开源安全运维平台OSSIM企业实践(3)
时间:2018-06-01 22:17 来源:网络整理 作者:墨客科技 点击:次
那么我们需要在攻击的各个阶段来发现异常,怎么办?人工去抓包?除非你是神仙。OSSIM通过Snort架设的IDS来实现,新版本采用Suricata,再配合一个前端。这些还不够,还需要规则和策略的扶持。
规则的实现,默认在开源版中带84条规则,USM中有2000+条。而且根据业务需要,不断的进行添加,删除。这跟snort自己的规则,是两码事,这个不要搞混淆。Snort自己有9000+条,但不是都启用。对于关联规则如何去解读,snort规则如何修改,我在书中也做了详解。 下面认识一下刚才实现SSH暴力破解的有功之臣,看看这条规则是如何写的。
这里漏了一个重要概念数据源,数据源在OSSIM非常重要,如同优先级,可靠性一样。 下面讲如何安装,安装是这样的,如果你会安装Debian Linux就行,因为OSSIM就是精简了的debian linux,装好之后,打开浏览器输入ServerIP。
就能看到类似这样的界面,当然前提是你要有数据支撑,有关配置问题。 不得不啰嗦几句,由于OSSIM结构复杂,都是些消耗内存的大户,你不得不准备大内存。如果是目前OSSIM 5.2 64位版本,那么内存至少16G。如果真的要使用达标,就得32GB内存。 如果配置觉得高,那还有解决办法,就是降低软件的版本。4-8GB内存的服务器,推荐安装4.3及以下版本。如果4G内存都没有的笔记本,想要做OSSIM实验,只有选择2.3.1版本32位系统。内存不足,千万别做这个实验,卡死是常有的事。 所以首先解决内存,其次就是磁盘IO,那么通过SSD就可以解决,最后就是网卡IO。网卡推荐intel pro千兆网卡,很多服务器的版载网卡都不行,比如dell,hp gl380。 如果连网卡都不想投入,那么只有你在Windows上安装虚拟机,and VirtualBox。什么Xen,KVM就不要去尝试了,存在问题。所以如果你手里管理上千台云端机器,还是打消部署OSSIM的念头。
|
