Ossim主要功能實戰

**

• Ossim主要功能實戰

**

OSSIM經過將開源產品進行集成，從而提供一種可以實現安全監控功能的基礎平臺將Nagiso,Ntop,Snort,Nmap等開源工具集成在一塊兒提供綜合的安全保護功能，而沒必要在各個系統中來回切換比較麻煩，並且統一了數據存儲，人們能獲得一站式的服務，這就是OSSIM給咱們帶來的好處。當Ossim系統安裝完畢後，咱們在輸入Web地便可打開主界面，下面的例子咱們暫用ossiim 3.x爲平臺講解，看看它給咱們提供了那些實用的功能。

1、安裝

安裝Ossim和普通Linux發行版沒有什麼區別，在企業環境部署的時候參照前面一節講解的Ntop原則，硬件選擇方面咱們部署Ossim須要獨立的一臺高性能服務器（內存呢至少8G以上且配備了多處理器，硬盤空間不低於1TB），安裝選擇自定義安裝，到分區選項中咱們選擇Guided-use entire disk and set up LVM；分區定義時不要選擇"All files in one partition"而須要選擇第三項將 /home,/usr/,/var,/tmp分爲獨立分開。

因爲篇幅所限，安裝的其餘過程就不在講解，安裝時間上通常是半小時左右（更具硬件配置來定）。
安裝完畢重啓機器,而後再客戶機輸入你機器的IP地址，這裏是 http://192.168.150.20/
首次登錄系統輸入用戶admin,密碼:admin，這時系統提示修改密碼。

因爲OSSIM是用精簡的Debian Linux裁剪而成，沒有圖形界面。在配置好網絡以後首次登錄建議進行系統升級alienvault(同時也升級漏洞庫)，升級方法很是簡單輸入:

alienvault-update

首次升級數據量比較大，一般在300MB 左右，這時須要你的網絡環境比較好。這裏須要注意一下整個系統的配置文件在/etc/ossim/ossim_setup.conf裏配置，包含了登錄Ip信息、主機名、監聽網卡名稱、mysql名、Snmp、啓動的Sensors類別、監聽的網段等重要信息。
1.漢化問題
關於漢化的問題，OSSIM的中文語言包是「/usr/share/local/zh_CN/LC_MESSAGES/ossim.po」輸入：

msgfmt ossim.po –o ossim.mo

由於Apache默認頁面的字符編碼爲UTF-8,爲防止每次刷新後顯示亂碼，須要修改」/etc/apache2/conf.d/charset」
註銷AdddefaultCharset UTF-8一行
而後啓用AddDefaultcharset gb2312,最後重啓apache

/etc/init.d/apache2 restart

2、應用

經過驗證進入系統後，馬上展示在咱們眼前的是事件，日誌和評估風險的圖像，若是沒有顯示完整極可能你的瀏覽器不支持Flash插件。
clip_image004
能夠經過監控服務器區域的網段進行掃描獲取主機基本信息
clip_image006
點擊Tools->Net Discovery，選擇手動掃描，輸入CIDR地址，這裏是192.168.150.0/24 ,表示這個網段的IP地址從192.168.150.1開始到192.168.150.254結束,掃描模式通常選擇"FastScan"，若是機器數量大於5臺建議不要選擇"Full Scan",，若是掃描時間以機器數量爲準。掃描完成後忘記確認「Update database values」更新數據庫。這一步剛剛完成收集主機的基本信息的任務，下面進行更詳細的主機分析-主機的安全信息和事件分析管理。
clip_image008
3）.對指定主機進行漏洞掃描
選擇Analysis-〉Vulnerabilities-〉Scan Jobs-〉新建掃描任務，咱們填寫網段的基本信息，如上圖所示
clip_image010
填寫完畢後爲確保沒有錯誤，點擊"Configuration Check"對配置文件進行檢查確認。整個掃描的內容之詳細是你所沒法想象的，一下子咱們看看結果。
clip_image012
上圖中列出了掃描完成後自動生成的餅圖，顯示出當前主機的安全等級和開放的服務。深紅色的區域（High 27）表示高危主機有嚴重的漏洞，須要處理。
clip_image015
詳情在Reports選項卡中，在這裏紅色區域的主機就須要工程師們仔細排查處理了，若是您以爲這還不過癮，稍後咱們會詳細講一個解漏洞掃描案例。
若是您的領導須要查看掃描報告，這時只需在clip_image017 Scan Jobs裏選擇相應輸出類型便可，默認系統支持excel,pdf,html,等格式輸出。下圖就是生成的長達143頁的報告。
clip_image019
咱們還能夠對報告進行定製，在右邊的Reports->Reports
clip_image021
在這裏監控主機狀態的工做變得十分容易，咱們選擇Assets->Assets,New添加
clip_image023
clip_image025
clip_image027
在這裏添加主機和服務變得更加直觀，並且咱們能夠更加方便的查看網絡拓撲，還能夠顯示每一臺主機的信息。
clip_image029
點選Host Problem,則直接列出網絡中立即的主機詳細信息。
clip_image031
選擇「Status Map」,在Layout Method選項中選擇Balanced tree,結果以下圖，若主機過多，圖像現實會很是密集，能夠調整Scaling factor的數值，直到滿意效果。
clip_image033
clip_image035
clip_image037
clip_image039
能夠展現全部主機開放應用的狀況，也能夠反映出某一主機的應用在每一個時間段的工做狀況，綠色表示正常，紅色表示有故障發生，須要處理。
clip_image041
OSSIM不但可以將網絡主機的各類信息和數據進行存儲加工，本身的健康情況也一點也不含糊的顯示出來，從Disk 、Network、 Postfix、 Processes、 Sensors、 System 各個方面幾十張圖標記錄着各類運行狀態，以供管理員及時處理。
在構建分佈式系統方面 OSSIM能生成直觀的拓撲圖，在每臺主機上設置參數也十分方便
clip_image043
上圖能夠定製本身選定的拓撲圖。

3、第三方監控工具集成

同Cacti的集成
有的人喜歡Cacti的流量監控，同時但願把它集成到OSSIM中，這時咱們須要修改一下php代碼，首先須要安裝cacti並配置好，而後咱們須要編輯/usr/share/ossim/www/menu_options.php文件（大約在1044行的位置加入以下代碼） 。
$menu["Monitors"][] = array(
"name" => gettext("Cacti"),
"id" => "Cacti",
"url" => "http://192.168.150.100/cacti",
);
$menu["Monitors"][] = array(
"name" => gettext("Zabbix"),
"id" => "Zabbix",
"url" => http://192.168.150.100/zabbix, );