AlienVault? OSSIM?, Open Source Security Information and Event Management (SIEM), provides you with a feature-rich open source SIEM complete with event collection, normalization and correlation.
工具集关系
页面功能
ossim的主要功能在Environment中,其中
Assets表示资产管理------>nmap
Vulnerabilities表示漏洞扫描------>openvas
Profiles表示网络流量的轮廓------>ntop
Availability表示可用性------>nagios
Detection表示入侵检测------>ossec
后台自动运行的程序有suricata
数据库
数据库使用mysql,密码在配置文件/etc/ossim/ossim_setup.conf中
包含的数据库如下:
开启的端口服务
mysqld:数据库服务
redis-server:redis存储服务
apache2:web服务
openvassd:漏洞扫描服务
sshd:远程连接ssh服务
ntop:监控网络流量服务
ossim-server:ossim服务,开启端口40001,40002,40003
python:插件代理服务,解析来自各个探针的数据
ossec-remoted:主机入侵检测系统服务
squid:代理服务
rsyslogd:系统日志服务
nfcapd:netflow 分析端,fprobe探针将接口数据格式为netflow数据交给nfcapd
开启的守护进程
root 1063 0.0 0.4 184956 58980 ? S 14:17 0:01 /usr/sbin/openvasmd --database=/var/lib/openvas/mgr/tasks.db --listen=0.0.0.0 --port=9390 --slisten=127.0.0.1 --sport=9391 --gnutls-priorities='SECURE128:-AES-128-CBC:-CAMEroot 1215 0.0 0.0 3768 436 ? Ss 14:17 0:00 startpar -f -- openvas-managerroot 1233 0.0 0.0 64828 2008 ? Sl 14:17 0:01 /usr/sbin/rsyslogd -c3 -xroot 1265 0.0 0.2 296240 26508 ? Ss 14:17 0:00 /usr/sbin/apache2 -k startroot 1292 0.0 0.0 127220 1108 ? Ss 14:17 0:00 /usr/sbin/cronroot 1302 0.0 0.0 47364 6192 ? Ssl 14:17 0:06 /usr/sbin/fprobe -ieth0 -fip 172.16.1.232:555root 1469 0.0 0.0 9232 1484 ? S 14:17 0:00 /bin/sh /usr/bin/mysqld_safemysql 2463 0.8 6.2 2098644 750608 ? Sl 14:17 1:11 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib64/mysql/plugin --user=mysql --log-error=/var/log/mysql/mysql.err --pid-file=/var/run/mysqld/mwww-data 2537 0.0 0.0 15904 760 ? S 14:17 0:00 /usr/bin/nfcapd -w -D -p 555 -u www-data -g www-data -B 200000 -S 7 -P /var/nfsen/run/p555.pid -I B8B926CA29F0429C9AD848CAC6134D95 -l /var/cache/nfdump/flows//live/B8B926CAnagios 2538 0.0 0.0 54488 3984 ? SNsl 14:17 0:04 /usr/sbin/nagios3 -d /etc/nagios3/nagios.cfgntop 2566 0.0 0.3 242916 38292 ? Ssl 14:17 0:03 /usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --access-log-file /var/log/ntop/access.log -i eth0 -p /etc/ntop/protocol.list -O /var/log/ntop --no-macossec 2759 0.0 0.0 17324 3032 ? S 14:17 0:02 /var/ossec/bin/ossec-analysisdroot 2763 0.0 0.0 4128 624 ? S 14:17 0:00 /var/ossec/bin/ossec-logcollectorossecr 2768 0.0 0.0 31212 960 ? Sl 14:17 0:00 /var/ossec/bin/ossec-remotedroot 2775 0.1 0.0 5024 1820 ? S 14:18 0:09 /var/ossec/bin/ossec-syscheckdossec 2779 0.0 0.0 12628 644 ? S 14:18 0:00 /var/ossec/bin/ossec-monitordroot 2829 0.0 0.1 215284 20600 ? Sl 14:18 0:03 /usr/bin/python -OOt /usr/bin/ossim-framework -davserver 2853 0.6 2.6 567004 317228 ? Sl 14:18 0:58 /usr/bin/ossim-server -droot 2964 8.6 0.2 285576 26184 ? Sl 14:18 12:46 /usr/bin/python -OOt /usr/bin/ossim-agent -dredis 2984 0.0 0.0 26192 1648 ? Ssl 14:18 0:07 /usr/bin/redis-server /etc/redis/redis.confroot 3034 0.8 2.7 418520 326972 ? Ssl 14:18 1:19 /usr/bin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid -D --pfring=eth0root 3296 0.0 0.0 47120 1772 ? Ss 14:18 0:00 /usr/sbin/squid3 -YC -f /etc/squid3/squid.confproxy 3302 0.0 0.1 83448 16044 ? S 14:18 0:04 (squid) -YC -f /etc/squid3/squid.confroot 3311 0.0 0.0 49212 1184 ? Ss 14:18 0:00 /usr/sbin/sshdroot 3349 0.0 0.0 34728 4416 ? S 14:18 0:00 /usr/sbin/monit -c /etc/monit/monitrc -s /var/lib/monit/monit.stateroot 3377 0.0 0.0 5960 644 tty1 Ss+ 14:18 0:00 /sbin/getty 38400 tty1root 3620 0.0 0.3 114460 42968 ? Ss 14:18 0:00 openvassd: waiting for incoming connections root 3671 0.0 0.4 198764 52148 pts/0 S 14:20 0:00 /usr/bin/python /usr/sbin/ossim-setupnagios3:网络监控suricata:检测引擎monit:看门狗getty:虚拟终端工作流程
以suricata和ossim联动为例
- sensor端的检测引擎suricata将检测到的数据写入unifiled文件中
- 由python写的代理插件读取unifiled文件转换为ossim统一格式通过tcp协议端口 40001发送给ossim server服务
- ossim server接收数据并入库
- web页面读取数据库展示