AlienVault OSSIM软件(开源SIEM)

SIEM

OSSIM分为商业版和开源版两个版本,这里主要介绍下开源版本🙂

“AlienVault OSSIM(开源SIEM / 开源安全信息管理系统,Open Source Security Information and Event Management)是世界上最广泛使用的开源SIEM,完整的事件收集、 规范化和关联。 ”

看了上面的定义后,有必要在讲OSSIM之前先说下SIEM。SIEM可以简单的翻译为【安全信息和事件管理( security information and event management )】 是一个由不同的监视和分析组件组成的安全和审计系统,负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据,并进行分析和报告。 SEM(安全事件管理)、SIM(安全信息管理),两者相结合成为SIEM。

OSSIM定位为一个集成解决方案,目标不是开发一个新的系统,而是利用丰富、强大的各种程序,报告但不限于Suricata(网络威胁检测引擎)、Ntop(监控网络流量工具)、P0f(被动探测操作系统工具)、Spade(异常检测引擎)、Tcptrack(TCP会话实时监控)、Arpwatch(MAC异常检测)、OpenVAS(漏洞扫描)、Nagios(主机及服务可用性监控)、Nikto(网页服务器扫描器)、RabbitMQ(一种实现了高级消息队列协议的消息代理软件;面向消息的中间件)、Redis、Ansible(一种运维自动化工具)、Ossec(多平台入侵检测系统)、RRD Tools(网络链路流量监控软件);打造一个从运维监控👉→事前预警👉→事后报警👉→SIEM日志分析故障的一个快速解决问题的网络系统,主要采集的数据包括:网路流量(大小、流量成分)、关键网络设备(CPU利用率、端口利用率)、入侵事件的数量和严重等级、网络性能等。

现在聊一下OSSIM的基础三层结构,如下图:

ossime架构zndmz.com

1、数据采集层:使用各种采集技术采集【流量信息】【日志】【各种资产信息】,经过归一化处理后传入“核心处理层”。本层体现安全事件来源,入侵检测、防火墙、重要主机发出的日志都是安全事件来源。(这一层就是Sensor要完成的内容)

2、核心处理层:主要实现对各种数据的深入加工处理,包括【运行监控】【安全分析】【策略管理】【风险评估】【关联分析】【安全对象管理】【脆弱性管理】【事件管理】【报表管理】等。OSSIM服务器主要功能是安全事件的集中,并对集中后的事件进行关联分析、风险评估及严重性标注等。所谓集中,就是以一种统一格式组织所有系统产生的安全事件告警信息(Alarms),并将所有的网络安全事件告警储存到数据库,系统通过事件序列关联和启发算法关联来更好的识别误报,以及侦察攻击的能力。

3、数据展现层:主要负责完成与用户之间的交互。

OSSIM系统的Sensor端包含了采集(Collection)和监控(Monitor),这两类插件统称为安全插件,【检测插件(Detector)】是检测器信息产生后,由代理自动向服务器发送,包括Snort、Apache等;【检测器插件】需要主动采集安全设备接口上的信息,这类插件可分为Snort、P0f、Prads、Arpwatch、Apache、SSH、Sudo。【监控(Monitor)插件】必须由服务器主动发起查询请求。监控插件中定义了需要主动采集的安全设备接口,该模块接收控制中心发出的命令和查询,如Nmap、Nessus。