网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　OSSIM最初(2003-2007)是完全开源，2008年之后被Alienvault收购，并持续开发，现分为开源OSSIM和商业版USM两种，通过该平台实现对用户操作规范的约束和对计算机资源进行监控，包括服务器、数据库、中间件、存储备份、网络基础设施，通过自动监控管理平台实现故障综合处理和集中管理，能够为您的网络构建起一套敏感的、全方位的中枢神经系统，达到感知网络威胁的效果。

　　大家一看到感知威胁，觉得有些高大上。平时总看见XXX利器“Nagios”、“Cacti”“Ganglia”、“Splunk”，可没有一个是终极解决方案。

　　这些只是相当于某一个工具，如果要对整个网络进行分析，态势分析和评估，那这些工具还远远不够。需要一个超级平台。

　　一套好的平台就能解决以前一堆设备所能发挥的作用。需要用这一完善的平台所提供的整体解决方案，来帮助企业用户快速而准确地确定在大量事件数据中，哪些事件构成关键事件和安全异常。而不是传统企业编写几个脚本来完成所谓的自动化监控任务。

　　下面看看OSSIM的基本组成：

　　我想这张图在我以前的书上都看到过，是个基本的雏形。当然，现在你去下载OSSIM，安装后发现远比它复杂。

　　SIEM系统全靠收集全面的数据，下面深入讲讲OSSIM如何收集采集数据。

　　OSSIM采集数据的方式之一，通过插件的方式。插件这个词被叫滥啦，在OSSIM里到底什么是插件?插件长什么样儿?我们进入系统里截屏看看。

　　这是agent的配置文件

　　如果熟悉Unix/Linux正则的朋友应该看着这些内容比较亲切。对，主要就是依靠这些正则在里面起作用。

　　这张图就反应了它和其他系统的不同之处。如果要在高级威胁和复杂安全事件中关联分析，这一步工作必须要做。事件的预处理，不标准化，就没有后来的关联分析。

　　这里有说到了关联分析，在继续展开一点内容，最常见的SSH暴力破解问题。我想很多朋友都曾遇到或听说过，如果现在发生了一起疑似暴力破解，你如何定性，如何解决，事后如何专业报告。这一系列? 足以让你思考一会儿。

　　下面我做了段视频，看看用OSSIM如何轻松解决。

　　当然OSSIM功能，如果这样介绍，到明天也完不了。下面讲讲他的部署问题，有过抓包经历，或者IDS部署的朋友不难理解。

　　这几个位置是放置探针(Sensor)。合理的放置Sensor可以在分布式部署时为你省去不少麻烦。

　　合理设置探针，也是对付高级威胁攻击的有效手段，对于上面的分布式日志采集，就不展开了。

　　下面过度到APT攻击的发现问题。