開源USM-AlienVault OSSIM

    什麼是USM，其實就是安全管理平臺的百寶箱，不須要二次開發能夠直接將插件嵌入到平臺。整合各類功能插件、日誌信息、監控信息。下面就讓咱們一塊兒聊一聊OSSIM吧。

一、概述

美國公司，在德國、西班牙、英國和墨西哥設有分支機構。主要從事SIEM(SOC)相關業務。主要商業模式是推廣開源的OSSIM，並提供服務收費。另自建SOC中心，號稱CloudSIEM。

二、產品狀況

有三種產品：OpenSource SIM、SIM Professional和Cloud SIEM。SIM Professional版本基於OpenSource SIM(OSSIM)開發，同一個分支，未註冊的就是OS版，經過註冊號註冊成爲Prof版會增長關聯分析能力、一些合規性報表等。老版本的ossim的源代碼把全部代碼放在一個工程下面，1.0之後的版本基本都分開了，代碼工程以下： 

1.agent  2.os-sim  3.server  4.web  5.ossim-gsoc2008

三、收費服務

培訓、認證、技術支持和按期數據更新(通告、規則、報表、插件等)。

四、業界評價

Gartner的SOC行業分析幻方(Magic Quadrant)一直沒有將其考察範圍，主要因素多是營收還比較小不知足Gartner標準，可是因爲OpenSource概念行業一直對其比較關注。

五、OpenSource SIM狀況

架構

系統分爲SIEM、Sensor和Logger三部分。Sensor相似於採集器，可是含義更廣，包含拓撲發現、漏洞信息收集等全部的信息收集功能；Logger是相似於咱們通信服務器，負責存儲、備份、取證等；SIEM就是操做中心、審計、規則等等。

OSSIM能夠分紅幾大部分：

           ossim-agent

           ossim-framework

           ossim-server

           ossim-web界面

能夠參考的方面

• 基於插件的體系，靈活性比基於配置更強一些，也便於整合第三方工具；

  缺點是可能會形成一些混亂

• 採集協議支持較爲全面（不少是依賴插件完成），好比Syslog, Syslog-ng,

  SNMPv2, SNMPv3, OPSEC, HTTP,WMI, SQL, ODBC, FTP,SFTP, Socket

  UNIX, flat file, SSH, Rsync, Samba, NFS, SDEE, RDEP, CPMI多種協議

• 利用多種開源工具無需一次開發

• 支持無線網絡的功能比較特別

• 展示方式比較豐富，速度較慢

六、安裝

安裝拓撲：

VMware 新建alienvault_ossim 的虛擬機，將光驅設置爲下載好的iso文件就OK。

• 在「Install OSSIM」界面，點擊「Install AlientVaultOSSIM 5.0 (64Bit)」

  （此爲混合安裝模式）；

• 在「Select a language」界面，選擇「Chinese (Simplified)」，點擊Continue；
  

• 在「選擇你的區域」界面，選擇「中國」，點擊繼續；

• 在「配置鍵盤」界面，選擇「美國英語」，點擊繼續；

• 在「配置網絡」界面，輸入IP地址：172.16.100.100，點擊繼續；

• 輸入網絡掩碼：255.255.255.0，點擊繼續；

• 輸入網關：172.16.100.1，點擊繼續；

• 輸入域名服務器地址：114.114.114.114，點擊繼續；

• 在「設置用戶和密碼」界面，輸入Root用戶的密碼，點擊繼續；

• 安裝完成以後，就能夠經過Web界面進行訪問了：https://172.16.100.100

七、總結

    通過對代碼研究，彷佛代碼也不是完整的(應該缺乏不少規則的定義)。沒有任何工程和編譯說明，從代碼編譯出二進制包估計是不可能的。基本是個大雜燴，採用了插件的體系結構，有內置的插件，也有第三方的插件。目前的插件號稱有2000多種。展示方式是比較豐富的，好比雷達圖之類的。另外正式版作了大量27001和PCI-DSS合規性報表（沒註冊碼看不見內容，只能看見標題），比較符合國外的應用環境。開源版沒有多條事件的關聯分析能力，Prof版纔有。

    很是值得注意的一個事是：衆包模式和大量威脅數據可能不會提升USM的有效性。這方面最權威的第三方分析機構Gartner認爲，更多的數據並不必定是一件好事，若是你不能正確地分析這些數據。「咱們的問題並非缺乏數據，咱們缺乏的是分析這些數據的智能化。」若是下一代產品能夠提供智能和實用性的結合體，企業纔可以獲益。USM市場還有很大的可開拓的空間！

常見報錯解決方法：

一、OSSIM 簡體中文顯示亂碼問題解決
#首先是進入OSSIM的管理後臺，用SSH登陸後，進入系AlienVault Setup菜單，選擇 3 Jailbreak system  便可使用Root權限進入後臺
#修改本地化
執行 dpkg-reconfigure locales
#添加VIM對於UTF-8的支持
vi /etc/vim/vimrc
行尾添加
set encoding=utf8
set fileencodings=ucs-bom,gbk,gb2312,gb18030,utf-8,latin1
#同時指定本身的遠程登陸時字體編碼爲UTF-8

#默認安裝完成沒有msgfmt這個命令
apt-get install gettext

1)把/usr/share/locale/zh_CN/LC_MESSAGES/ossim.po下載到本地；
2)另存爲GB2312格式；
3)用word將繁體中文改成簡體；
4)修改第17行的編碼，從UTF-8改爲GB2312；
5)將修改後的文件上傳到服務器覆蓋原有的文件；
6)按照網上的方式運行msgfmt ossim.po -o ossim.mo
7)修改apache配置文件：/etc/apache2/conf.d/charset，在最後增長「AddDefaultCharset gb2312」；
8)重啓apache：/etc/init.d/apache2 restart，一切OK。

===========================================