Ossim主要功能實戰(zhàn)

創(chuàng)新互聯(lián)公司服務(wù)項目包括沙洋網(wǎng)站建設(shè)、沙洋網(wǎng)站制作、沙洋網(wǎng)頁制作以及沙洋網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，沙洋網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到沙洋省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

OSSIM通過將開源產(chǎn)品進行集成，從而提供一種能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺將Nagiso,Ntop,Snort,Nmap等開源工具集成在一起提供綜合的安全保護功能，而不必在各個系統(tǒng)中來回切換比較麻煩，而且統(tǒng)一了數(shù)據(jù)存儲，人們能得到一站式的服務(wù)，這就是OSSIM給我們帶來的好處。當Ossim系統(tǒng)安裝完畢后，我們在輸入Web地即可打開主界面，下面的例子我們暫用ossiim 3.x為平臺講解，看看它給我們提供了那些實用的功能。

一、安裝

安裝Ossim和普通Linux發(fā)行版沒有什么區(qū)別，在企業(yè)環(huán)境部署的時候參照前面一節(jié)講解的Ntop原則，硬件選擇方面我們部署Ossim需要獨立的一臺高性能

由于篇幅所限，安裝的其他過程就不在講解，安裝時間上一般是半小時左右（更具硬件配置來定）。

安裝完畢重啟機器,然后再客戶機輸入你機器的IP地址，這里是 http://192.168.150.20/

首次登陸系統(tǒng)輸入用戶admin,密碼:admin，這時系統(tǒng)提示修改密碼。

由于OSSIM是用精簡的Debian Linux裁剪而成，沒有圖形界面。在配置好網(wǎng)絡(luò)之后首次登陸建議進行系統(tǒng)升級alienvault(同時也升級漏洞庫)，升級方法非常簡單輸入:

#alienvault-update

首次升級數(shù)據(jù)量比較大，通常在300MB 左右，這時需要你的網(wǎng)絡(luò)環(huán)境比較好。這里需要注意一下整個系統(tǒng)的配置文件在/etc/ossim/ossim_setup.conf里配置，包含了登陸Ip信息、主機名、監(jiān)聽網(wǎng)卡名稱、MySQL名、Snmp、啟動的Sensors類別、監(jiān)聽的網(wǎng)段等重要信息。

1.漢化問題

關(guān)于漢化的問題，OSSIM的中文語言包是“/usr/share/local/zh_CN/LC_MESSAGES/ossim.po”輸入：

#msgfmt ossim.po –o ossim.mo

因為Apache默認頁面的字符編碼為UTF-8,為防止每次刷新后顯示亂碼，需要修改”/etc/apache2/conf.d/charset”

注銷AdddefaultCharset UTF-8一行

然后啟用AddDefaultcharset gb2312,最后重啟apache

#/etc/init.d/apache2 restart

二、應(yīng)用

通過驗證進入系統(tǒng)后，立刻展現(xiàn)在我們眼前的是事件，日志和評估風(fēng)險的圖像，如果沒有顯示完整很可能你的瀏覽器不支持Flash插件。

可以通過監(jiān)控服務(wù)器區(qū)域的網(wǎng)段進行掃描獲取主機基本信息

點擊Tools->Net Discovery，選擇手動掃描，輸入CIDR地址，這里是192.168.150.0/24 ,表示這個網(wǎng)段的IP地址從192.168.150.1開始到192.168.150.254結(jié)束,掃描模式一般選擇"FastScan"，如果機器數(shù)量大于5臺建議不要選擇"Full Scan",，如果掃描時間以機器數(shù)量為準。掃描完成后忘記確認“Update database values”更新數(shù)據(jù)庫。這一步剛剛完成收集主機的基本信息的任務(wù)，下面進行更詳細的主機分析-主機的安全信息和事件分析管理。

3）.對指定主機進行漏洞掃描

選擇Analysis-〉Vulnerabilities-〉Scan Jobs-〉新建掃描任務(wù)，我們填寫網(wǎng)段的基本信息，如上圖所示

填寫完畢后為確保沒有錯誤，點擊"Configuration Check"對配置文件進行檢查確認。整個掃描的內(nèi)容之詳細是你所無法想象的，一會兒我們看看結(jié)果。

上圖中列出了掃描完成后自動生成的餅圖，顯示出當前主機的安全等級和開放的服務(wù)。深紅色的區(qū)域（High 27）表示高危主機有嚴重的漏洞，需要處理。

詳情在Reports選項卡中，在這里紅色區(qū)域的主機就需要工程師們仔細排查處理了，如果您覺得這還不過癮，稍后我們會詳細講一個解漏洞掃描案例。

如果您的領(lǐng)導(dǎo)需要查看掃描報告，這時只需在 Scan Jobs里選擇相應(yīng)輸出類型即可，默認系統(tǒng)支持excel,pdf,html,等格式輸出。下圖就是生成的長達143頁的報告。

我們還可以對報告進行定制，在右邊的Reports->Reports

在這里監(jiān)控主機狀態(tài)的工作變得十分容易，我們選擇Assets->Assets,New添加

在這里添加主機和服務(wù)變得更加直觀，而且我們可以更加方便的查看網(wǎng)絡(luò)拓撲，還可以顯示每一臺主機的信息。

點選Host Problem,則直接列出網(wǎng)絡(luò)中當即的主機詳細信息。

選擇“Status Map”,在Layout Method選項中選擇Balanced tree,結(jié)果如下圖，若主機過多，圖像現(xiàn)實會非常密集，可以調(diào)整Scaling factor的數(shù)值，直到滿意效果。

可以展示所有主機開放應(yīng)用的情況，也可以反映出某一主機的應(yīng)用在每個時間段的工作情況，綠色表示正常，紅色表示有故障發(fā)生，需要處理。

OSSIM不但能夠?qū)⒕W(wǎng)絡(luò)主機的各種信息和數(shù)據(jù)進行存儲加工，自己的健康狀況也一點也不含糊的顯示出來，從Disk 、Network、 Postfix、 Processes、 Sensors、 System 各個方面幾十張圖標記錄著各種運行狀態(tài)，以供管理員及時處理。

在構(gòu)建分布式系統(tǒng)方面 OSSIM能生成直觀的拓撲圖，在每臺主機上設(shè)置參數(shù)也十分方便

上圖可以定制自己選定的拓撲圖。

三、第三方監(jiān)控工具集成

1. 同Cacti的集成

有的人喜歡Cacti的流量監(jiān)控，同時希望把它集成到OSSIM中，這時我們需要修改一下php代碼，首先需要安裝cacti并配置好，然后我們需要編輯/usr/share/ossim/www/menu_options.php文件（大約在1044行的位置加入如下代碼） 。

$menu["Monitors"][] = array(

"name" => gettext("Cacti"),

"id" => "Cacti",

"url" => "http://192.168.150.100/cacti",

);

$menu["Monitors"][] = array(

"name" => gettext("Zabbix"),

"id" => "Zabbix",

"url" => http://192.168.150.100/zabbix,

); 

接下來和大家分享 用Ossim管理IT資產(chǎn)（視頻） http://chenguang.blog.51cto.com/350944/1348894