一、下载并安装OSSIM OSSIM是一个开源的安全管理平台,百度,它有自己的空间,中国是很少的信息,你想要的提案显示,并在官方网站上进行详细的研究 1,官方网站,你可以下载最新的ISO安装URL。 [ /open-threat-exchange/projects]open-threat-exchange/projects[/url] 2,4.13与最新的前一版本相比,安装应该是相似的,即使是在互联网,图形,描述了详细的介绍,并没有夸张的说 安装后,为了以后方便您使用,IP,用户名,密码或需求,如记录您需要设置3 ,, 二、OSSIM 安装之后的简单使用 1、装好之后,chrome 输入安装时配置好的ip地址,进入登录页面,输入用户名和密码。 2、4.13版本同之前的版本页面发生了很大变化,第一次登录页面时会弹出来一些配置页面,比如添加网络、选择主机安装HIDS等。 3、默认的网段是你配置的ip所属的网段,OSSIM集成了丰富的插件,像snort、nmap等。此时这些插件就会发挥左右,它们会扫描该网段内所有活动的主机,添加到资产列表中。之后从这些活动的主机上搜集事件进行ITSM处理 4、OSSIM比较核心的是其强大的关联算法,交叉关联(cross correlation) 和 规则关联(directives correlation),这些需要庞大的数据库的支持,在web页面的CONFIGURATION下的THREAT INTELLIGENCE选项页面可以看到相关的数据源 5、OSSIM对接收到的事件以及事件处理之后的结果有好几种展示方法,比如表盘、列表、可下载的报表等。结果也分成好几类, 比如按产品类型、按数据源、按攻击类别分类等。这些都可以一一在web页面上查看到 三、OSSIM控制台使用 如果要对其进行进一步的了解,则需要学会使用OSSIM的控制台。 1、使用SSH连接安装OSSIM 的虚拟机时,便会进入其控制台界面。界面一共有0~7个选项 0 System Preferences 1 Configure Sensor 2 Maintenance & Troubleshooting 3 Jailbreak System 4 About this Installation 5 Reboot Appliance 6 Shutdown Appliance 7 Apply all Changes 2、选择1 可以进入Sensor配置界面,这里可配置网络探测器,以及OSSIM丰富的插件,如果更新了配置,需要Apply all Changes。OSSIM 默认安装的插件不多,主要有sudo,ssh,iptables,syslog,dhcp,ossec,rrd,snort.snare等 3、选择3后选择OK可以进入OSSIM 的Shell界面,进入这里之后就能更加直接的看到其内部的数据了。ITSS 4、在/etc/ossim 目录下可以看到OSSIM agent以及server的一些配置文件,cat ossim_setup.conf ,里面有配置的基本信息,包括,dns、ip、database 的用户名、密码,framework,ha,snmp,vpn的状态信息等。 5、OSSIM默认安装本身就具备一些ITSS安全防护和权限设置,如果你想获取里面的文件或者数据库表,需要取消插件中的iptables。并且使用ftp被动模式。
|