开源USM-AlienVault OSSIM

    什么是USM，其实就是安全管理平台的百宝箱，不须要二次开发能够直接将插件嵌入到平台。整合各类功能插件、日志信息、监控信息。下面就让咱们一块儿聊一聊OSSIM吧。

一、概述

美国公司，在德国、西班牙、英国和墨西哥设有分支机构。主要从事SIEM(SOC)相关业务。主要商业模式是推广开源的OSSIM，并提供服务收费。另自建SOC中心，号称CloudSIEM。

二、产品状况

有三种产品：OpenSource SIM、SIM Professional和Cloud SIEM。SIM Professional版本基于OpenSource SIM(OSSIM)开发，同一个分支，未注册的就是OS版，经过注册号注册成为Prof版会增长关联分析能力、一些合规性报表等。老版本的ossim的源代码把全部代码放在一个工程下面，1.0之后的版本基本都分开了，代码工程以下： 

1.agent  2.os-sim  3.server  4.web  5.ossim-gsoc2008

三、收费服务

培训、认证、技术支持和按期数据更新(通告、规则、报表、插件等)。

四、业界评价

Gartner的SOC行业分析幻方(Magic Quadrant)一直没有将其考察范围，主要因素多是营收还比较小不知足Gartner标准，可是因为OpenSource概念行业一直对其比较关注。

五、OpenSource SIM状况

架构

系统分为SIEM、Sensor和Logger三部分。Sensor相似于采集器，可是含义更广，包含拓扑发现、漏洞信息收集等全部的信息收集功能；Logger是相似于咱们通信服务器，负责存储、备份、取证等；SIEM就是操做中心、审计、规则等等。

OSSIM能够分红几大部分：

           ossim-agent

           ossim-framework

           ossim-server

           ossim-web界面

能够参考的方面

• 基于插件的体系，灵活性比基于配置更强一些，也便于整合第三方工具；

  缺点是可能会形成一些混乱

• 采集协议支持较为全面（不少是依赖插件完成），好比Syslog, Syslog-ng,

  SNMPv2, SNMPv3, OPSEC, HTTP,WMI, SQL, ODBC, FTP,SFTP, Socket

  UNIX, flat file, SSH, Rsync, Samba, NFS, SDEE, RDEP, CPMI多种协议

• 利用多种开源工具无需一次开发

• 支持无线网络的功能比较特别

• 展示方式比较丰富，速度较慢

六、安装

安装拓扑：

VMware 新建alienvault_ossim 的虚拟机，将光驱设置为下载好的iso文件就OK。

• 在“Install OSSIM”界面，点击“Install AlientVaultOSSIM 5.0 (64Bit)”

  （此为混合安装模式）；

• 在“Select a language”界面，选择“Chinese (Simplified)”，点击Continue；
  

• 在“选择你的区域”界面，选择“中国”，点击继续；

• 在“配置键盘”界面，选择“美国英语”，点击继续；

• 在“配置网络”界面，输入IP地址：172.16.100.100，点击继续；

• 输入网络掩码：255.255.255.0，点击继续；

• 输入网关：172.16.100.1，点击继续；

• 输入域名服务器地址：114.114.114.114，点击继续；

• 在“设置用户和密码”界面，输入Root用户的密码，点击继续；

• 安装完成以后，就能够经过Web界面进行访问了：https://172.16.100.100

七、总结

    通过对代码研究，彷佛代码也不是完整的(应该缺乏不少规则的定义)。没有任何工程和编译说明，从代码编译出二进制包估计是不可能的。基本是个大杂烩，采用了插件的体系结构，有内置的插件，也有第三方的插件。目前的插件号称有2000多种。展示方式是比较丰富的，好比雷达图之类的。另外正式版作了大量27001和PCI-DSS合规性报表（没注册码看不见内容，只能看见标题），比较符合国外的应用环境。开源版没有多条事件的关联分析能力，Prof版才有。

    很是值得注意的一个事是：众包模式和大量威胁数据可能不会提升USM的有效性。这方面最权威的第三方分析机构Gartner认为，更多的数据并不必定是一件好事，若是你不能正确地分析这些数据。“咱们的问题并非缺乏数据，咱们缺乏的是分析这些数据的智能化。”若是下一代产品能够提供智能和实用性的结合体，企业才可以获益。USM市场还有很大的可开拓的空间！

常见报错解决方法：

一、OSSIM 简体中文显示乱码问题解决
#首先是进入OSSIM的管理后台，用SSH登陆后，进入系AlienVault Setup菜单，选择 3 Jailbreak system  便可使用Root权限进入后台
#修改本地化
执行 dpkg-reconfigure locales
#添加VIM对于UTF-8的支持
vi /etc/vim/vimrc
行尾添加
set encoding=utf8
set fileencodings=ucs-bom,gbk,gb2312,gb18030,utf-8,latin1
#同时指定本身的远程登陆时字体编码为UTF-8

#默认安装完成没有msgfmt这个命令
apt-get install gettext

1)把/usr/share/locale/zh_CN/LC_MESSAGES/ossim.po下载到本地；
2)另存为GB2312格式；
3)用word将繁体中文改成简体；
4)修改第17行的编码，从UTF-8改为GB2312；
5)将修改后的文件上传到服务器覆盖原有的文件；
6)按照网上的方式运行msgfmt ossim.po -o ossim.mo
7)修改apache配置文件：/etc/apache2/conf.d/charset，在最后增长“AddDefaultCharset gb2312”；
8)重启apache：/etc/init.d/apache2 restart，一切OK。

===========================================