Linux 安装配置 OSSIM-HIDS

Linux 安装配置 OSSIM-HIDS

OSSIM安装使用教程

OSSIM官方ISO文件下载地址

OSSEC官网下载地址

Linux 下配置 OSSIM-HIDS

推荐拜读李晨光老师的 OSSIM 博文

相关概念说明

SEM，security event management，安全事件管理，指对事件进行实时监控，收集信息差展生通知和告警的行为。

SIM，security information management，安全信息管理，指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。

SIEM，security information and event management，安全信息和事件管理，即SEM和SIM的结合体。

SOC，security operations center，安全运营中心。

TI，Threat Intelligence，威胁情报。SOC偏重内部网络态势感知，而TI偏重于外部网络态势感知好比新出了什么漏洞、病毒、安全事件等等。

SA，situational awareness，态势感知。

SRC，Security Response Center，安全响应中心。狭义上只是一个提交产品漏洞的入口，但广义上包含各类安全系统及系统维护人员。

他们的关系是：SRC > SA >= SOC [ + TI ] >= SIEM = SEM+SIM。

一款典型的SIEM产品具备如下功能：资产发现、漏洞扫描、***检测、日志存储分析和可视化展现。

wget https://updates.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/atomic-release-1.0-21.el7.art.noarch.rpm
wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz
rpm -ivh atomic.rpm
tar -xvf ossec-hids-3.6.0.tar.gz
cd ossec-hids-3.6.0
yum install -y gcc gcc-c++ pcre2-devel libevent-devel zlib-devel openssl-devel

./install.sh
agent
OSSIM 源IP地址

touch /var/ossec/queue/rids/sender

echo "/var/ossec/bin/ossec-control start" >> /etc/rc.local

# agent 端配置 Key
/var/ossec/bin/manage_agents

# 重启客户端 ossec 服务
/var/ossec/bin/ossec-control  restart

#-lc 表示显示已经成功链接服务端的客户端列表
/var/ossec/bin/agent_control -lc

代理控制参数选项：
-h                         显示帮助消息
-l                         列出全部可能的代理
-lc                        列出活动的代理
-i  <agent_id>                获取代理的相关信息 agent_id
-r                         运行代理中的integrity/rootcheck检查，要和-u或-a 一块儿使用。
-a                         对全部代理起作用
-u    <agent_id>            <agent_id>预先指定代理ID号

# 查看 ossec 日志
tail -40f /var/ossec/logs/ossec.log

# 获取特定代理的信息:
/var/ossec/bin/agent_control -i 3