OSSIM插件開發實戰
由於現有安全設備產生日誌格式不統一,故無法直接進行關聯分析,在Ossim系統中採取了基於插件過濾的方式對異構安防設備的日誌進行採集,OSSIM插件開發,是開發人員的必備技能,下面就對它進行詳細講解。
一、插件配置步驟
經過以上描述,大家瞭解收集日誌的流程,接下來就要建立腳本,步驟如下:
(1)新建插件文件,通常複製一個現有的腳本文件,並修改其內容,以符合新的應用程序需求。
(2)定義一個通用規則,這是最後的規則來評價,它捕獲所有的事件,不能根據特定規則進行分組。
(3)去除噪聲,OSSIM可以排除某些無關事件子類型的事件被視爲噪聲,說的簡單點就是在IDS/IPS等安全設備上產生的海量重複報警就是噪聲。
(4)通過OSSIM代理註冊插件,爲了將事件發送到的OSSIM服務器,就要將插件激活,插件的路徑必須在代理配置文件中指定。
5)通過OSSIM Server註冊插件,以讓服務器知道事件的優先級和可靠性價值的事件,就必須在Server端也註冊插件。
(6)在Server端激活插件,重啓OSSIM Server進程。
#/etc/init.d/ossim-server restart
(7)在Agent代理端激活插件,重啓OSSIM Agent進程。
#/etc/init.d/ossim-agent restart
二、插件導入
假設有一段導出的SQL文件,其中包含有可執行SQL語句。例如將MySQL數據庫備份到test.sql文件裏,就可以用下面方法進行還原:
#mysql < test.sql
可以在MySQL的提示符下用SOURCE命令來加載 SQL文件。但如果壓縮了SQL文件怎麼做還原呢?是不是要先解壓縮在加載呢?例如:
#gunzip –c test.sql.gz |mysql
OSSIM 在安裝後期通過一些SQL語句集中導入插件,導入完畢放置在/usr/share/doc/ossim-mysql/contrib./plugins/目錄下,擴展名爲sql.gz,如果發現某些插件需重新導入數據庫可以先用gunzip命令解壓sql.gz文件,再使用“ossim-db<file.sql”方式導入。如果是新插件怎麼辦?就複製一個功能類似插件,然後修改SQL代碼,在導入數據庫。或許會思考,如果只還原單獨的表(例如表asset)又會怎樣?看看如下操作:
#grep ‘INSERT INTO `asset`’ test.sql |mysql test
或者文件是壓縮的:
#gunzip –c test.sql.gz |grep ‘INSERT INTO`asset`’|mysql test
注意,test 代表實例數據庫名稱。一旦MySQL加載完數據,gunzip就會自動退出。
根據《開源安全運維平臺-OSSIM最佳實踐》第七章插件註冊講解的內容,我們修改/etc/ossim/agent/config.cfg在[plugins]中加入插件,如圖下所示。
myexample=/etc/ossim/agent/plugins/myexample.cfg
最後打開ossim-setup配置程序並選擇:ConfigureSensor→Select DataSources,找到myexample插件選中後,保存退出。
當看到上面這些信息是說明插件已成功添加,下面要重啓服務即可生效。
#/etc/init.d/ossim-server restart \\重啓ossim server端
#/etc/init.d/ossim-agent restart \\重啓agent端
最後可以到SIEM控制檯下查看該插件採集到的日誌,爲了使大家有更直觀的體驗特在最新版OSSIM中製作了一刻鐘的視頻講解。
視頻地址:http://edu.51cto.com/index.php?do=lesson&id=99668