ossim

于 2021-09-07 11:22:12 发布
阅读量662 收藏
点赞数
分类专栏: 网络安全 文章标签: html java python 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/security_yj/article/details/120153992
版权
本文详细介绍了AlienVault OSSIM的安装和配置过程,包括页面功能、数据库、开启的服务和守护进程、工作流程以及子模块如nmap、nagios、ntop、openvas、suricata和ossec的安装与使用。此外,还涵盖了数据库设置、依赖包安装和各个组件的启动命令。
摘要由CSDN通过智能技术生成

AlienVault® OSSIM™, Open Source Security Information and Event Management (SIEM), provides you with a feature-rich open source SIEM complete with event collection, normalization and correlation.

工具集关系

页面功能

ossim的主要功能在Environment中,其中

Assets表示资产管理------>nmap

Vulnerabilities表示漏洞扫描------>openvas

Profiles表示网络流量的轮廓------>ntop

Availability表示可用性------>nagios

Detection表示入侵检测------>ossec

后台自动运行的程序有suricata

数据库

数据库使用mysql,密码在配置文件/etc/ossim/ossim_setup.conf中

包含的数据库如下:

开启的端口服务

mysqld:数据库服务

redis-server:redis存储服务

apache2:web服务

openvassd:漏洞扫描服务

sshd:远程连接ssh服务

ntop:监控网络流量服务

ossim-server:ossim服务,开启端口40001,40002,40003

python:插件代理服务,解析来自各个探针的数据

ossec-remoted:主机入侵检测系统服务

squid:代理服务

rsyslogd:系统日志服务

nfcapd:netflow 分析端,fprobe探针将接口数据格式为netflow数据交给nfcapd

开启的守护进程

root      1063  0.0  0.4 184956 58980 ?        S    14:17   0:01 /usr/sbin/openvasmd --database=/var/lib/openvas/mgr/tasks.db --listen=0.0.0.0 --port=9390 --slisten=127.0.0.1 --sport=9391 --gnutls-priorities='SECURE128:-AES-128-CBC:-CAME

root      1215  0.0  0.0   3768   436 ?        Ss   14:17   0:00 startpar -f -- openvas-manager

root      1233  0.0  0.0  64828  2008 ?        Sl   14:17   0:01 /usr/sbin/rsyslogd -c3 -x

root      1265  0.0  0.2 296240 26508 ?        Ss   14:17   0:00 /usr/sbin/apache2 -k start

root      1292  0.0  0.0 127220  1108 ?        Ss   14:17   0:00 /usr/sbin/cron

root      1302  0.0  0.0  47364  6192 ?        Ssl  14:17   0:06 /usr/sbin/fprobe -ieth0 -fip 172.16.1.232:555

root      1469  0.0  0.0   9232  1484 ?        S    14:17   0:00 /bin/sh /usr/bin/mysqld_safe

mysql     2463  0.8  6.2 2098644 750608 ?      Sl   14:17   1:11 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib64/mysql/plugin --user=mysql --log-error=/var/log/mysql/mysql.err --pid-file=/var/run/mysqld/m

www-data  2537  0.0  0.0  15904   760 ?        S    14:17   0:00 /usr/bin/nfcapd -w -D -p 555 -u www-data -g www-data -B 200000 -S 7 -P /var/nfsen/run/p555.pid -I B8B926CA29F0429C9AD848CAC6134D95 -l /var/cache/nfdump/flows//live/B8B926CA

nagios    2538  0.0  0.0  54488  3984 ?        SNsl 14:17   0:04 /usr/sbin/nagios3 -d /etc/nagios3/nagios.cfg

ntop      2566  0.0  0.3 242916 38292 ?        Ssl  14:17   0:03 /usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --access-log-file /var/log/ntop/access.log -i eth0 -p /etc/ntop/protocol.list -O /var/log/ntop --no-mac

ossec     2759  0.0  0.0  17324  3032 ?        S    14:17   0:02 /var/ossec/bin/ossec-analysisd

root      2763  0.0  0.0   4128   624 ?        S    14:17   0:00 /var/ossec/bin/ossec-logcollector

ossecr    2768  0.0  0.0  31212   960 ?        Sl   14:17   0:00 /var/ossec/bin/ossec-remoted

root      2775  0.1  0.0   5024  1820 ?        S    14:18   0:09 /var/ossec/bin/ossec-syscheckd

ossec     2779  0.0  0.0  12628   644 ?        S    14:18   0:00 /var/ossec/bin/ossec-monitord

root      2829  0.0  0.1 215284 20600 ?        Sl   14:18   0:03 /usr/bin/python -OOt /usr/bin/ossim-framework -d

avserver  2853  0.6  2.6 567004 317228 ?       Sl   14:18   0:58 /usr/bin/ossim-server -d

root      2964  8.6  0.2 285576 26184 ?        Sl   14:18  12:46 /usr/bin/python -OOt /usr/bin/ossim-agent -d

redis     2984  0.0  0.0  26192  1648 ?        Ssl  14:18   0:07 /usr/bin/redis-server /etc/redis/redis.conf

root      3034  0.8  2.7 418520 326972 ?       Ssl  14:18   1:19 /usr/bin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid -D --pfring=eth0

root      3296  0.0  0.0  47120  1772 ?        Ss   14:18   0:00 /usr/sbin/squid3 -YC -f /etc/squid3/squid.conf

proxy     3302  0.0  0.1  83448 16044 ?        S    14:18   0:04 (squid) -YC -f /etc/squid3/squid.conf

root      3311  0.0  0.0  49212  1184 ?        Ss   14:18   0:00 /usr/sbin/sshd

root      3349  0.0  0.0  34728  4416 ?        S    14:18   0:00 /usr/sbin/monit -c /etc/monit/monitrc -s /var/lib/monit/monit.state

root      3377  0.0  0.0   5960   644 tty1     Ss+  14:18   0:00 /sbin/getty 38400 tty1

root      3620  0.0  0.3 114460 42968 ?        Ss   14:18   0:00 openvassd: waiting for incoming connections       

root      3671  0.0  0.4 198764 52148 pts/0    S    14:20   0:00 /usr/bin/python /usr/sbin/ossim-setup


nagios3:网络监控

suricata:检测引擎

monit:看门狗

getty:虚拟终端

工作流程

以suricata和ossim联动为例

  1. sensor端的检测引擎suricata将检测到的数据写入unifiled文件中
  2. 由python写的代理插件读取unifiled文件转换为ossim统一格式通过tcp协议端口       40001发送给ossim server服务
  3. ossim server接收数据并入库
  4. web页面读取数据库展示

ossim编译安装

  1. 安装debain系统,我这里安装的是debian-8.2.0-amd64-xfce-CD-iso
  2. 下载ossim源码,我这里下载的是alienvault-ossim_5.0.tar.gz,代码中包括四个部分框架ossim-framework,负责整合各种插件和数据的框架;管理服务ossim-server,负责和数据库打交道;代理插件ossim-agent&#
最低0.47元/天 解锁文章
security_yj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值