Ossim主要功能实战

Ossim主要功能实战

OSSIM通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台将Nagiso,Ntop,Snort,Nmap等开源工具集成在一起提供综合的安全保护功能，而不必在各个系统中来回切换比较麻烦，而且统一了数据存储，人们能得到一站式的服务，这就是OSSIM给我们带来的好处。当Ossim系统安装完毕后，我们在输入Web地即可打开主界面，下面的例子我们暂用ossiim 3.x为平台讲解，看看它给我们提供了那些实用的功能。

一、安装

安装Ossim和普通Linux发行版没有什么区别，在企业环境部署的时候参照前面一节讲解的Ntop原则，硬件选择方面我们部署Ossim需要独立的一台高性能服务器（内存呢至少8G以上且配备了多处理器，硬盘空间不低于1TB），安装选择自定义安装，到分区选项中我们选择Guided-use entire disk and set up LVM；分区定义时不要选择"All files in one partition"而需要选择第三项将 /home,/usr/,/var,/tmp分为独立分开。

由于篇幅所限，安装的其他过程就不在讲解，安装时间上一般是半小时左右（更具硬件配置来定）。

安装完毕重启机器,然后再客户机输入你机器的IP地址，这里是 http://192.168.150.20/

首次登陆系统输入用户admin,密码:admin，这时系统提示修改密码。

由于OSSIM是用精简的Debian Linux裁剪而成，没有图形界面。在配置好网络之后首次登陆建议进行系统升级alienvault(同时也升级漏洞库)，升级方法非常简单输入:

#alienvault-update

首次升级数据量比较大，通常在300MB 左右，这时需要你的网络环境比较好。这里需要注意一下整个系统的配置文件在/etc/ossim/ossim_setup.conf里配置，包含了登陆Ip信息、主机名、监听网卡名称、mysql名、Snmp、启动的Sensors类别、监听的网段等重要信息。

1.汉化问题

关于汉化的问题，OSSIM的中文语言包是“/usr/share/local/zh_CN/LC_MESSAGES/ossim.po”输入：

#msgfmt ossim.po –o ossim.mo

因为Apache默认页面的字符编码为UTF-8,为防止每次刷新后显示乱码，需要修改”/etc/apache2/conf.d/charset”

注销AdddefaultCharset UTF-8一行

然后启用AddDefaultcharset gb2312,最后重启apache

#/etc/init.d/apache2 restart

二、应用

通过验证进入系统后，立刻展现在我们眼前的是事件，日志和评估风险的图像，如果没有显示完整很可能你的浏览器不支持Flash插件。

可以通过监控服务器区域的网段进行扫描获取主机基本信息

点击Tools->Net Discovery，选择手动扫描，输入CIDR地址，这里是192.168.150.0/24 ,表示这个网段的IP地址从192.168.150.1开始到192.168.150.254结束,扫描模式一般选择"FastScan"，如果机器数量大于5台建议不要选择"Full Scan",，如果扫描时间以机器数量为准。扫描完成后忘记确认“Update database values”更新数据库。这一步刚刚完成收集主机的基本信息的任务，下面进行更详细的主机分析-主机的安全信息和事件分析管理。

3）.对指定主机进行漏洞扫描

选择Analysis-〉Vulnerabilities-〉Scan Jobs-〉新建扫描任务，我们填写网段的基本信息，如上图所示

填写完毕后为确保没有错误，点击"Configuration Check"对配置文件进行检查确认。整个扫描的内容之详细是你所无法想象的，一会儿我们看看结果。

上图中列出了扫描完成后自动生成的饼图，显示出当前主机的安全等级和开放的服务。深红色的区域（High 27）表示高危主机有严重的漏洞，需要处理。

详情在Reports选项卡中，在这里红色区域的主机就需要工程师们仔细排查处理了，如果您觉得这还不过瘾，稍后我们会详细讲一个解漏洞扫描案例。

如果您的领导需要查看扫描报告，这时只需在 Scan Jobs里选择相应输出类型即可，默认系统支持excel,pdf,html,等格式输出。下图就是生成的长达143页的报告。

我们还可以对报告进行定制，在右边的Reports->Reports

在这里监控主机状态的工作变得十分容易，我们选择Assets->Assets,New添加

在这里添加主机和服务变得更加直观，而且我们可以更加方便的查看网络拓扑，还可以显示每一台主机的信息。

点选Host Problem,则直接列出网络中当即的主机详细信息。

选择“Status Map”,在Layout Method选项中选择Balanced tree,结果如下图，若主机过多，图像现实会非常密集，可以调整Scaling factor的数值，直到满意效果。

可以展示所有主机开放应用的情况，也可以反映出某一主机的应用在每个时间段的工作情况，绿色表示正常，红色表示有故障发生，需要处理。

OSSIM不但能够将网络主机的各种信息和数据进行存储加工，自己的健康状况也一点也不含糊的显示出来，从Disk 、Network、 Postfix、 Processes、 Sensors、 System 各个方面几十张图标记录着各种运行状态，以供管理员及时处理。

在构建分布式系统方面 OSSIM能生成直观的拓扑图，在每台主机上设置参数也十分方便

上图可以定制自己选定的拓扑图。

三、第三方监控工具集成

1. 同Cacti的集成

有的人喜欢Cacti的流量监控，同时希望把它集成到OSSIM中，这时我们需要修改一下php代码，首先需要安装cacti并配置好，然后我们需要编辑/usr/share/ossim/www/menu_options.php文件（大约在1044行的位置加入如下代码） 。

$menu["Monitors"][] = array(

"name" => gettext("Cacti"),

"id" => "Cacti",

"url" => "http://192.168.150.100/cacti",

);

$menu["Monitors"][] = array(

"name" => gettext("Zabbix"),

"id" => "Zabbix",

"url" => http://192.168.150.100/zabbix,

); 

接下来和大家分享 用Ossim管理IT资产（视频） http://chenguang.blog.51cto.com/350944/1348894