Ossim主要功能實戰

Ossim主要功能實戰

OSSIM通過將開源產品進行集成，從而提供一種能夠實現安全監控功能的基礎平臺將Nagiso,Ntop,Snort,Nmap等開源工具集成在一起提供綜合的安全保護功能，而不必在各個系統中來回切換比較麻煩，而且統一了數據存儲，人們能得到一站式的服務，這就是OSSIM給我們帶來的好處。當Ossim系統安裝完畢后，我們在輸入Web地即可打開主界面，下面的例子我們暫用ossiim 3.x為平臺講解，看看它給我們提供了那些實用的功能。

一、安裝

安裝Ossim和普通Linux發行版沒有什么區別，在企業環境部署的時候參照前面一節講解的Ntop原則，硬件選擇方面我們部署Ossim需要獨立的一臺高性能服務器（內存呢至少8G以上且配備了多處理器，硬盤空間不低于1TB），安裝選擇自定義安裝，到分區選項中我們選擇Guided-use entire disk and set up LVM；分區定義時不要選擇"All files in one partition"而需要選擇第三項將 /home,/usr/,/var,/tmp分為獨立分開。

由于篇幅所限，安裝的其他過程就不在講解，安裝時間上一般是半小時左右（更具硬件配置來定）。

安裝完畢重啟機器,然后再客戶機輸入你機器的IP地址，這里是 http://192.168.150.20/

首次登陸系統輸入用戶admin,密碼:admin，這時系統提示修改密碼。

由于OSSIM是用精簡的Debian Linux裁剪而成，沒有圖形界面。在配置好網絡之后首次登陸建議進行系統升級alienvault(同時也升級漏洞庫)，升級方法非常簡單輸入:

#alienvault-update

首次升級數據量比較大，通常在300MB 左右，這時需要你的網絡環境比較好。這里需要注意一下整個系統的配置文件在/etc/ossim/ossim_setup.conf里配置，包含了登陸Ip信息、主機名、監聽網卡名稱、mysql名、Snmp、啟動的Sensors類別、監聽的網段等重要信息。

1.漢化問題

關于漢化的問題，OSSIM的中文語言包是“/usr/share/local/zh_CN/LC_MESSAGES/ossim.po”輸入：

#msgfmt ossim.po –o ossim.mo

因為Apache默認頁面的字符編碼為UTF-8,為防止每次刷新后顯示亂碼，需要修改”/etc/apache2/conf.d/charset”

注銷AdddefaultCharset UTF-8一行

然后啟用AddDefaultcharset gb2312,最后重啟apache

#/etc/init.d/apache2 restart

二、應用

通過驗證進入系統后，立刻展現在我們眼前的是事件，日志和評估風險的圖像，如果沒有顯示完整很可能你的瀏覽器不支持Flash插件。

可以通過監控服務器區域的網段進行掃描獲取主機基本信息

點擊Tools->Net Discovery，選擇手動掃描，輸入CIDR地址，這里是192.168.150.0/24 ,表示這個網段的IP地址從192.168.150.1開始到192.168.150.254結束,掃描模式一般選擇"FastScan"，如果機器數量大于5臺建議不要選擇"Full Scan",，如果掃描時間以機器數量為準。掃描完成后忘記確認“Update database values”更新數據庫。這一步剛剛完成收集主機的基本信息的任務，下面進行更詳細的主機分析-主機的安全信息和事件分析管理。

3）.對指定主機進行漏洞掃描

選擇Analysis-〉Vulnerabilities-〉Scan Jobs-〉新建掃描任務，我們填寫網段的基本信息，如上圖所示

填寫完畢后為確保沒有錯誤，點擊"Configuration Check"對配置文件進行檢查確認。整個掃描的內容之詳細是你所無法想象的，一會兒我們看看結果。

上圖中列出了掃描完成后自動生成的餅圖，顯示出當前主機的安全等級和開放的服務。深紅色的區域（High 27）表示高危主機有嚴重的漏洞，需要處理。

詳情在Reports選項卡中，在這里紅色區域的主機就需要工程師們仔細排查處理了，如果您覺得這還不過癮，稍后我們會詳細講一個解漏洞掃描案例。

如果您的領導需要查看掃描報告，這時只需在 Scan Jobs里選擇相應輸出類型即可，默認系統支持excel,pdf,html,等格式輸出。下圖就是生成的長達143頁的報告。

我們還可以對報告進行定制，在右邊的Reports->Reports

在這里監控主機狀態的工作變得十分容易，我們選擇Assets->Assets,New添加

在這里添加主機和服務變得更加直觀，而且我們可以更加方便的查看網絡拓撲，還可以顯示每一臺主機的信息。

點選Host Problem,則直接列出網絡中當即的主機詳細信息。

選擇“Status Map”,在Layout Method選項中選擇Balanced tree,結果如下圖，若主機過多，圖像現實會非常密集，可以調整Scaling factor的數值，直到滿意效果。

可以展示所有主機開放應用的情況，也可以反映出某一主機的應用在每個時間段的工作情況，綠色表示正常，紅色表示有故障發生，需要處理。

OSSIM不但能夠將網絡主機的各種信息和數據進行存儲加工，自己的健康狀況也一點也不含糊的顯示出來，從Disk 、Network、 Postfix、 Processes、 Sensors、 System 各個方面幾十張圖標記錄著各種運行狀態，以供管理員及時處理。

在構建分布式系統方面 OSSIM能生成直觀的拓撲圖，在每臺主機上設置參數也十分方便

上圖可以定制自己選定的拓撲圖。

三、第三方監控工具集成

1. 同Cacti的集成

有的人喜歡Cacti的流量監控，同時希望把它集成到OSSIM中，這時我們需要修改一下php代碼，首先需要安裝cacti并配置好，然后我們需要編輯/usr/share/ossim/www/menu_options.php文件（大約在1044行的位置加入如下代碼） 。

$menu["Monitors"][] = array(

"name" => gettext("Cacti"),

"id" => "Cacti",

"url" => "http://192.168.150.100/cacti",

);

$menu["Monitors"][] = array(

"name" => gettext("Zabbix"),

"id" => "Zabbix",

"url" => http://192.168.150.100/zabbix,

); 

接下來和大家分享 用Ossim管理IT資產（視頻） http://chenguang.blog.51cto.com/350944/1348894