http://blog.sina.com.cn/s/blog_60c3194c0100dpdd.html
OSSIM确实功能比较强大,因为其定位与SIM,所以完全具备了PDRR,也包含了PDCA。内部集成了NM领域(Nagios,ntop),Security领域的HIDS(osiris,snare,ossec),NIDS(snort,acid),漏洞扫描(nessus),以及诸多ossim的插件(plugsin)。能与部分AV厂家日志融合(趋势、symantec),支持网络设备(cisco);提供了简单的关联分析;提供了dashboard(简报面板)。可以这么说,目前世面上稍微稳定点的概念产品功能都集成了。
不过,它没有集成Hyperic HQ产品,所以数据库监控效率不高;集成的产品比较多,展示风格不太统一;为集成mrtg(未找到),所以无法调出交换机等的背板流量曲线(家里条件不具备)。
我个人认为,只要完成如下工作,就可以将其修改为一个非常友好的SOC。
1、增加C/S的网络安全拓扑图。不是我喜欢回到C/S时代,C/S在展示拓扑图上,确实有其优势,可以将图像生成放在客户端上,减轻服务端的负担,从而可以生成优美的拓扑界面,改变当前呆板的式样。Nagvis虽然可以生成美观的图像,但在IE里展示图像,目前还是无法与C/S媲美。
2、增加快速响应功能。目前ossim上的响应都是先配置一个action,然后再利用此action。这个是个优雅方法。但是,现场发生情况时,不能这么优雅。看到设备上新起了可疑进程、激活了可以用户时,最快速的方法不是在收到告警后去制定一个action,然后再下发该指令,让sensor去执行。这样太慢了。而应该是快速结束进程、中断用户session。最后才能为这类新事件添加一个action,等下次再发生时就能自动执行了(我一直怀疑自动执行,因为在某些时候,可能会非常滞后了)。
3、增加审计。ossim的审计功能我个人认为比较不尽人意,其报表只能满足简单要求(开源能做到这步已经非常好了)。如果要做成产品,必须增加典型场景自动审计(与用户业务环境耦合);此外,需要增加手工审计功能。手工审计我希望能做成象google一样的搜索引擎,用户可以对中心日志文件(或日志库)进行任意检索,并作出自己的决定。
4、承3,需要增加一个日志中心服务,保留所有的日志,并完成搜索引擎功能。此外,还需要提供搜索结果转IDMEF格式xml的功能,互联是网络产品的出路,不能拒绝与别的产品互通。而IDMEF是标准化的攻击消息交换格式,可以直接给其他安全产品用(直接提供syslog格式也可以,不过太不专业了)。
5、增强关联分析。是的,ossim已经提供了简单关联分析(我认为还是有点简单),我们还需要增强。增加关联的力度,深度挖掘(用户在利用搜索引擎时积累下的经验,可以变换成关联规则,并被自动执行)。
6、增强资产管理。ossim的资产管理还是不好用。最大的缺陷是:你只能配置资产、或采集局部资产。而SOC应该以资产为基础核心,事件为其通信核心。所以SOC在配置了资产下去后,应该时刻关注设备上的所有资产。配置资产与采集资产不一致时,就是违规了。这点ossim没有实现(我认为是这样的,如果你找到了,请告诉我)。
7、增加文档管理。ossim集成了snare,可以有效管理文件的创建与访问,但是,文档也是企业的资产核心(另外一个是数据库)。需要增加文档拷贝、部分复制、外发等安全管理。真正做到文件生命周期管理:文件申请、授权、拷贝、销毁。
8、增加数据库管理。我未看到ossim的数据库管理亮点,所以才强调本点。数据库管理除了性能外,还包括数据库连接、访问、访问特定表的前后顺序管理。最好是在特定数据表访问前,将请求包都保存起来,用于自动审计、场景审计和手工审计。
9、增加主机/终端接口管理。ossim利用snare可以监控usb呢,真是棒极了。70%的信息泄漏是内部员工引起的,监控住了USB,就可以将这70%中的80%管住吧(80-20原理)。此外,蓝牙、CDRW、WiFi都可以泄漏、打印机也会泄漏。将通过这些接口外发的文件都监视起来,可以安全不少吧?
10、增加外发邮件管理。邮件管理可以集成邮件管理专用软件或插件来完成。
11、增加内容过滤、url过滤管理。我非常奇怪,ossim为何不增加这样的插件,至少给个提示也好呵,可它根本未涉及。难道它只关注os基本,不关注应用?SOC需要关注企业应用呢。
12、增加认证功能(CA最好)。包括节点认证、用户认证。ossec的客户端需要一个author码,nagios不要。要将ossim包装成一个可接受的产品,必须增加此功能。
13、集成ossim的客户端集合功能。ossim的客户端繁多,不修改直接来用,肯定会引起用户反感。需要对其进行整合,一键启动、一键停止。
14、增强用户终端管理功能。ossim的客户端都是瘦客户端,管理功能比较弱(因为其功能单一)。用户终端至少应该有环境检测、网络诊断、脚本执行功能吧?我希望增加防火墙功能、本地合归性检查功能(是否安装了非法软件、是否未升级补丁、到期的文档是否已经删除等)、简单防rootkit功能。同时,自身必须利用rootkit技术进行必要的数据隐藏,防止用户断线后进行的违规活动记录被清理,防止用户随意卸载。
15、增加与企业业务耦合的插件,为客户业务服务是SOC的宗旨。只有安全成为了一个关键业务因素时,用户才愿意为安全付费。在其未充分重视此点之前,SOC只能为业务服务。
16、增加知识库。ossim没有知识库概念。出于isms或soc的普通合规性,我们也要提供知识库,以便与用户共同进步。
市场开拓
1、为ossim是开源,所以适应将新增的功能做成plugsin,这样即使不公布源代码也未违法GPL。
2、整个产品做成一个box,收取硬件费用、施工费用、插件开发费用、培训费用、维护费用,ossim免费。
3、定制报表。为用户提供定制报表,定制报表收费。
4、OEM,如果哪个企业有开发或进入安全关联领域,可以联系我们
分享到:
相关推荐
1. **日志聚合**:OSSIM可以收集来自多个网络设备和应用的日志数据,集中在一个平台上进行分析,便于监控网络活动和潜在威胁。 2. **实时警报**:通过对收集到的日志数据进行实时分析,OSSIM能及时发现异常行为,...
下面我们将详细介绍如何实现 OSSIM 中文化文档。 首先,我们需要了解 OSSIM 中文化文档的文件结构。在 OSSIM 系统中,中文文件是“/usr/share/locale/zh_CN/LC_MESSAGES/ossim.po”。这个文件是 OSSIM 系统的中文化...
此外,用户指南还会详细介绍ossim的图像处理流程,包括图像的加载、转换、融合和显示等步骤。 《ImageLinkerDocs0_3.pdf》和《ImageLinker_Tutorial.pdf》可能涉及ossim的ImageLinker工具,这是一个用于创建和管理...
1. 集成主流的开源安全工具/系统:OSSIM整合了市场上流行的开源安全工具,如Snort、Nagios、OSSEC等,以提供全面的安全监控能力。 2. 提供友好、统一、可视化的管理界面:OSSIM提供一个直观的用户界面,便于安全团队...
OSSIM(Open Source Security ...部署OSSIM代理是一个系统化的工程,它需要仔细规划网络和资源分配,以及对所使用组件的深入理解。随着OSSIM的持续发展,它的代理系统也在不断更新和改进,以适应不断变化的安全需求。
OSSIM,全称为开源安全信息管理系统,是一个广泛认可的开源安全架构,旨在提供一个集中的、有组织的安全监控框架。其核心理念是通过整合多种开源安全工具,形成一个能够实时监控、风险评估和报警处理的高效平台。...
1. **多格式支持**:OSSIM支持众多遥感和GIS数据格式,如TIFF、JPEG、ENVI、GDAL等,允许用户处理各种类型的遥感数据。 2. **地理编码**:OSSIM内置了地理坐标系统和投影转换功能,可以轻松处理带有地理信息的图像。...
通过以上介绍可以看出,OSSIM不仅是一款功能强大的安全信息管理系统,而且还是一个集成了多种前沿技术的综合平台。对于希望提升网络安全管理水平的企业和个人而言,深入学习和掌握OSSIM将会带来巨大的价值。
1. **源代码**:ossim 可能提供了源代码,以便用户了解其内部工作机制,这对学习操作系统编程和实现非常有帮助。源代码通常由C、C++或类似的系统级编程语言编写,包括各种模块,如进程管理、内存管理、文件系统等。 ...
Ossim在企业网络安全领域中的应用,原创PPT
对于玩OSSIM的初学者或者中级水平的从业人员来说,都有一定必要性从中文看起,当然,最终还是英文的目标迈进,只是说,为了让自己更快速上手!
OSSIM 开源安全信息管理系统,对开源软件产品进行集成,提供一种能够实现监控功能的基础平台。
1. **ossim-daemons**: 这是OSSIM的核心服务,包括数据收集器(如syslog-ng、logstash)、数据解析器(如ossim-sqlite)和事件生成器(如ossim-normalizer)。它们负责从不同来源获取日志和其他安全相关数据,并对其...
1. **集成化管理**:OSSIM集成了诸如Nagios(系统监控)、Ntop(网络流量分析)、OpenVAS(漏洞扫描)、Snort(入侵检测系统)、Nmap(网络映射)、OSSEC(文件完整性检查)等多种工具,用户无需在各个系统之间切换...
它不包含OSSIM插件和其它OSSIM相关代码,诸如Java的绑定( ),和GUI。 这些可用于单独克隆。 有关请参见github根目录。 快速链接: OSSIM命令行实用程序 Doxygen源代码文档 存储库之间的关系(获得什么) 主要...
内容:Why OSSIM ,OSSIM Architecture,OSSIM Embedded Tools,OSSIM Collectors ,OSSIM Collector Anatomy,OSSIM Threat assessment ,OSSIM ALack analysis ,Why OSSEC ,OSSEC Architecture ....等
OSSIM是AlienVault的开源安全信息和事件管理(SIEM)产品,提供事件收集,规范化和关联。 要获得更多高级功能,AlienVault统一安全管理(USM)在OSSIM上具有以下附加功能:*日志管理*通过持续更新的预构建关联规则库...
接下来,我们要介绍的是"开运算"。开运算由先腐蚀后膨胀两个步骤组成,它能够有效地去除小的噪点并保持大物体的形状,特别适合于分离紧密相连的物体。开运算可以用以下公式表示:原图 → 腐蚀 → 膨胀。 然后是"闭...
要编译和安装此 OSSIM 插件,请使用以下说明: 1. Install and compile the latest OSSIM version 2. Open a terminal window in the OSSIM_DEV_HOME/ossim_plugins/opencv/3. In this folder delete the old ...
OS-SIM-(c)2003 ossim.net 关于奥西姆 我们的目标是获得一个可以工作的SIM(安全基础结构监视器),它能够集成,限定和关联高级别和低级别的安全性和网络事件,从而能够与最近出现在安全性市场上的商业产品竞争。...