什麼是USM,其實就是安全管理平臺的百寶箱,不需要二次開發可以直接將插件嵌入到平臺。整合各種功能插件、日誌信息、監控信息。下面就讓我們一起聊一聊OSSIM吧。
1、概述
美國公司,在德國、西班牙、英國和墨西哥設有分支機構。主要從事SIEM(SOC)相關業務。主要商業模式是推廣開源的OSSIM,並提供服務收費。另自建SOC中心,號稱CloudSIEM。
2、產品情況
有三種產品:OpenSource SIM、SIM Professional和Cloud SIEM。SIM Professional版本基於OpenSource SIM(OSSIM)開發,同一個分支,未註冊的就是OS版,通過註冊號註冊成爲Prof版會增加關聯分析能力、一些合規性報表等。老版本的ossim的源代碼把所有代碼放在一個工程下面,1.0以後的版本基本都分開了,代碼工程如下:
1.agent 2.os-sim 3.server 4.web 5.ossim-gsoc2008
3、收費服務
培訓、認證、技術支持和定期數據更新(通告、規則、報表、插件等)。
4、業界評價
Gartner的SOC行業分析幻方(Magic Quadrant)一直沒有將其考察範圍,主要因素可能是營收還比較小不滿足Gartner標準,但是由於OpenSource概念行業一直對其比較關注。
5、OpenSource SIM情況
架構
系統分爲SIEM、Sensor和Logger三部分。Sensor類似於採集器,但是含義更廣,包含拓撲發現、漏洞信息收集等所有的信息收集功能;Logger是類似於我們通訊服務器,負責存儲、備份、取證等;SIEM就是操作中心、審計、規則等等。
OSSIM可以分成幾大部分:
ossim-agent
ossim-framework
ossim-server
ossim-web界面
可以參考的方面
基於插件的體系,靈活性比基於配置更強一些,也便於整合第三方工具;
缺點是可能會造成一些混亂
採集協議支持較爲全面(很多是依賴插件完成),比如Syslog, Syslog-ng,
SNMPv2, SNMPv3, OPSEC, HTTP,WMI, SQL, ODBC, FTP,SFTP, Socket
UNIX, flat file, SSH, Rsync, Samba, NFS, SDEE, RDEP, CPMI多種協議
利用多種開源工具無需一次開發
支持無線網絡的功能比較特別
展現方式比較豐富,速度較慢
6、安裝
安裝拓撲:
VMware 新建alienvault_ossim 的虛擬機,將光驅設置爲下載好的iso文件就OK。
在“Install OSSIM”界面,點擊“Install AlientVaultOSSIM 5.0 (64Bit)”
(此爲混合安裝模式);
在“Select a language”界面,選擇“Chinese (Simplified)”,點擊Continue;
在“選擇你的區域”界面,選擇“中國”,點擊繼續;
在“配置鍵盤”界面,選擇“美國英語”,點擊繼續;
在“配置網絡”界面,輸入IP地址:172.16.100.100,點擊繼續;
輸入網絡掩碼:255.255.255.0,點擊繼續;
輸入網關:172.16.100.1,點擊繼續;
輸入域名服務器地址:114.114.114.114,點擊繼續;
在“設置用戶和密碼”界面,輸入Root用戶的密碼,點擊繼續;
安裝完成之後,就可以通過Web界面進行訪問了:https://172.16.100.100
7、總結
經過對代碼研究,似乎代碼也不是完整的(應該缺少很多規則的定義)。沒有任何工程和編譯說明,從代碼編譯出二進制包估計是不可能的。基本是個大雜燴,採用了插件的體系結構,有內置的插件,也有第三方的插件。目前的插件號稱有2000多種。展現方式是比較豐富的,比如雷達圖之類的。另外正式版做了大量27001和PCI-DSS合規性報表(沒註冊碼看不見內容,只能看見標題),比較符合國外的應用環境。開源版沒有多條事件的關聯分析能力,Prof版纔有。
非常值得注意的一個事是:衆包模式和大量威脅數據可能不會提高USM的有效性。這方面最權威的第三方分析機構Gartner認爲,更多的數據並不一定是一件好事,如果你不能正確地分析這些數據。“我們的問題並不是缺少數據,我們缺少的是分析這些數據的智能化。”如果下一代產品可以提供智能和實用性的結合體,企業才能夠獲益。USM市場還有很大的可開拓的空間!
常見報錯解決方法:
1、OSSIM 簡體中文顯示亂碼問題解決
#首先是進入OSSIM的管理後臺,用SSH登錄後,進入系AlienVault Setup菜單,選擇 3 Jailbreak system 即可使用Root權限進入後臺
#修改本地化
執行 dpkg-reconfigure locales
#添加VIM對於UTF-8的支持
vi /etc/vim/vimrc
行尾添加
set encoding=utf8
set fileencodings=ucs-bom,gbk,gb2312,gb18030,utf-8,latin1
#同時指定自己的遠程登錄時字體編碼爲UTF-8
#默認安裝完成沒有msgfmt這個命令
apt-get install gettext
1)把/usr/share/locale/zh_CN/LC_MESSAGES/ossim.po下載到本地;
2)另存爲GB2312格式;
3)用word將繁體中文改爲簡體;
4)修改第17行的編碼,從UTF-8改成GB2312;
5)將修改後的文件上傳到服務器覆蓋原有的文件;
6)按照網上的方式運行msgfmt ossim.po -o ossim.mo
7)修改apache配置文件:/etc/apache2/conf.d/charset,在最後增加“AddDefaultCharset gb2312”;
8)重啓apache:/etc/init.d/apache2 restart,一切OK。
===========================================