安全信息和事件分析管理。

3）.對(duì)指定主機(jī)進(jìn)行漏洞掃描

選擇Analysis-〉Vulnerabilities-〉Scan Jobs-〉新建掃描任務(wù)，我們填寫網(wǎng)段的基本信息，如上圖所示

填寫完畢后為確保沒有錯(cuò)誤，點(diǎn)擊"Configuration Check"對(duì)配置文件進(jìn)行檢查確認(rèn)。整個(gè)掃描的內(nèi)容之詳細(xì)是你所無法想象的，一會(huì)兒我們看看結(jié)果。

上圖中列出了掃描完成后自動(dòng)生成的餅圖，顯示出當(dāng)前主機(jī)的安全等級(jí)和開放的服務(wù)。深紅色的區(qū)域（High 27）表示高危主機(jī)有嚴(yán)重的漏洞，需要處理。

詳情在Reports選項(xiàng)卡中，在這里紅色區(qū)域的主機(jī)就需要工程師們仔細(xì)排查處理了，如果您覺得這還不過癮，稍后我們會(huì)詳細(xì)講一個(gè)解漏洞掃描案例。

如果您的領(lǐng)導(dǎo)需要查看掃描報(bào)告，這時(shí)只需在 Scan Jobs里選擇相應(yīng)輸出類型即可，默認(rèn)系統(tǒng)支持excel,pdf,html,等格式輸出。下圖就是生成的長(zhǎng)達(dá)143頁的報(bào)告。

我們還可以對(duì)報(bào)告進(jìn)行定制，在右邊的Reports->Reports

在這里監(jiān)控主機(jī)狀態(tài)的工作變得十分容易，我們選擇Assets->Assets,New添加

在這里添加主機(jī)和服務(wù)變得更加直觀，而且我們可以更加方便的查看網(wǎng)絡(luò)拓?fù)?，還可以顯示每一臺(tái)主機(jī)的信息。

點(diǎn)選Host Problem,則直接列出網(wǎng)絡(luò)中當(dāng)即的主機(jī)詳細(xì)信息。

選擇“Status Map”,在Layout Method選項(xiàng)中選擇Balanced tree,結(jié)果如下圖，若主機(jī)過多，圖像現(xiàn)實(shí)會(huì)非常密集，可以調(diào)整Scaling factor的數(shù)值，直到滿意效果。

可以展示所有主機(jī)開放應(yīng)用的情況，也可以反映出某一主機(jī)的應(yīng)用在每個(gè)時(shí)間段的工作情況，綠色表示正常，紅色表示有故障發(fā)生，需要處理。

OSSIM不但能夠?qū)⒕W(wǎng)絡(luò)主機(jī)的各種信息和數(shù)據(jù)進(jìn)行存儲(chǔ)加工，自己的健康狀況也一點(diǎn)也不含糊的顯示出來，從Disk 、Network、 Postfix、 Processes、 Sensors、 System 各個(gè)方面幾十張圖標(biāo)記錄著各種運(yùn)行狀態(tài)，以供管理員及時(shí)處理。

在構(gòu)建分布式系統(tǒng)方面 OSSIM能生成直觀的拓?fù)鋱D，在每臺(tái)主機(jī)上設(shè)置參數(shù)也十分方便

上圖可以定制自己選定的拓?fù)鋱D。

三、第三方監(jiān)控工具集成

1. 同Cacti的集成

有的人喜歡Cacti的流量監(jiān)控，同時(shí)希望把它集成到OSSIM中，這時(shí)我們需要修改一下php代碼，首先需要安裝cacti并配置好，然后我們需要編輯/usr/share/ossim/www/menu_options.php文件（大約在1044行的位置加入如下代碼） 。

$menu["Monitors"][] = array(

"name" => gettext("Cacti"),

"id" => "Cacti",

"url" => "http://192.168.150.100/cacti",

);

$menu["Monitors"][] = array(

"name" => gettext("Zabbix"),

"id" => "Zabbix",

"url" => http://192.168.150.100/zabbix,

); 

接下來和大家分享 用Ossim管理IT資產(chǎn)（視頻） http://chenguang.blog.51cto.com/350944/1348894