OSSIM开源安全信息管理系统(二)
2021SC@SDUSC
一、OSSIM功能分析(Web UI)
OSSIM系统功能较多,界面较为复杂,而web端界面为全英文,中文汉化包并不完善,所以仔细研究一下各个模块对应的功能是非常有利于后续的代码分析工作,只有知道了每一部分对应的功能,才能根据这一部分,找到相应的源代码,进而对源代码进行分析。所以本篇博客主要是记录一下OSSIM web端界面的主要功能,以及部分功能的演示
1、主界面
web端界面对应源码文件目录 usr/share/ossim/www
主要模块介绍:
DASHBOARDS:仪表盘,将数据以可视化图表形式展示,更加直观,便于查看管理
ANALYSIS:事件分析,用于筛选查看收集到的数据
ENVIRONMENT:资产清单、漏洞扫描、Ntop流量分析、网络抓包分析、可用性监控等重要功能就在这里
REPORTS:统一报表,生成和查看各种报告的地方
CONFIGURATION:web系统匹置菜单,基础配置、部署管理、策略管理
2、DASHBOARDS
OverView:
- Executive:用饼图、柱状图显示TOP5 Alarm、Top10 Event、Logger Event、数据源等信息
- Tickets:显示工单系统信息
- Security:显示安全事件的Top5 Alarm和Event,以及显示最近安全趋势变化曲线
- Taxonomy:在仪表盘上按类别统计受感染主机
- Vulnerabilites:显示资产漏洞扫描信息
- Compliance:显示资产合规报表信息
Deployment status:资产部署的分类及状态信息
Risk Maps
- OverView:显示资产的风险地图
- Manage Maps:地图模板管理
Open Threat Exchang:在地图中显示OTX变化趋势及IP信誉
安全事件与日志曲线
蓝色曲线反映了日志随时间波动,绿色曲线反应了安全事件随时间的波动情况
曲线特点:正常情况下波浪线是可持续的,并且数值相近,无突变。如果曲线发生突变(无故中断或者突然增大或者突然减小),应该引起注意,属于不正常现象。如果曲线上某一点反应的数据值相差很大,安全事件数量值很大,然而日志条目数值非常小,说明可能是某些事件或日志的数据发生中断或者被删除。应该进一步查看,很可能出现了安全问题。
传感器收集事件
不同传感器收集到的事件通过不同的颜色反映在一个雷达图内
数量越大,越靠近边缘;数量越小,越接近圆心。
- 事件类别
3、ANALYSIS
Alarms
- List View:图形化展示Alarm
- Group View:将Alarm分组显示
Security Event (SIEM)
SIEM:显示SIEM事件
Real-Time:实时显示SIEM事件
External Databases :扩展数据库
Raw Logs:日志查询与可视化
Tickets:工单查询
4、ENVIRONMENT
- Assets & Groups
- Assets:列出所有资产
- Asset groups:将资产分组
- Networks:管理监控
- Network groups:网络分组
- Schedule Scan:目标网络扫描计划
- Vulnerabilities
- Overview:漏洞扫描概况
- Scan Jobs
- New Scan Job:新建扫描任务
- Import NBE File:导入NBE文件
- Threat Database:漏洞库管理
- Netf low
- Details:显示NetFlow详细信息
- OverView:显示概况
- Graph:显示流图
- Traffic Capture:抓包分析
- Availability
- Monitoring:高可用监控
- Reporting:高可用监控报告
- Detection
- HIDS
- OverView:显示HIDS日志变化趋势与Agent状态
- Agents:Agent管理
- Agentless:Agentless管理
- Edit Rules:编辑规则
- Config:配置规则
- HIDS Control:HIDS状态管理
- Wireless IDS:无线IDS管理
- HIDS
5、CONFIGURATION
- Administration
- Users
- User Information:设备管理员登录的语言环境
- Activity:系统用户行为记录分类,哪些用户的何种行为会被记录
- Templates:用户模板
- Structure:设置资产结构(定义硬件属性)
- Main
- Backup:备份数据库、目录以及间隔时间
- IDM :配置IDM
- Tickets:配置工单
- Login methods/options:配置LDAP登录方式
Adin stration - Metrics:配置度量
- USM Framework:配置Framework,包括Web Server SSL
- Password policy:配置密码策略
- User activity:配置用户登录活动设置
- Vulnerability Scanner:配置漏洞扫描器
- Netflow :配置设置阈值
- Automatic Updates: 配置自动更新
- Backups:数据备份恢复与清除
- Users
- Threat Intelligence
- Policy:威胁情报的策略设置
- Actions:行为设定
- Ports:服务端口设定
- Directives:关联指令规则
- Compliance Mapping
- ISO 27001
- PCI DSS 2.0:定义合规检测规则
- PCI DSS 3.0
- Cross Correlation:交叉关联
- Data Source:数据源分组定义
- Taxonomy:安全事件分类
- Knowledge Base:知识库设置
- Deployment
- Components
- Alienvault Centert
- Sensors:传感器
- Server:服务器
- Remote Interfaces:远程接口配置
- Plugin Builder:新增插件配置
- Locations:设置OSSIM场所(包括地理坐标信息)
- Components
- Open Threat Exchange:OTX设置
6、资产列表
扫描完成后,资产信息会列在资产列表中
在资产管理界面中,可以很清晰的查看所有管理资产的信息,例如主机名称、收到的漏洞数量、告警数量、安全事件总数等。
7、漏洞扫描
8、ALARMS
本篇文章部分内容参考或转载自下列文章及书籍。侵权即删。
参考书籍:
- 《开源安全运维平台OSSIM疑难解析(入门篇)》——李晨光著
- 《开源安全运维平台OSSIM疑难解析(提高篇)》——李晨光著
- 《开源安全运维平台:OSSIM最佳实践》——李晨光著
参考文章:
- https://blog.51cto.com/chenguang/2426473
- https://blog.csdn.net/lcgweb/article/details/101284949
- https://blog.51cto.com/chenguang/1665012
- https://www.cnblogs.com/lsdb/p/10000061.html
- https://blog.51cto.com/chenguang/1691090
- https://blog.51cto.com/chenguang/category10.html
- https://blog.51cto.com/topic/ossim.html
- https://blog.csdn.net/isinstance/article/details/53694361
- https://blog.51cto.com/chenguang/1332329
- https://www.cnblogs.com/airoot/p/8072727.html
- https://blog.51cto.com/chenguang/1738731
- https://blog.csdn.net/security_yj/article/details/120153992
上一篇(安装部署):OSSIM开源安全信息管理系统(一)
下一篇(架构分析):
OSSIM开源安全信息管理系统(二)相关推荐
- OSSIM开源安全信息管理系统(十二)
2021SC@SDUSC 本周主要分析的内容为 Framework 模块中,Listener.py 文件.然后衔接上周内容,继续对 OSSIM 系统的日志分析部分进行简单分析. 1.Listener. ...
- OSSIM开源安全信息管理系统(一)
2021SC@SDUSC 一.项目综述 项目背景: 本项目为山东大学软件学院2021-2022学年秋季学期 "软件工程应用与实践" 课程项目 小组成员: 网安工学 李宏伟.网安工学 ...
- OSSIM开源安全信息管理系统(十四)
2021SC@SDUSC 从本周开始,进入一个全新的模块,开始对 OSSIM 的关联分析机制进行分析.首先对管理分析机制进行简介. 关联分析 在 OSSIM 中,关联分析这部分应该算是这个系统的较为关 ...
- OSSIM开源安全信息管理系统(九)
2021SC@SDUSC 本周继续分析 OSSIM 系统 Framework 部分的源代码,对 Framework.py 所引用的其他类进行进一步分析. 同时,会对 OSSIM 的可疑流量检测技术进行 ...
- OSSIM开源安全信息管理系统(十)
2021SC@SDUSC 一.Framework 部分源码分析 (接上一篇文章) def __shouldRunBackup(self) : 该函数的主要功能为检查是否开始运行备份操作 备份时间:默认 ...
- OSSIM开源安全信息管理系统(十六)
2021SC@SDUSC 本周继续对OSSIM系统中,关联分析部分进行源码分析. 关联分析部分源码目录:\ossim\alienvault-ossim\src\alienvault-ossim\os- ...
- OSSIM开源安全信息管理系统(六)
2021SC@SDUSC (接上一篇文章:) __daemonize__(self) : 守护进程方法 如果收到信号 signal.SIGTERM(终止进程),调用 self.stop 当用户输入 k ...
- OSSIM开源安全信息管理系统(十五)
2021SC@SDUSC 目录 五.OSSIM关联分析的部分源代码分析 1.sim-directive.c 1.1.初识 glib 1.2.glib 基本类型定义 1.3.glib 函数 1.4.源码 ...
- OSSIM开源安全信息管理系统(十七)
2021SC@SDUSC 七.Agent部分源代码分析 1.Agent 简介 OSSIM Agent中所有脚本采用 Python 编写,负责从安全设备采集相关信息(比如报警日志等),并将采集到的各类信 ...
最新文章
- CentOS内核优化提示:cannot stat /proc/sys/net/bridge/bridge-nf-call-ip6tables: 没有那个文件或目录...
- HTML DOM - 修改 HTML 内容
- Python列表之for循环应用
- 蓝牙连接参数关于IOS的限制
- 多径信道理论的直观感受与MATLAB仿真
- Nexus入门指南(图文)[转]
- 解压tar.xz文件
- 《Java从入门到放弃》框架入门篇:hibernate中的多表对应关系(二)
- shell脚本备份MySQL
- [转] SQL Server试题
- 什么是编译性语言、解释性语言和脚本语言
- Linux下PHP开发环境搭建(Apache2.4+PHP7.1+MySQL8.0)
- (2)I/O流对象-----FilterInputStream与FilterOutputStream
- 大学计算机基础简历制作,WORD制作新年贺卡和个人简历大学计算机基础课程设计报告书.doc...
- 3G技术与UMTS网络-1
- hiveserver2连接报错:“User: xxx is not allowed to impersonate yyy (state=08S01,code=0)”
- 传奇脚本关于Random机率算法详细说明
- 基于f2从零实现移动端可视化编辑器
- HTML5 网页设计基础
- Unity性能优化 :合批篇