《Ossim应用指南》入门篇

  • 时间:
  • 浏览:0
  • 来源:uu直播快3平台_UU快3直播官方

Ossim应用入门

 客户端采用Windows/Linux都没难题,进期发布的Firefox、IE、3100浏览器均可,参考视频:http://www.tudou.com/programs/view/XXcuObDCbT0/

——代理系统应用应用程序将运行在多个或单个主机上,负责从各安全设备、安全工具分派相关信息(如报警日志等),并将分派到的各类信息统一格式,再将你这种数据传至Server

接下来讲解部署Ossim 系统: http://chenguang.blog.51cto.com/3100944/1333522

3)传感器

软件下载: Alienvault Ossim 4.3 (64位)下载地址

——关联引擎是OSSIM安全集成管理系统的核心累积,支持分布式运行,负责将Agent传送来的事件进行关联,并对网络资产进行风险评估。

3.希望采用OSSIM来管理大批客户机和移动设备的用户。

——综上所述,太多太多将前面介绍过的NagiosNtopOpenVasSnortNmap、Ossec你这种工具集成在一并提供综合的安全保护功能,而不言而喻在各个系统中来回切换,且统一了数据存储,当让我们能得到一站式的服务,这太多太多OSSIM给当让我们带来的好处,当让我们你这种节的目标太多太多将它的主要功能展示出来。

l网络流量监控与剖析(Ntop

3)将各个报警记录解析并存入事件数据库(EDB)。

1)安全插件

信息安全集成管理系统逻辑型态图

——Web框架控制台,提供用户(安全管理员)的Web页面,从而控制系统的运行(例如设置策略),是整个系统的前端,用来实现用户和系统的B/S模式交互。Framework不想 分为2个累积:Frontend是系统的两个 多Web页面,提供系统的用户终端;Frameworkd是两个 多守护系统应用应用程序,它绑定OSSIM的知识库和事件库,侦听端口是10003,负责将Frontend收到的用户指令和系统的你这种组件相关联,并绘制Web图表供前端显示。

6)将设置了优先级的各事件发送至关联引擎,关联引擎将对事件进行关联。注意:关联引擎太多太多地处各入侵检测传感器(入侵检测系统、防火墙等)上报的告警事件基础上,经过关联分析形成入侵行为判定,并将关联分析结果报送控制台。

8)用户监控监视器将根据每个事件产生实时的风险图。

OSSIM系统的工作流程为:

l漏洞扫描(OpenVas

——安全插件即各类安全产品和设施。如防火墙、IDS等。这里引入Linux下的开源安全工具:ArpwatchP0fSnortNessusSpadeTcptrackNtopNagiosOsiris等你这种Plugins分别针对网络安全的某一方面,总的来说,不想 将它们划分为探测器(Detector)和监视器(Monitor)两大阵营,将它们集成关联起来是出于安全集成的目的,如图3所示。

2)代理系统应用应用程序

1)作为整个系统的安全插件的探测器(Sensor)执行每每各自 的任务,当发现难题时给予报警。

——或者,网络安全管理的重要性和管理困难的矛盾日益突出。网络安与非 动态的系统工程,非要从与网络安全相关的海量数据中实时、准确地获取有用信息并加以分析,及时地调整各安全子系统的相关策略,不想 应对目前日益严峻的网络安全威胁。

1  OSSIM背景介绍

Q/A:

安全插件

——目前,网络威胁从传统的病毒进化到像蠕虫、拒绝服务等的恶意攻击,当今的网络威胁攻击错综复杂程度这么 高,已不再局限于传统病毒,盗号木马、僵尸网络、间谍软件、流氓软件、网络诈骗、垃圾邮件、蠕虫、网络钓鱼等严重威胁着网络安全。网络攻击无缘无故是融合了病毒、蠕虫、木马、间谍、扫描技术于一身的混合式攻击。拒绝服务攻击(DOS)已成为黑客及蠕虫的主要攻击方法之一。黑客利用蠕虫制造僵尸网络,整合更多的攻击源,对目标集中展开猛烈的拒绝服务攻击。或者攻击工具也这么 先进,例如扫描工具不仅不想 快速扫描网络中地处漏洞的目标系统,还不想 快速植入攻击系统应用应用程序。

 更多OSSIM 学习教程参阅《Unix/Linux网络日志分析与流量监控》 。

——此外,IDS安全工具地处的错报、漏报也是促成安全集成思想的意味之一。以IDS为例,总的来说,入侵检测的方案有基于预定义规则的检测和基于异常的检测,判断检测能力的2个指标为灵敏度和可靠性。不可避免的,不论是基于预定义规则的检测还是基于异常的检测,将会防范无缘无故滞后于攻击,其必然会遇到漏报、错报的难题。而安全集成则将会其集成联动分析了多个安全工具,使得检测能力即灵敏度和可靠性都得到大幅提升。综上所述,当让我们前要将各网络安全子系统,包括防火墙、防病毒系统、入侵检测系统、漏洞扫描系统、安全审计系统等整合起来,在信息共享的基础上,建立起集中的监控、管理平台,使各子系统既各司其职,又密切媒体相互合作,从而形成统一的、有机的网络防御体系,来一并抵御日益增长的网络安全威胁。

l异常检测(SpadeP0fPadsArpwatchRRD ab behaviour

5)对事件进行风险评估,给每个警报计算出两个 多风险系数。

怎样用好OSSIM

本文出自 “李晨光原创技术博客” 博客,请务必保留此出处http://chenguang.blog.51cto.com/3100944/1332329

——传感器通常会被当让我们理解为一段系统应用应用程序,但它否两个 多挑选的系统应用应用程序,太多太多两个 多逻辑单元的概念。在OSSIM中,把Agent和插件构成的两个 多具有网络行为监控功能的组合称为两个 多传感器(Sensor),Sensor的功能范围主要有:

2)各探测器的报警信息将被集中分派。

OSSIM系统不言而喻轻易上马,非要等到万事俱备以前,不想 上线,遇到困难不言而喻气馁,最忌讳草率下马,你这种项目前要坚持完成。在OSSIM学习实践中遇到挫折和各种困难是常与非 ,即使你是个Linux高手依然这么 。这时首先前要保存好现场,分析日志,从你操作时想起,进行全面分析。

——OSSIM通过将开源产品进行集成,从而提供某种不想 实现安全监控功能的基础平台。它的目标是提供某种集中式、有组织的,不想 更好地进行监测和显示的框架式系统。OSSIM 明挑选位为两个 多集成避免方案,其目标并与非 要开发两个 多新的功能,太多太多利用丰富的、强大的各种系统应用应用程序(包括MrtgSnortNmapOpenvas以及Ntop等开源系统安全软件)。在两个 多保留它们原有功能和作用的开放式架构体系环境下,将它们集成起来。到目前为止,OSSIM支持多达两千多种插件(http://www.alienvault.com/community/plugins)。而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,一并进行相关功能的整合,如图1所示。将会开源项目的优点,你这种工具将会久经考验,一并也经过全方位测试,更加可靠。

6Web框架

7)对两个 多或多个事件进行关联分析后,关联引擎生成新的报警记录,将其也赋予优先级,并进行风险评估,存入数据库。

OSSIM安全信息集成管理系统(如图2所示)设计成由安全插件(Plug-ins)、代理系统应用应用程序(Agent)、传感器(Sensor)、关联引擎(Server)、数据仓库(Database)、Web框架(Framework5个累积构成。

——在《OSSIM在企业网络管理中的应用》http://chenguang.blog.51cto.com/3100944/1001007 这篇文章发布以前,太多太多同行对ossim表示了极大关注,纷纷来信咨询怎样部署和使用这套系统。在接下来的时间里我将总结这套系统的安装和使用的方法给当让我们分享。

——Agent的主要功能是接收或主动抓取Plugin发送过来将会生成的文件型日志,经过预避免后有序地传送到OSSIMServer。它的功能很错综复杂,将会它的设计要考虑到将会AgentServer之间的网络中断、拥堵、丢包以及Server端将会接收不过来甚至死机等情形,确保日志不丢失也落细落发。基于你这种考虑,OSSIM的日志避免在大累积情形下非要做到实时,通常会在Agent端缓存一段时间才会发送到Server端。Agent会主动连接两个 多端口与外界通信或传输数据,两个 多是连接Server10001端口,以前是连接数据库的31006端口。

——数据仓库由Server将关联结果写入Database,此外,系统用户(如安全管理员)也可通过FrameworkWeb控制台)对Database进行读写。数据仓库是整个系统事件分析和策略调整的信息来源,从总体上将其划分为事件数据库(EDB)、知识数据库(KDB)、用户数据库(UDB)、OSSIM系统默认使用的MySQL监听端口是31006,在系统中数据库的负担最重,将会它除了存储数据外,前要对其进行分析分派,太多太多实时性不强,这也是OSSIM架构最大的欠缺。

9)在控制面板中给出最近的关联报警记录,在底层控制台中提供完整版的事件记录。

Ossim适用人群

1.打算利用开源技术建立企业级SIEM系统用户

2.打算集成现有运维监控系统的用户

3.从事大数据安全事件管理的用户

4.从事企业网风险评估的用户

5.可视化网络攻击展示

6.统一报表输出与合规管理

——分派本地路由器、防火墙、IDS等硬件设备,作为防火墙使用。在具体的部署中,以上功能通常不想 部署在一台服务器上,却说想 分多台服务器部署。

OSSIM不适合人群

1.误把OSSIM当成Cacti 、Zabbix的替代品,OSSIM中所有组件非要联合起来发挥的作用“1+1>2”。

2.无运维基础的用户。

4)关联引擎

2OSSIM流程分析

4)根据设置的策略(Policy)给每个事件赋予两个 多优先级(Priority)。

Ossim工作流程图

那代理是你这种,好像很笼统,下面举个例子,各位就能明白。常规监控软件与非 使用SNNM实现流量监控,监控对象是你这种?我要监控谁就得在它上端启用SNMP代理系统应用应用程序,也太多太多在被管理设备上启用代理,在OSSIM还有你这种代理呢?比如Snare,Ossec Agent,OCS Agent等等。随着深入OSSIM学习我与非 向当让我们介绍。

5)数据仓库

1.你这种浏览器不想 访问Ossim WEB GUI?

l入侵检测(Snort

1 OSSIM提供功能的层次型态图