Linux 安裝配置 OSSIM-HIDS

時間 2021-01-19

標籤 html c++ git github shell centos 安全網絡 ide atom 欄目 Linux 简体版

原文原文鏈接

Linux 安裝配置 OSSIM-HIDS

OSSIM安裝使用教程html

OSSIM官方ISO文件下載地址c++

OSSEC官網下載地址git

Linux 下配置 OSSIM-HIDSgithub

推薦拜讀李晨光老師的 OSSIM 博文shell

相關概念說明

SEM，security event management，安全事件管理，指對事件進行實時監控，收集信息差展生通知和告警的行爲。centos

SIM，security information management，安全信息管理，指對SEM收集和產生的數據進行長期保存以供歷史和趨勢分析的行爲。安全

SIEM，security information and event management，安全信息和事件管理，即SEM和SIM的結合體。網絡

SOC，security operations center，安全運營中心。ide

TI，Threat Intelligence，威脅情報。SOC偏重內部網絡態勢感知，而TI偏重於外部網絡態勢感知好比新出了什麼漏洞、病毒、安全事件等等。atom

SA，situational awareness，態勢感知。

SRC，Security Response Center，安全響應中心。狹義上只是一個提交產品漏洞的入口，但廣義上包含各類安全系統及系統維護人員。

他們的關係是：SRC > SA >= SOC [ + TI ] >= SIEM = SEM+SIM。

一款典型的SIEM產品具備如下功能：資產發現、漏洞掃描、***檢測、日誌存儲分析和可視化展現。

wget https://updates.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/atomic-release-1.0-21.el7.art.noarch.rpm
wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz
rpm -ivh atomic.rpm
tar -xvf ossec-hids-3.6.0.tar.gz
cd ossec-hids-3.6.0
yum install -y gcc gcc-c++ pcre2-devel libevent-devel zlib-devel openssl-devel

./install.sh
agent
OSSIM 源IP地址

touch /var/ossec/queue/rids/sender

echo "/var/ossec/bin/ossec-control start" >> /etc/rc.local

# agent 端配置 Key
/var/ossec/bin/manage_agents

# 重啓客戶端 ossec 服務
/var/ossec/bin/ossec-control  restart

#-lc 表示顯示已經成功鏈接服務端的客戶端列表
/var/ossec/bin/agent_control -lc

代理控制參數選項：
-h                         顯示幫助消息
-l                         列出全部可能的代理
-lc                        列出活動的代理
-i  <agent_id>                獲取代理的相關信息 agent_id
-r                         運行代理中的integrity/rootcheck檢查，要和-u或-a 一塊兒使用。
-a                         對全部代理起作用
-u    <agent_id>            <agent_id>預先指定代理ID號

# 查看 ossec 日誌
tail -40f /var/ossec/logs/ossec.log

# 獲取特定代理的信息:
/var/ossec/bin/agent_control -i 3