AlienVault® OSSIM™, Open Source Security Information and Event Management (SIEM), provides you with a feature-rich open source SIEM complete with event collection, normalization and correlation.
工具集关系
页面功能
ossim的主要功能在Environment中,其中
Assets表示资产管理------>nmap
Vulnerabilities表示漏洞扫描------>openvas
Profiles表示网络流量的轮廓------>ntop
Availability表示可用性------>nagios
Detection表示入侵检测------>ossec
后台自动运行的程序有suricata
数据库
数据库使用mysql,密码在配置文件/etc/ossim/ossim_setup.conf中
包含的数据库如下:
开启的端口服务
mysqld:数据库服务
redis-server:redis存储服务
apache2:web服务
openvassd:漏洞扫描服务
sshd:远程连接ssh服务
ntop:监控网络流量服务
ossim-server:ossim服务,开启端口40001,40002,40003
python:插件代理服务,解析来自各个探针的数据
ossec-remoted:主机入侵检测系统服务
squid:代理服务
rsyslogd:系统日志服务
nfcapd:netflow 分析端,fprobe探针将接口数据格式为netflow数据交给nfcapd
开启的守护进程
root 1063 0.0 0.4 184956 58980 ? S 14:17 0:01 /usr/sbin/openvasmd --database=/var/lib/openvas/mgr/tasks.db --listen=0.0.0.0 --port=9390 --slisten=127.0.0.1 --sport=9391 --gnutls-priorities='SECURE128:-AES-128-CBC:-CAME
root 1215 0.0 0.0 3768 436 ? Ss 14:17 0:00 startpar -f -- openvas-manager
root 1233 0.0 0.0 64828 2008 ? Sl 14:17 0:01 /usr/sbin/rsyslogd -c3 -x
root 1265 0.0 0.2 296240 26508 ? Ss 14:17 0:00 /usr/sbin/apache2 -k start
root 1292 0.0 0.0 127220 1108 ? Ss 14:17 0:00 /usr/sbin/cron
root 1302 0.0 0.0 47364 6192 ? Ssl 14:17 0:06 /usr/sbin/fprobe -ieth0 -fip 172.16.1.232:555
root 1469 0.0 0.0 9232 1484 ? S 14:17 0:00 /bin/sh /usr/bin/mysqld_safe
mysql 2463 0.8 6.2 2098644 750608 ? Sl 14:17 1:11 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib64/mysql/plugin --user=mysql --log-error=/var/log/mysql/mysql.err --pid-file=/var/run/mysqld/m
www-data 2537 0.0 0.0 15904 760 ? S 14:17 0:00 /usr/bin/nfcapd -w -D -p 555 -u www-data -g www-data -B 200000 -S 7 -P /var/nfsen/run/p555.pid -I B8B926CA29F0429C9AD848CAC6134D95 -l /var/cache/nfdump/flows//live/B8B926CA
nagios 2538 0.0 0.0 54488 3984 ? SNsl 14:17 0:04 /usr/sbin/nagios3 -d /etc/nagios3/nagios.cfg
ntop 2566 0.0 0.3 242916 38292 ? Ssl 14:17 0:03 /usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --access-log-file /var/log/ntop/access.log -i eth0 -p /etc/ntop/protocol.list -O /var/log/ntop --no-mac
ossec 2759 0.0 0.0 17324 3032 ? S 14:17 0:02 /var/ossec/bin/ossec-analysisd
root 2763 0.0 0.0 4128 624 ? S 14:17 0:00 /var/ossec/bin/ossec-logcollector
ossecr 2768 0.0 0.0 31212 960 ? Sl 14:17 0:00 /var/ossec/bin/ossec-remoted
root 2775 0.1 0.0 5024 1820 ? S 14:18 0:09 /var/ossec/bin/ossec-syscheckd
ossec 2779 0.0 0.0 12628 644 ? S 14:18 0:00 /var/ossec/bin/ossec-monitord
root 2829 0.0 0.1 215284 20600 ? Sl 14:18 0:03 /usr/bin/python -OOt /usr/bin/ossim-framework -d
avserver 2853 0.6 2.6 567004 317228 ? Sl 14:18 0:58 /usr/bin/ossim-server -d
root 2964 8.6 0.2 285576 26184 ? Sl 14:18 12:46 /usr/bin/python -OOt /usr/bin/ossim-agent -d
redis 2984 0.0 0.0 26192 1648 ? Ssl 14:18 0:07 /usr/bin/redis-server /etc/redis/redis.conf
root 3034 0.8 2.7 418520 326972 ? Ssl 14:18 1:19 /usr/bin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid -D --pfring=eth0
root 3296 0.0 0.0 47120 1772 ? Ss 14:18 0:00 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf
proxy 3302 0.0 0.1 83448 16044 ? S 14:18 0:04 (squid) -YC -f /etc/squid3/squid.conf
root 3311 0.0 0.0 49212 1184 ? Ss 14:18 0:00 /usr/sbin/sshd
root 3349 0.0 0.0 34728 4416 ? S 14:18 0:00 /usr/sbin/monit -c /etc/monit/monitrc -s /var/lib/monit/monit.state
root 3377 0.0 0.0 5960 644 tty1 Ss+ 14:18 0:00 /sbin/getty 38400 tty1
root 3620 0.0 0.3 114460 42968 ? Ss 14:18 0:00 openvassd: waiting for incoming connections
root 3671 0.0 0.4 198764 52148 pts/0 S 14:20 0:00 /usr/bin/python /usr/sbin/ossim-setup
nagios3:网络监控
suricata:检测引擎
monit:看门狗
getty:虚拟终端
工作流程
以suricata和ossim联动为例
- sensor端的检测引擎suricata将检测到的数据写入unifiled文件中
- 由python写的代理插件读取unifiled文件转换为ossim统一格式通过tcp协议端口 40001发送给ossim server服务
- ossim server接收数据并入库
- web页面读取数据库展示
ossim编译安装
- 安装debain系统,我这里安装的是debian-8.2.0-amd64-xfce-CD-iso
- 下载ossim源码,我这里下载的是alienvault-ossim_5.0.tar.gz,代码中包括四个部分框架ossim-framework,负责整合各种插件和数据的框架;管理服务ossim-server,负责和数据库打交道;代理插件ossim-agent&#