開源USM-AlienVault OSSIM

    什麼是USM，其實就是安全管理平臺的百寶箱，不需要二次開發可以直接將插件嵌入到平臺。整合各種功能插件、日誌信息、監控信息。下面就讓我們一起聊一聊OSSIM吧。

1、概述

美國公司，在德國、西班牙、英國和墨西哥設有分支機構。主要從事SIEM(SOC)相關業務。主要商業模式是推廣開源的OSSIM，並提供服務收費。另自建SOC中心，號稱CloudSIEM。

2、產品情況

有三種產品：OpenSource SIM、SIM Professional和Cloud SIEM。SIM Professional版本基於OpenSource SIM(OSSIM)開發，同一個分支，未註冊的就是OS版，通過註冊號註冊成爲Prof版會增加關聯分析能力、一些合規性報表等。老版本的ossim的源代碼把所有代碼放在一個工程下面，1.0以後的版本基本都分開了，代碼工程如下： 

1.agent  2.os-sim  3.server  4.web  5.ossim-gsoc2008

3、收費服務

培訓、認證、技術支持和定期數據更新(通告、規則、報表、插件等)。

4、業界評價

Gartner的SOC行業分析幻方(Magic Quadrant)一直沒有將其考察範圍，主要因素可能是營收還比較小不滿足Gartner標準，但是由於OpenSource概念行業一直對其比較關注。

5、OpenSource SIM情況

架構

系統分爲SIEM、Sensor和Logger三部分。Sensor類似於採集器，但是含義更廣，包含拓撲發現、漏洞信息收集等所有的信息收集功能；Logger是類似於我們通訊服務器，負責存儲、備份、取證等；SIEM就是操作中心、審計、規則等等。

OSSIM可以分成幾大部分：

           ossim-agent

           ossim-framework

           ossim-server

           ossim-web界面

可以參考的方面

• 基於插件的體系，靈活性比基於配置更強一些，也便於整合第三方工具；

  缺點是可能會造成一些混亂

• 採集協議支持較爲全面（很多是依賴插件完成），比如Syslog, Syslog-ng,

  SNMPv2, SNMPv3, OPSEC, HTTP,WMI, SQL, ODBC, FTP,SFTP, Socket

  UNIX, flat file, SSH, Rsync, Samba, NFS, SDEE, RDEP, CPMI多種協議

• 利用多種開源工具無需一次開發

• 支持無線網絡的功能比較特別

• 展現方式比較豐富，速度較慢

6、安裝

安裝拓撲：

VMware 新建alienvault_ossim 的虛擬機，將光驅設置爲下載好的iso文件就OK。

• 在“Install OSSIM”界面，點擊“Install AlientVaultOSSIM 5.0 (64Bit)”

  （此爲混合安裝模式）；

• 在“Select a language”界面，選擇“Chinese (Simplified)”，點擊Continue；
  

• 在“選擇你的區域”界面，選擇“中國”，點擊繼續；

• 在“配置鍵盤”界面，選擇“美國英語”，點擊繼續；

• 在“配置網絡”界面，輸入IP地址：172.16.100.100，點擊繼續；

• 輸入網絡掩碼：255.255.255.0，點擊繼續；

• 輸入網關：172.16.100.1，點擊繼續；

• 輸入域名服務器地址：114.114.114.114，點擊繼續；

• 在“設置用戶和密碼”界面，輸入Root用戶的密碼，點擊繼續；

• 安裝完成之後，就可以通過Web界面進行訪問了：https://172.16.100.100

7、總結

    經過對代碼研究，似乎代碼也不是完整的(應該缺少很多規則的定義)。沒有任何工程和編譯說明，從代碼編譯出二進制包估計是不可能的。基本是個大雜燴，採用了插件的體系結構，有內置的插件，也有第三方的插件。目前的插件號稱有2000多種。展現方式是比較豐富的，比如雷達圖之類的。另外正式版做了大量27001和PCI-DSS合規性報表（沒註冊碼看不見內容，只能看見標題），比較符合國外的應用環境。開源版沒有多條事件的關聯分析能力，Prof版纔有。

    非常值得注意的一個事是：衆包模式和大量威脅數據可能不會提高USM的有效性。這方面最權威的第三方分析機構Gartner認爲，更多的數據並不一定是一件好事，如果你不能正確地分析這些數據。“我們的問題並不是缺少數據，我們缺少的是分析這些數據的智能化。”如果下一代產品可以提供智能和實用性的結合體，企業才能夠獲益。USM市場還有很大的可開拓的空間！

常見報錯解決方法：

1、OSSIM 簡體中文顯示亂碼問題解決
#首先是進入OSSIM的管理後臺，用SSH登錄後，進入系AlienVault Setup菜單，選擇 3 Jailbreak system  即可使用Root權限進入後臺
#修改本地化
執行 dpkg-reconfigure locales
#添加VIM對於UTF-8的支持
vi /etc/vim/vimrc
行尾添加
set encoding=utf8
set fileencodings=ucs-bom,gbk,gb2312,gb18030,utf-8,latin1
#同時指定自己的遠程登錄時字體編碼爲UTF-8

#默認安裝完成沒有msgfmt這個命令
apt-get install gettext

1)把/usr/share/locale/zh_CN/LC_MESSAGES/ossim.po下載到本地；
2)另存爲GB2312格式；
3)用word將繁體中文改爲簡體；
4)修改第17行的編碼，從UTF-8改成GB2312；
5)將修改後的文件上傳到服務器覆蓋原有的文件；
6)按照網上的方式運行msgfmt ossim.po -o ossim.mo
7)修改apache配置文件：/etc/apache2/conf.d/charset，在最後增加“AddDefaultCharset gb2312”；
8)重啓apache：/etc/init.d/apache2 restart，一切OK。

===========================================