最新-开源可视化安全管理平台Ossim5.0使用「预览」 

   

                

   你还在为安装日志分析系统而苦恼吗?你还费尽力气尝试各种流量监控系统吗?你还在花重金购买漏洞扫描系统吗?你的领导还在不停地催促你索要各种监控分析报表吗?当你真正用上OSSIM平台之后,才发现经过多年努力,建设的这些系统无非是一个个安全孤岛,过眼云烟而已,数据既不能自动共享,更无法做到关联分析。下面为大家展示开源OSSIM的一些亮点。

   Ossim5.0系统,在2015年4月20号由Alienvault公司对外发布,它从2003年诞生到现在,经历了十多年的不断锤炼,目前已经是一款成熟的开源SIEM产品,以下是OSSIM在内网监控中发挥作用的截图(点击每张截图均可放大)。

wKioL1U22dbzALpsAAPlme3VqZM330.jpg


wKioL1XVAQKSYwFSAAfL-JmTrv0879.jpg

安全态势分析 :数据的可视化,用简单明了的图形化方式将数据本身及其内涵展示给大家,非常方便。ossim在一个相对集中的界面中给出了尽可能多的数据属性。

wKiom1XU_0qAwPMWAAcRyVvTKyY169.jpg

网络攻击可视化分析,攻击的可视化,实质是将安全让大家看的见。

wKioL1XVAhGS4wZ2AAlE-4J7aX0761.jpg

用Nagios监控,设置过程,一键搞定。

wKiom1U22rXzMdxUAARmuZYuKVc797.jpgwKioL1U23B6QejnSAAR7fHvA3j0231.jpg


快速预览你的资产

wKioL1U3FgTxGSrwAAPF8Y0NOfM770.jpg


与OTX结合

wKioL1XVBIqzzyn-AAaW1OggVSI202.jpgwKiom1XVAouCmY8LAATEVcEwqXI974.jpg

漏洞扫描一键完成

wKiom1U3DRLCRcl2AAM3eeAInQE135.jpg

wKioL1U4LnjQYjMPAANHJ-k97so540.jpg

通过OTX技术及时了解全球IP信誉情况,因为Alienvault在全球建立了一套分布式信誉评估机构,这些评估信息来源于:

举报机制;

监管机制(异常行为检测、合规性评估);

系统完整性检查;

IDS/IPS、蜜罐等系统;

主动搜索+内容分析的结果;

这说明他所提供的信誉评估系统并非孤立的系统,而是一个动态的由不同合作伙伴组成的生态系统,这一点看是绝大多数企业无法完成的任务。

wKiom1U22s3xBTi6AAYtw5L_kfM556.jpg

    这里演示的其实是网络攻击地理分布图,通过此图,用户可以很清楚的看到哥哥地区的攻击IP情况,这种方法对于宏观掌握攻击疫情,有着很重要的意义。我们用传统方法也能根据IP在地图上定位,主要是从上报者的IP或电子邮件归属,进行分类统计,然后在映射到地理信息系统而形成一个活跃地图,在OSSIM采用采用了OTX的方式,数据更加精确。

    详细显示资产细节(漏洞、报警、事件、可用性、服务、所属组),资产管理的目的就是识别信息系统内部所有类别的网络设备、主机服务及操作系统,应用系统等。

wKiom1U23GGglyYZAASbVRao9VQ003.jpg

有了基线指标,才能分析网络异常行为(对这一功能,其他监控工具望尘莫及)。

wKioL1U23drB2yvZAAQ26-HMfk4267.jpg

可视化直观展示网络攻击类别

      多源异构设备的数据采集及标准化,是绝对多数运维人员的技术难点,然而通过OSSIM Agent实现却非常方便,无需用户编程,就可以实现在监控中心的以图形化方式集中显示安全事件,《Unix/Linux网络日志分析与流量监控》一书中主要对该模块中数据采集的流程及字段标准进行设计与实现并测试其结果。

wKioL1U4LYOzLHvRAALQ3zJIimE252.jpg

wKioL1U4LaiBtG9aAAG81ZabDGU117.jpg

告警聚合--海量事件中你无需练就火眼金睛,OSSIM助你识别网络威胁。

wKiom1U23NPArNg0AAIOf-NO0bM297.jpg

OSSIM中通过基于协议分析的特征检测技术发现攻击行为,无论是漏洞利用还是暴力破解,都会让它们无所遁形。这种检测技术的核心在于建立和维护了一个KDB(知识库)。

wKioL1U23jugR-TGAAOyAr-XGyY508.jpg

Ossec Agent远程部署方便快捷(我要看安装视频)

wKiom1VAEgSB--iIAAMxXSRAh_s926.jpg


Netflow的可视化,助力网络异常流量分析

wKioL1U5g9_w6P8-AAVj6MTtMmo850.jpg

wKioL1U5hK7D34VSAAccqkmllEs200.jpg

漏洞数量全局把控

wKiom1XVAU7Rv6uiAAW9LJg8yGk272.jpg


流量监控(注意在OSSIM 5.0.4之后的版本中取消了Ntop服务)

wKioL1U6yXayZF-qAATDcBh3ulc392.jpg

wKiom1U6yQ3zza6dAAQbiUj7Eis943.jpg

日志收集,轻松检索30+million的日志量

wKioL1VBzzWBf0lcAAND1EKgm-k350.jpg

智能事件分析

wKiom1U4ahqyvAs0AARKPMRoDu8014.jpg wKioL1U4a4LCsyZuAARpgP8KGuI691.jpg

及时消息提醒

wKiom1U4LJuxb7aHAAMyOLlG5SI743.jpg

即使你不是DBA,也能通过一键操作,搞定系统备份!

wKiom1U4JfXDB1v9AANPHGETD2M615.jpg

生成以上这些截图,无需管理员手工编译、安装、配置繁琐的文件,更无需编程,最重要的问题是-FREE。心动的朋友可以考虑立即安装啦。

 

Ossim 5.1 命令行下升级完整视频下载         WebUI下升级视频下载

 

OSSIM 5.0系统下载地址:http://pan.baidu.com/s/1mgEDRKW

选择混合安装模式,菜单第一项Alienvautl OSSIM

 wKiom1U59-ihhbNdAADk-9-YUD4043.jpg


软件下载:


OSSIM 5.2.0                           OSSIM 5.1.0 ISO网盘下载




OSSIM 5.1.0的改进

1)增加了远程系统认证(使用设备配置SSH公共密钥和证书连接AlienVault系统root密码)
2)VPN配置环境
3)增强的OTX一体化
4)提高关键资产的主机级可视性

5)数据源插件的扩展功能进一步增强
从单一资产(如系统日志和应用程序日志中收集多个日志类型)。一旦数据源插件被启用,搜索和过滤的资产清单,通过插件,以确保日志被收集的关键资产,并迅速找出任何资产监控的空白。

6)删除了一些陈旧插件
以下插件已经从AlienVault USM和OSSIM V5.1删除。这意味着,这些插件已经从产品中删除,将不再被包含在插件更新。
iphone

forensics-db-1

malwaredomainlist-monitor

motion

nessus-monitor

ntop-monitor

snortunified

osiris

7)自定义插件的更新

8)开源工具引用
在OSSIM V5.1产品能够更好地反映每个提供的内置功能的开源工具的名称更新。以下的名字已经在USM和性能变化。
Nagios to Availability Monitoring

Ossec to AlienVault HIDS

nmap to Asset Discovery Scan

OpenVAS to Vulnerability Assessment

Suricata to AlienVault NIDS

Kismet to Wireless IDS

Nfsen to Netflow

OCS to Software Inventory

更多OSSIM5.1爆料我们以后在放出。

 

        好了,看了以上介绍的内容是不是觉得OSSIM很牛,这些高大上的图标看得眼花缭乱,是不是能解决企业面临的安全问题?只是一堆的统计图表的肯定不能算真正意义上SIEM,OSSIM还要结合企业自身的安全团队使用,这才是一个整合资源与流程的自动化处理中心,部署OSSIM前先有一个安全团队、一定的资产信息、有一套的信息安全管理流程和安全事件处理流程。OSSIM系统不是像防火墙、IDS那样买了就能直接起到具体作用。


 

OSSIM入门视频教程:http://edu.51cto.com/course/course_id-1186.html 

 

有关OSSIM基础入门的内容,大家可参考我的2015年新作。

wKioL1U3DCGD-WxmAAGUluJMYLU907.jpg