首页 > 代码库 > ossim 安装及使用
ossim 安装及使用
一、下载安装OSSIM
OSSIM 是一款开源的安全管理平台,百度有其简介,但是中文的资料就比较少了,建议想深入研究的还是上其官网查看
1、在官网上可以下载最新的iso安装,网址:https://www.alienvault.com/open-threat-exchange/projects
2、目前最新的应该是4.13,跟以前的版本相比,安装都是差不多的,网上也有详细的图文介绍,这里就不多说了
3、安装时,需要配置ip、用户名、密码之类的需要记录下来,便于后面使用
二、OSSIM 安装之后的简单使用
1、装好之后,chrome 输入安装时配置好的ip地址,进入登录页面,输入用户名和密码。
2、4.13版本同之前的版本页面发生了很大变化,第一次登录页面时会弹出来一些配置页面,比如添加网络、选择主机安装HIDS等。
3、默认的网段是你配置的ip所属的网段,OSSIM集成了丰富的插件,像snort、nmap等。此时这些插件就会发挥左右,它们会扫描该网段内所有活动的主机,添加到资产列表中。之后从这些活动的主机上搜集事件进行处理
4、OSSIM比较核心的是其强大的关联算法,交叉关联(cross correlation) 和 规则关联(directives correlation),这些需要庞大的数据库的支持,在web页面的CONFIGURATION下的THREAT INTELLIGENCE选项页面可以看到相关的数据源
5、OSSIM对接收到的事件以及事件处理之后的结果有好几种展示方法,比如表盘、列表、可下载的报表等。结果也分成好几类,
比如按产品类型、按数据源、按攻击类别分类等。这些都可以一一在web页面上查看到
三、OSSIM控制台使用
如果要对其进行进一步的了解,则需要学会使用OSSIM的控制台。
1、使用SSH连接安装OSSIM 的虚拟机时,便会进入其控制台界面。界面一共有0~7个选项
0 System Preferences
1 Configure Sensor
2 Maintenance & Troubleshooting
3 Jailbreak System
4 About this Installation
5 Reboot Appliance
6 Shutdown Appliance
7 Apply all Changes
2、选择1 可以进入Sensor配置界面,这里可配置网络探测器,以及OSSIM丰富的插件,如果更新了配置,需要Apply all Changes。OSSIM 默认安装的插件不多,主要有sudo,ssh,iptables,syslog,dhcp,ossec,rrd,snort.snare等
3、选择3后选择OK可以进入OSSIM 的Shell界面,进入这里之后就能更加直接的看到其内部的数据了。
4、在/etc/ossim 目录下可以看到OSSIM agent以及server的一些配置文件,cat ossim_setup.conf ,里面有配置的基本信息,包括,dns、ip、database 的用户名、密码,framework,ha,snmp,vpn的状态信息等。
5、OSSIM默认安装本身就具备一些安全防护和权限设置,如果你想获取里面的文件或者数据库表,需要取消插件中的iptables。并且使用ftp被动模式。
ossim 安装及使用