OSSIM

OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)，他是目前一个非常流行和完整的开源安全架构体系，通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的，能够更好地进行监测和显示的框架式系统，而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息，同时进行相关功能的整合。

OSSIM明确定位为一个集成解决方案，其目标并不是要开发一个新的功能，而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessus以及Ntop等开源系统安全软件)，在一个保留他们原有功能和作用的开放式架构体系环境下，将他们集成起来。由于开源项目的优点,这些工具已经是久经考验，同时也经过全方位测试、可靠的工具。

OSSIM安装教程

本次安装以VMware虚拟机安装为例，大家可以自己选择，当然您有条件可以选择物理计算机而不是虚拟机，毕竟性能要好一点。

1、在VMware新建了一个虚拟机，将光驱设置为下载好的iso文件

2、载入后，选择第一个“意思是无人值守安装OSSIM”，然后需要输入IP地址，就是您分配给OSSIM的管理地址，也是将来用浏览器访问的地址。规划好，尽量以后别随便修改，否则配置麻烦。

3、然后是输入子网掩码

4、输入网关地址，否则OSSIM升级的时候出问题

5、设置OSSIM的DNS，否则升级也是有问题的

6、分区设置，选择第一个就OK

7、选择磁盘或分区，下一步

8、输入root的密码，两次

9、问你是否升级OSSIM，我选择的yes

10、结束安装了，速度还是很快的！

11、在浏览器打开我刚才输入的IP地址注意不是httpS而是http！用户名和密码都输入admin，系统提示第一次登陆需要更改密码，输入新密码即可。

12、Open Source SIM安装完毕，准备开始我们的OSSIM之旅吧！

OSSIM配置

1、创建虚机的过程中，OSSIM的配置流程如下：

① 在“Install OSSIM”界面，点击“Install AlientVault OSSIM 5.0 (64 Bit)”（此为混合安装模式）；

② 在“Select a language”界面，选择“Chinese (Simplified)”，点击Continue；

③ 在“选择你的区域”界面，选择“中国”，点击继续；

④ 在“配置键盘”界面，选择“美国英语”，点击继续；

⑤ 在“配置网络”界面，输入IP地址：10.111.121.188，点击继续；输入网络掩码：255.255.255.0，点击继续；输入网关：10.111.121.1，点击继续；输入域名服务器地址：114.114.114.114，点击继续；

⑥ 在“设置用户和密码”界面，输入Root用户的密码，点击继续；

然后，就可以慢慢坐等安装结束。

2、通过Web界面进行配置

安装完成之后，就可以通过Web界面进行访问了：https://10.111.121.188

① 第一次访问，需要在“Administrator Account Creation”界面输入FULL NAME、PASSWORD、EMAIL等项，点击“START USING ALIENVAULT”；

② 然后会跳转到登录界面，输入USERNAME和PASSWORD，点击“LOGIN”；

③ 在“Welcome to the AlienVault OSSIM Getting Started Wizard”界面，点击“START”，进行配置；

④ 在“Configure Network Interfaces”界面，列出作为服务端的主机的网口信息，没什么要修改的，直接点击“NEXT”；

⑤ 在“Scan & Add Assets”界面，系统会自动探测出局域网内的主机（也可以手动探测），筛选出要进行监控的资产，点击“NEXT”；

⑥ 在“Deploy HIDS to Servers”界面，选择需要部署HIDS agent的主机，输入该主机的Username和Password，先后点击“DEPLOY”和“CONTINUE”即可，部署完成之后，点击“NEXT”；

⑦ 在“LOG MANAGEMENT”界面，确认相应的网络资产的Vendor、Model和Version，点击“ENABLE”即可安装数据源插件，也可以点击“SKIP THIS STEP”来略过该步；

⑧ 在“JOIN OTX”界面，需要注册并输入TOKEN，也可以点击“SKIP THIS STEP”来略过该步，最后点击“FINISH”来结束配置；

3、通过Web界面进行管理

配置完成之后，就可以通过Web界面进行管理了：https://10.111.121.188

① 在“DASHBOARDS”界面，可以通过视图直观地查看系统当前状态等；

② 在“ANALYSIS”界面，可以对网络行为进行异常分析，可以告警聚合等；

③ 在“ENVIRONMENT”界面，可以通过“Enable Availability Monitoring”实现Nagios监控，可以执行漏洞扫描，可以详细显示资产细节（漏洞、报警、事件、可用性、服务、所属组）等；

④ 在“REPORTS”界面，可以查看系统报告等；

⑤ 在“CONFIGURATION”界面，可以快速预览你的资产，可以进行系统备份等；

OSSIM控制台使用：

如果要对其进行进一步的了解，则需要学会使用OSSIM的控制台。

1、使用SSH连接安装OSSIM 的虚拟机时，便会进入其控制台界面。界面一共有0~7个选项

0 System Preferences

1 Configure Sensor

2  Maintenance & Troubleshooting 

3  Jailbreak System 

4  About this Installation 

5  Reboot Appliance

6  Shutdown Appliance 

7  Apply  all Changes 

2、选择1可以进入Sensor配置界面，这里可配置网络探测器，以及OSSIM丰富的插件，如果更新了配置，需要Apply all Changes。OSSIM 默认安装的插件不多，主要有sudo,ssh,iptables,syslog,dhcp,ossec,rrd,snort.snare等

3、选择3后选择OK可以进入OSSIM 的Shell界面，进入这里之后就能更加直接的看到其内部的数据了。

4、在/etc/ossim 目录下可以看到OSSIM agent以及server的一些配置文件，cat ossim_setup.conf ，里面有配置的基本信息，包括，dns、ip、database 的用户名、密码，framework，ha，snmp状态信息等。

5、OSSIM默认安装本身就具备一些安全防护和权限设置，如果你想获取里面的文件或者数据库表，需要取消插件中的iptables。并且使用ftp被动模式。