VMware下OSSIM 5.0安装和使用小结

1. 概述

OSSIM即开源安全信息管理系统（Open Source Security Information Management），是目前一个非常流行和完整的开源安全架构体系。

OSSIM通过将开源产品进行集成，从而提供一个能够实现安全监控功能的、集中式、有组织的基础框架平台。

2. 下载镜像文件

AlienVault公司发布的OSSIM镜像文件使用的是裁减过后的Debian 6 64位操作系统。

2015年4月20日，AlienVault发布了最新的OSSIM版本：AlienVault_OSSIM_64bits_5.0.0.iso。

通过官方链接，可以下载最新的OSSIM版本：http://downloads.alienvault.com/c/download?version=current_ossim_iso

如果想下载早期的OSSIM版本，请戳这里：http://downloads.us.alienvault.com/c/download

3. 虚机配置

我的VMware Workstation的版本是10.0.4。

为OSSIM环境创建虚机时，将安装光盘镜像文件的路径设置为下载好的镜像文件即可。

虚机的内存默认是256M，不过建议尽量分配大点（我给虚机分配了2G内存），以免后续OSSIM运行吃力。

然后，就可以创建虚机了。

4. OSSIM配置

创建虚机的过程中，OSSIM的配置流程如下：

① 在“Install OSSIM”界面，点击“Install AlientVault OSSIM 5.0 (64 Bit)”（此为混合安装模式）；

② 在“Select a language”界面，选择“Chinese (Simplified)”，点击Continue；

③ 在“选择你的区域”界面，选择“中国”，点击继续；

④ 在“配置键盘”界面，选择“美国英语”，点击继续；

⑤ 在“配置网络”界面，输入IP地址：10.111.121.188，点击继续；输入网络掩码：255.255.255.0，点击继续；输入网关：10.111.121.1，点击继续；输入域名服务器地址：114.114.114.114，点击继续；

⑥ 在“设置用户和密码”界面，输入Root用户的密码，点击继续；

然后，就可以慢慢坐等安装结束。

5. 通过Web界面进行配置

安装完成之后，就可以通过Web界面进行访问了：https://10.111.121.188

① 第一次访问，需要在“Administrator Account Creation”界面输入FULL NAME、PASSWORD、EMAIL等项，点击“START USING ALIENVAULT”；

② 然后会跳转到登录界面，输入USERNAME和PASSWORD，点击“LOGIN”；

③ 在“Welcome to the AlienVault OSSIM Getting Started Wizard”界面，点击“START”，进行配置；

④ 在“Configure Network Interfaces”界面，列出作为服务端的主机的网口信息，没什么要修改的，直接点击“NEXT”；

⑤ 在“Scan & Add Assets”界面，系统会自动探测出局域网内的主机（也可以手动探测），筛选出要进行监控的资产，点击“NEXT”；

⑥ 在“Deploy HIDS to Servers”界面，选择需要部署HIDS agent的主机，输入该主机的Username和Password，先后点击“DEPLOY”和“CONTINUE”即可，部署完成之后，点击“NEXT”；

⑦ 在“LOG MANAGEMENT”界面，确认相应的网络资产的Vendor、Model和Version，点击“ENABLE”即可安装数据源插件，也可以点击“SKIP THIS STEP”来略过该步；

⑧ 在“JOIN OTX”界面，需要注册并输入TOKEN，也可以点击“SKIP THIS STEP”来略过该步，最后点击“FINISH”来结束配置；

6. 通过Web界面进行管理

配置完成之后，就可以通过Web界面进行管理了：https://10.111.121.188

① 在“DASHBOARDS”界面，可以通过视图直观地查看系统当前状态等；

② 在“ANALYSIS”界面，可以对网络行为进行异常分析，可以告警聚合等；

③ 在“ENVIRONMENT”界面，可以通过“Enable Availability Monitoring”实现Nagios监控，可以执行漏洞扫描，可以详细显示资产细节（漏洞、报警、事件、可用性、服务、所属组）等；

④ 在“REPORTS”界面，可以查看系统报告等；

⑤ 在“CONFIGURATION”界面，可以快速预览你的资产，可以进行系统备份等；

参考资料

1.《最新-开源可视化安全管理平台Ossim5.0使用「预览」》，http://chenguang.blog.51cto.com/350944/1636741