OSSIM安装使用教程（OSSIM-5.6.5）

一、说明

1.1 相关概念说明

SEM，security event management，安全事件管理，指对事件进行实时监控，收集信息差展生通知和告警的行为。

SIM，security information management，安全信息管理，指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。

SIEM，security information and event management，安全信息和事件管理，即SEM和SIM的结合体。

SOC，security operations center，安全运营中心。

TI，Threat Intelligence，威胁情报。SOC偏重内部网络态势感知，而TI偏重于外部网络态势感知比如新出了什么漏洞、病毒、安全事件等等。

SA，situational awareness，态势感知。

SRC，Security Response Center，安全响应中心。狭义上只是一个提交产品漏洞的入口，但广义上包含各种安全系统及系统维护人员。

他们的关系是：SRC > SA >= SOC [ + TI ]  >= SIEM = SEM+SIM。

一款典型的SIEM产品具有以下功能：资产发现、漏洞扫描、入侵检测、日志存储分析和可视化展示。

参考：

https://en.wikipedia.org/wiki/Security_information_and_event_management

https://en.wikipedia.org/wiki/Information_security_operations_center

https://en.wikipedia.org/wiki/Situation_awareness

https://help.aliyun.com/knowledge_detail/42302.html

 

1.2 OSSIM是什么

OSSIM是SIEM的代表性产品，在产品形式上和Kali类似是一个基于Debain进行二次开发的Linux发行版，当前5.6.5版本基于Dibian 8（jessie）。

OSSIM使用Nmap等实现资产发现、使用Nessus等实现漏洞扫描、使用Snort等实现入侵检测、使用MySQL等进行数据存储，自己实现的部分主要是工具、数据整合和可视化展示。

李晨光OSSIM博文：http://blog.51cto.com/chenguang/category10.html

 

二、OSSIM安装

2.1 下载

ISO文件下载地址：https://www.alienvault.com/products/ossim/download

 

2.2 硬件资源需求

基础配置：CPU----2*2，内存----8G，硬盘----20G以上

以下是我安装完成后未创建任何扫描等任务时的CPU、内存、磁盘使用情况。

 

2.3 安装准备

VMware就和普通虚拟机一样，创建Linux虚拟机设置好ISO文件即可。不过要注意操作系统选Debian（第几版本倒影响不大），我选CentOS的时候发现是直接运行iso了并没有进入安装。

真机安装就用UltraISO等制作一下启动盘，然后从U盘启动即可，后续安装步骤就完全和虚拟机安装一样。不过我在一台真机安装有一个问题，完成后启动时一直停在"loading,please wait“并没有正常出现登录界面，不知是某些机器的bug还是普遍存在（注意这不是操作系统启不来，此时系统和应用都已经启来了，使用安装时设置的ip和密码通过ssh上去即可正常使用）。

 

2.4 安装过程

其实Linux安装都大同小异都是选语言、选时区、设密码那几步，下面简单截一下图。

选OSSIM。OSSIM包含服务器组件+Sensor，Sensor相当于一个Client。

 

语言选择，简体中文支持似乎说不太好，直接英文即可要选中文也可以。

地区选择，由于操作系统根据选择的地区确定系统使用的时区，为了时间是本地时间我们要正确选择中国。

操作系统编码，默认即可

键盘，默认即可

下几步是网络设置，为了避免安装完后还要手动纠正网络这里最好正确填写要设置的ip、掩码、网关。

子网掩码

网关

DNS，最多可以设置3个，使用空格隔开即可

root用户密码

 物理机安装时还有个划分磁盘的操作，但虚拟机安装没看到直接进入了安装，问题不大意思懂得就行。

上边的安装过程需要二三十分钟，安装过程可能会出现黑屏，敲击任意键唤醒屏幕即可。

安装的最后会运行cdsetup的程序，这个程序主要是创建OSSIM相关的数据库。

 

三、登录使用

3.1 操作系统登录使用

系统安装完成后，自动重启进入界面如下，使用安装时自己设定的密码登录即可

（如果虚拟机没有安装过程而是直接运行了iso那默认是root/toor）

登录后进入AlienVault Setup界面如下，这其实是一个名为ossim-setup的程序。

基本配置在AlienVault Setup进行操作即可，如果想要进入系统，那就下移到”Jailbreak System“菜单进入

选择Yes回车进入

如果想回到AlienVault Setup，退出重新登录即可，当然也可以直接输入ossim-setup。

 

2.2 Web登录使用

在登录界面和AlienVault Setup界面都可以看到有提示ossim的url，直接在浏览器访问该链接即可。

首次登录需要设置admin的密码，medium以上强度即可

然后会自动跳转登录界面，使用admin和上边设定的密码进入即可。

 首次登录需要进行几步设置，不过基本都直接NEXT即可。

选择网卡，直接NEXT

当前扫描到的资产，直接NEXT

安装基于主机的入侵检测系统。windows主机需要输入域管理账号Linux机器需要输入主机账号，然后在在右边选中机器，然后点击DEPLOY进行安装。

我们不安装，直接NEXT。

 

 日志管理。我这里是虚拟机所以没有什么直接SKIP THIS STEEP，有也是直接NEXT。

OTX即Open Threat Exchange，威胁情报交换，自己注册个账号去登录即可。我这里直接SKIP THIS STEEP

 

 进入OSSIM

此时终于进入见到OSSIM的庐山真面目

dashboards菜单----可视化图表

analysis----用于筛选查看收集到的数据

environment----资产清单、漏洞扫描、流量监控等重要功能就在这里

reports----顾名思义就是生成和查看各种报告的地方

configuration----web系统匹置菜单

OSSIM也就以上几个菜单的功能，复杂度都不及ELK和Zabbix自己随便点点玩玩就差不多了。