OSSIM开源安全信息管理系统（二）

2021SC@SDUSC

一、OSSIM功能分析（Web UI）

OSSIM系统功能较多，界面较为复杂，而web端界面为全英文，中文汉化包并不完善，所以仔细研究一下各个模块对应的功能是非常有利于后续的代码分析工作，只有知道了每一部分对应的功能，才能根据这一部分，找到相应的源代码，进而对源代码进行分析。所以本篇博客主要是记录一下OSSIM web端界面的主要功能，以及部分功能的演示

1、主界面

web端界面对应源码文件目录 usr/share/ossim/www

主要模块介绍：

DASHBOARDS：仪表盘，将数据以可视化图表形式展示，更加直观，便于查看管理

ANALYSIS：事件分析，用于筛选查看收集到的数据

ENVIRONMENT：资产清单、漏洞扫描、Ntop流量分析、网络抓包分析、可用性监控等重要功能就在这里

REPORTS：统一报表，生成和查看各种报告的地方

CONFIGURATION：web系统匹置菜单，基础配置、部署管理、策略管理

2、DASHBOARDS

1. OverView：

   • Executive：用饼图、柱状图显示TOP5 Alarm、Top10 Event、Logger Event、数据源等信息
   • Tickets：显示工单系统信息
   • Security：显示安全事件的Top5 Alarm和Event，以及显示最近安全趋势变化曲线
   • Taxonomy：在仪表盘上按类别统计受感染主机
   • Vulnerabilites：显示资产漏洞扫描信息
   • Compliance：显示资产合规报表信息

2. Deployment status：资产部署的分类及状态信息

3. Risk Maps

   • OverView：显示资产的风险地图
   • Manage Maps：地图模板管理

4. Open Threat Exchang：在地图中显示OTX变化趋势及IP信誉

• 安全事件与日志曲线

  蓝色曲线反映了日志随时间波动，绿色曲线反应了安全事件随时间的波动情况

曲线特点：正常情况下波浪线是可持续的，并且数值相近，无突变。如果曲线发生突变（无故中断或者突然增大或者突然减小），应该引起注意，属于不正常现象。如果曲线上某一点反应的数据值相差很大，安全事件数量值很大，然而日志条目数值非常小，说明可能是某些事件或日志的数据发生中断或者被删除。应该进一步查看，很可能出现了安全问题。

• 传感器收集事件

  不同传感器收集到的事件通过不同的颜色反映在一个雷达图内

数量越大，越靠近边缘；数量越小，越接近圆心。

• 事件类别
  

3、ANALYSIS

1. Alarms

   • List View：图形化展示Alarm
   • Group View：将Alarm分组显示

2. Security Event (SIEM)

   • SIEM：显示SIEM事件

   • Real-Time：实时显示SIEM事件

   • External Databases ：扩展数据库

   • Raw Logs：日志查询与可视化

   • Tickets：工单查询

4、ENVIRONMENT

1. Assets & Groups
   • Assets：列出所有资产
   • Asset groups：将资产分组
   • Networks：管理监控
   • Network groups：网络分组
   • Schedule Scan：目标网络扫描计划
2. Vulnerabilities
   • Overview：漏洞扫描概况
   • Scan Jobs
     • New Scan Job：新建扫描任务
     • Import NBE File：导入NBE文件
   • Threat Database：漏洞库管理
3. Netf low
   • Details：显示NetFlow详细信息
   • OverView：显示概况
   • Graph：显示流图
4. Traffic Capture：抓包分析
5. Availability
   • Monitoring：高可用监控
   • Reporting：高可用监控报告
6. Detection
   • HIDS
     • OverView：显示HIDS日志变化趋势与Agent状态
     • Agents：Agent管理
     • Agentless：Agentless管理
     • Edit Rules：编辑规则
     • Config：配置规则
     • HIDS Control：HIDS状态管理
   • Wireless IDS：无线IDS管理

5、CONFIGURATION

1. Administration
   • Users
     • User Information：设备管理员登录的语言环境
     • Activity：系统用户行为记录分类，哪些用户的何种行为会被记录
     • Templates：用户模板
     • Structure：设置资产结构(定义硬件属性)
   • Main
     • Backup：备份数据库、目录以及间隔时间
     • IDM ：配置IDM
     • Tickets：配置工单
     • Login methods/options：配置LDAP登录方式
       Adin stration
     • Metrics：配置度量
     • USM Framework：配置Framework，包括Web Server SSL
     • Password policy：配置密码策略
     • User activity：配置用户登录活动设置
     • Vulnerability Scanner：配置漏洞扫描器
     • Netflow ：配置设置阈值
     • Automatic Updates： 配置自动更新
   • Backups：数据备份恢复与清除
2. Threat Intelligence
   • Policy：威胁情报的策略设置
   • Actions：行为设定
   • Ports：服务端口设定
   • Directives：关联指令规则
   • Compliance Mapping
     • ISO 27001
     • PCI DSS 2.0：定义合规检测规则
     • PCI DSS 3.0
   • Cross Correlation：交叉关联
   • Data Source：数据源分组定义
   • Taxonomy：安全事件分类
   • Knowledge Base：知识库设置
3. Deployment
   • Components
     • Alienvault Centert
     • Sensors：传感器
     • Server：服务器
     • Remote Interfaces：远程接口配置
   • Plugin Builder：新增插件配置
   • Locations：设置OSSIM场所(包括地理坐标信息)
4. Open Threat Exchange：OTX设置

6、资产列表

扫描完成后，资产信息会列在资产列表中

在资产管理界面中，可以很清晰的查看所有管理资产的信息，例如主机名称、收到的漏洞数量、告警数量、安全事件总数等。

7、漏洞扫描

8、ALARMS

本篇文章部分内容参考或转载自下列文章及书籍。侵权即删。

参考书籍：

• 《开源安全运维平台OSSIM疑难解析（入门篇）》——李晨光著
• 《开源安全运维平台OSSIM疑难解析（提高篇）》——李晨光著
• 《开源安全运维平台:OSSIM最佳实践》——李晨光著

参考文章：

• https://blog.51cto.com/chenguang/2426473
• https://blog.csdn.net/lcgweb/article/details/101284949
• https://blog.51cto.com/chenguang/1665012
• https://www.cnblogs.com/lsdb/p/10000061.html
• https://blog.51cto.com/chenguang/1691090
• https://blog.51cto.com/chenguang/category10.html
• https://blog.51cto.com/topic/ossim.html
• https://blog.csdn.net/isinstance/article/details/53694361
• https://blog.51cto.com/chenguang/1332329
• https://www.cnblogs.com/airoot/p/8072727.html
• https://blog.51cto.com/chenguang/1738731
• https://blog.csdn.net/security_yj/article/details/120153992

上一篇（安装部署）：OSSIM开源安全信息管理系统（一）
下一篇（架构分析）：