OSSIM开源安全信息管理系统

OSSIM开源安全信息管理系统
官网：https://cybersecurity.att.com/products/ossim

OSSIM即安全信息管理系统，是目前非常流行、完整、成熟的安全架构体系。OSSIM通过将安全产品进行集成，提供一种安全监控功能的基础平台。OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息，同时进行相关功能的整合，它具有入侵检测，漏洞扫描，资产管理，安全监控，日志分析，流量分析等功能。

OSSIM是开源的SIM，其核心仍然是依靠SIEM，主要优点是通过有关事件、数据、风险等信息，实时了解全网威胁态势。是一个从 运维监控→事前预警→事后报警→SIEM日志分析故障 的一个快速解决问题的网络系统。

集成主要安全程序：

Snort:入侵检测系统
Rrdtool:系统监控
Nmap:网络扫描和嗅探工具包
Nessus:系统漏洞扫描于分析软件
Ntop:网络流量监控
Nagios：监控系统和网络应用
Pads：被动的网络发现工具
Tcptrack：TCP连接嗅探器
ArpWatch：监听ARP通信

主要模块介绍：

DASHBOARDS：仪表盘，将数据以可视化图表形式展示，更加直观，便于查看管理

ANALYSIS：事件分析，用于筛选查看收集到的数据

ENVIRONMENT：资产清单、漏洞扫描、Ntop流量分析、网络抓包分析、可用性监控等重要功能就在这里

REPORTS：统一报表，生成和查看各种报告的地方

CONFIGURATION：web系统匹置菜单，基础配置、部署管理、策略管理

1. DASHBOARDS

1.1 OVERVIEW

1.1.1 OVERVIEW-EXECUTIVE：

1.1.2 OVERVIEW-TICKETS：

• TICKET RESOLUTION TIME
  

• TICKET STATUS
  

• OPEN TICKETS BY USER
  

• TICKETS CLOSED BY MONTH
  

• OPENTICKETS BY CLASS
  

• OPENTICKETTYPES
  
  

1.1.3 OVERVIEW-SECURITY：

• TOP 10 PROMISCUOUS HOSTS
  
  
  
  
  

• SECURITY EVENTS: TOP 5ALARMS
  
  

• SECURITY EVENTS: TOP 5 EVENTS
  
  
  

• TOP 10 HOSTS WITH MULTIPLE EVENTS
  

• SECURITY EVENTS TREND: LAST DAY
  
  

• SECURITY EVENTS TREND: LASTWEEK
  
  

1.1.4 OVERVIEW-TAXONOMY：

• TOP 10 HOSTS WITH MALWARE DETECTED

• SUCCESSFUL AUTHENTICATION LOGIN VS FAILED LOGIN EVENTS
  
  
  

• MALWARE EVENTS BY TYPE

• FIREWALL PERMIT VS FIREWALL DENY EVENTS

• SYSTEM EVENTS
  
  
  

• EXPLOITS EVENT TYPES
  
  
  
  
  
  
  

1.1.5 OVERVIEW-VULNERABILITIES：

• VULNERABILTIES REPORT
  
  
  
  

1.2 DEPLOYMENT STATUS

1.3 OPEN THREAT EXCHANGE

2. ANALYSIS

ANALYSIS模块主要用于分析网络状况，识别网络风险和安全隐患。其中，使用 TICKETS菜单可以查看每台机器的状态。

2.1 ALARMS

2.2 SECURITY EVENTS (SIEM)

2.3 RAW LOGS

2.4 TICKETS

3. ENVIRONMENT

ASSETS& GROUPS菜单可以监控机器列表; VULNERABILITIES菜单用于查看扫描漏洞; NETFLOW菜单用于查看网络状况，包含TCP、UTD、ICMP及其他网络资源; TRAFFIC CAPTURE菜单用于抓取数据包; AVAILABILITY菜单可以通过树型结构显示网络状况; DETECTION菜单包含入侵检测，并对入侵事件进行分类。

3.1 ASSETS & GROUPS

• ASSETS
  

• ASSETGROUPS
  
  

• NETWORKS
  
  
  
  
  
  
  
  
  
  
  
  
  

• NETWORKGROUPS
  

• SCHEDULE SCAN
  

3.2 VULNERABILITIES

• OVERVIEW
  
  

• SCAN JOBS
  
  

• THREAT DATABASE
  
  
  

3.3 NETFLOW

• DETAILS
  
  

• OVERVIEW
  

• GRAPH
  

3.4 TRAFFIC CAPTURE

3.5 AVAILABILITY

• MONITORING
  
  
  
  
  
  
  
  
  

• REPORTING
  

3.6 DETECTION

4. REPORTS

REPORTS模块只有一个菜单 OVERVIEW，包含报表的生成和导出，也可以通过邮件发送HTML报告

OVERVIEW

5. CONFIGURATION

CONFIGURATION模块主要提供配置系统、添加系统管理员、修改密码、设置语言和查看OSSM服务器状态等功能。

• ADMINISTRATION
  
  
  

• DEPLOYMENT
  
  
  

• THREAT INTELCE
  
  
  
  
  
  
  
  
  
  
  

• OPEN THREAT EXCHANGE
  

缺点
该款开源基本满足要求，但它不具备大规模日志采集和存储能力，而是一个SEM，更偏重于实时的安全监控，实时风险评估，报警与处理。并且根据官网资料，开源版本不提供日志管理功能，具体为什么日志管理功能，并未查到。

References:
/etc/ossim/agent/plugins/
OSSIM服务器的核心组件配置文件：/etc/ossim/server
/etc/ossim/agent/
ossim-server -d -c /etc/ossim/server/config.xml
ossim-server -v
/usr/share/ossim/scripts/
/usr/share/ossim-framework/ossimframework/
vi /etc/ossim/ossim_setup.conf
vi /etc/ossim/server/config.xml

alienvault:~# lsof -Pnl +M -i4|grep ossim-fra
ossim-fra 26783 0 5u IPv4 42901942 0t0 TCP 127.0.0.1:44248->127.0.0.1:3306 (ESTABLISHED)
ossim-fra 26783 0 6u IPv4 42901896 0t0 TCP 127.0.0.1:44230->127.0.0.1:3306 (ESTABLISHED)
ossim-fra 26783 0 7u IPv4 42902985 0t0 TCP *:40003 (LISTEN)
ossim-fra 26783 0 9u IPv4 42903020 0t0 TCP 10.20.3.119:40003->10.20.3.119:44746 (ESTABLISHED)

alienvault:~# lsof -Pnl +M -i4 | grep ossim-ser
ossim-ser 3229 113 8u IPv4 27757 0t0 TCP 127.0.0.1:50700->127.0.0.1:3306 (ESTABLISHED)
ossim-ser 3229 113 9u IPv4 27759 0t0 TCP 127.0.0.1:50702->127.0.0.1:3306 (ESTABLISHED)
ossim-ser 3229 113 11u IPv4 27801 0t0 TCP *:40009 (LISTEN)
ossim-ser 3229 113 13u IPv4 29233 0t0 TCP *:40001 (LISTEN)
ossim-ser 3229 113 14u IPv4 32125 0t0 TCP *:40002 (LISTEN)
ossim-ser 3229 113 15u IPv4 32430 0t0 TCP 127.0.0.1:40002->127.0.0.1:52140 (ESTABLISHED)
ossim-ser 3229 113 16u IPv4 29532 0t0 TCP 127.0.0.1:40001->127.0.0.1:40866 (ESTABLISHED)

alienvault:~# netstat -lnt | grep 4000
tcp 0 0 0.0.0.0:40001 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:40002 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:40003 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:40009 0.0.0.0:* LISTEN

alienvault:~# netstat -na | grep 5672
tcp 0 0 0.0.0.0:25672 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:56942 127.0.0.1:5672 ESTABLISHED
tcp 0 0 127.0.0.1:44504 127.0.0.1:5672 ESTABLISHED
tcp 0 0 127.0.0.1:54838 127.0.0.1:5672 ESTABLISHED
tcp 0 0 127.0.0.1:56852 127.0.0.1:5672 ESTABLISHED
tcp 0 0 127.0.0.1:56946 127.0.0.1:5672 ESTABLISHED
tcp 0 0 127.0.0.1:54876 127.0.0.1:5672 ESTABLISHED
tcp 0 0 127.0.0.1:44666 127.0.0.1:5672 ESTABLISHED
tcp6 0 0 :::5672 ::😗 LISTEN
tcp6 0 0 127.0.0.1:5672 127.0.0.1:54838 ESTABLISHED
tcp6 0 0 127.0.0.1:5672 127.0.0.1:44504 ESTABLISHED
tcp6 0 0 127.0.0.1:5672 127.0.0.1:54876 ESTABLISHED
tcp6 0 0 127.0.0.1:5672 127.0.0.1:56852 ESTABLISHED
tcp6 0 0 127.0.0.1:5672 127.0.0.1:56942 ESTABLISHED
tcp6 0 0 127.0.0.1:5672 127.0.0.1:44666 ESTABLISHED
tcp6 0 0 127.0.0.1:5672 127.0.0.1:56946 ESTABLISHED

/etc/rabbitmq/rabbitmq-env.conf

/var/lib/rabbitmq

提示：永远不要用kill命令直接停止RabbitMQ服务器，而应该采用rabbitmqctl命令，这样可以将数据同步保存到磁盘，然后关闭服务：

Rabbitmqctl stop