不多說,直接上乾貨!

  入門階段不建議選用最新的版本。
  採用OSSIM 4.11 到 OSSIM5.0.3 之間任何版本做實驗,sensor的狀態都會是“V”。

   建議,入門,採用OSSIM5.0.0  

  下載:

連結:https://pan.baidu.com/s/1eSsVXvG       密碼:ukyk

   疑問:那我現在入門若安裝OSSIM5.0.0的話,想要使用高階版本了,怎麼辦?

  答:很簡單,升級就是。

      更多版本的下載,見

OSSIM是什麼?

  OSSIM即開源安全資訊管理系統(Open Source Security Information Management),是目前一個非常流行和完整的開源安全架構體系。

  OSSIM通過將開源產品進行整合,從而提供一個能夠實現安全監控功能的、集中式、有組織的基礎框架平臺。

  Ossim5.0在4月20號由Alienvault公司對外發布,它從2003年誕生到現在,經歷了十多年的不斷錘鍊,目前已經是一款成熟的開源SIEM產品

  OSSIM即開源安全資訊管理系統(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一個非常流行和完整的開源安全架構體系。OSSIM通過將開源產品進行整合,從而提供一種能夠實現安全監控功能的基礎平臺。 它的目的是提供一種集中式、有組織的,能夠更好地進行監測和顯示的框架式系統。

  OSSIM明確定位為一個整合解決方案,其目標並不是要開發一個新的功能,而是利用豐富的、強大的各種程式(包括Snort、Rrd、Nmap、 Nessus以及Ntop等開源系統安全軟體)。在一個保留他們原有功能和作用的開放式架構體系環境下,將他們整合起來。而OSSIM專案的核心工作在於 負責整合和關聯各種產品提供的資訊,同時進行相關功能的整合。由於開源專案的優點,這些工具已經是久經考驗,同時也經過全方位測試、可靠的工具。 

OSSIM5.2.0的下載

  安裝以VMware虛擬機器安裝為例,大家可以自己選擇,當然您有條件可以選擇物理計算機而不是虛擬機器,畢竟效能要好一點。

  通過官方連結,可以下載最新的OSSIM版本:http://downloads.alienvault.com/c/download?version=current_ossim_iso

  如果想下載早期的OSSIM版本,請戳這裡:http://downloads.us.alienvault.com/c/download

  若大家,有人用OSSIM4.1、或者OSSIM4.3或者OSSIM4.6,則請移步,見

http://chenguang.blog.51cto.com/350944/1670753/
.

VMware虛機配置

  我的VMware Workstation的版本是12.0。

  為OSSIM環境建立虛機時,將安裝光碟映象檔案的路徑設定為下載好的映象檔案即可。

  虛機的記憶體預設是256M,不過建議儘量分配大點(我給虛機分配了2G記憶體),以免後續OSSIM執行吃力。

  然後,就可以建立虛機了。

  其實,若你的是企業需要的話,則安裝OSSIM和普通Linux發行版沒有什麼區別,即可選擇品牌伺服器也支援虛擬化伺服器,不過配置要注意。硬體選擇方面我們部署OSSIM需要獨立的一臺高效能伺服器(記憶體呢至少8G以上且配備了多處理器,硬碟空間不低於500GB,實驗階段也可適當降低要求),如果讀者在臺式機或筆記本上做實驗,那麼建議配上不小於8G記憶體和一塊128GB的固態硬碟式比較好的(對於Ossim4.1而言)。然後在機器上掛一塊大容量的USB3.0介面的行動硬碟即可。

   同時,本部落格,只是立足於在VMare虛擬機器裡的單節點安裝,若大家想要去進行分散式的OSSIM安裝,則先另尋資料或者繼續關注本博主的後續博文。

  在對OSSIM進行分散式部署時,需要安裝多個OSSIM系統只不過角色不同,有的是Server有的是Sensor有的是Agent。安裝實現起來也不太難。

OSSIM 5.2.0的安裝和配置

 總的步驟如下:

  選擇語言、配置鍵盤;

  探測並掛載光碟;

  裝載debconf預配置檔案;

  從光碟載入按安裝程式元件;

  探測網絡卡(包括有線和無線網絡卡);

  配置網路,這裡只能選配置靜態IP地址,設定閘道器和DNS地址;

  配置主機名、域名資訊,設定root密碼;

  同步時鐘設定,選擇時區;

  探測磁碟、磁碟分割槽(建議使用Debian系統自帶的自動分割槽設定為LVM方式,儘量不要手動分割槽);

  格式化分割槽(ext3格式),安裝基本系統,配置軟體包管理器;

  將當前網絡卡設定為混雜模式;

  設定監控網段(支援CIDR格式);

  配置Postfix郵件系統(設定SMTP等,以後系統傳送報警郵件會用到。);

  安裝GRUB到硬碟;

  選擇檢測外掛 (如果實在物理伺服器上安裝,到這一步就會光碟機,下面開始系統自動設定工作);

  儲存日誌、結束安裝程序;

  以上十幾個步驟看似和其它Linux的安全沒有什麼區別,為了正常應用OSSIM系統,有些問題需要單獨說明,在伺服器先不要急於給磁碟做RAID,而且在分割槽是使用系統的自動分割槽,也不要手動分割槽。

 

 

 

 

 

 

 

 

   對於這裡的記憶體,推薦至少8G或者更大。不然也許可能會起不起來。

 

 

   或者

 

 

 

 

   或者

 

 

 

   在“Install OSSIM”介面,點選“Install AlientVault OSSIM 5.2.0 (64 Bit)”(此為混合安裝模式); 也就是單節點的OSSIM叢集安裝。

  如果我們是要搭建如3節點的OSSIM分散式叢集,比如192.168.80.31作為ossim-server,192.168.80.32和192.168.80.33作為ossim-sensor。則這一步怎麼來選擇呢?

  即   192.168.80.31作為ossim-server選擇的是Install AlienVault OSSIM 5.2.0(64 Bit)

    192.168.80.32和192.168.80.33作為ossim-sensor選擇的是Install AlienVault  Sensor 5.2.0(64 Bit)

 

   這裡,若大家英文不太好,也可以選擇中文。

 

  或者

  在“Select a language”介面,選擇“Chinese (Simplified)”,點選Continue;

       但是,說真心話,真不建議大家用中文的。直接用英文最好!!!

     如果大家在使用的過程中, 

   點選,是

   在“選擇你的區域”介面,選擇“中國”,點選繼續;

 

  或者

 

  在“配置鍵盤”介面,選擇“美國英語”,點選繼續;

  或者

   或者

  在“配置網路”介面

  因為,我一般習慣在VMare虛擬機器裡,若是NAT模式的話,則ip地址是192.168.80.X

  輸入IP地址:192.168.80.188,點選繼續;

 

   需要輸入IP地址,就是您分配給OSSIM的管理地址,也是將來用瀏覽器訪問的地址。規劃好,儘量以後別隨便修改,否則配置麻煩。

 或者

   輸入網路掩碼:255.255.255.0,點選繼續;

   或者

  輸入閘道器:192.168.80.2,點選繼續;

   這裡,是必須輸入閘道器地址,否則OSSIM升級的時候出問題。

 或者

  輸入域名伺服器地址可以選擇自己的閘道器,如我的192.168.80.2。也可以:114.114.114.114,點選繼續;

 

   這裡,是必須設定OSSIM的DNS,否則升級也是有問題的。

 或者

 

   在“設定使用者和密碼”介面,輸入Root使用者的密碼,點選繼續;

  或者

  對於這裡,大家會有一個疑問,也許你在網上看到關於OOSIM其他版本的安裝,比如http://chenguang.blog.51cto.com/350944/1670753/裡的OSSIM 4.1的安裝,說要進行分割槽。其實現在的版本,已經是預設自動分割槽安裝好了。同時,也建議大家直接預設分割槽就好。

  如果你是一位高階使用者者,強烈要自定義分割槽安裝,則見

http://chenguang.blog.51cto.com/350944/1723159/裡的附件下載。

 

 

    原來,這裡面也有hbase。

   然後,就可以去喝杯咖啡,坐等安裝結束。

    以下是ossim5.0.0的安裝

 

  回車,因為我這裡僅僅是OSSIM5.2.0或者OSSIM5.0.0的單節點搭建。

   如果我們是要搭建如3節點的OSSIM分散式叢集,比如192.168.80.31作為ossim-server,192.168.80.32和192.168.80.33作為ossim-sensor。則這一步就還需要選擇

  回車

 

  回車,保持預設網絡卡eth0既可

  回車

  回車

  回車

  回車,迴圈,這裡不多贅述。

    其實說白了,這裡就是在最後安裝完成之前,還允許使用者對其之前安裝的設定進行再次修改,從0到7。

  這裡大家根據自己的需求進行修改,我這裡都是保持預設。因為後續安裝成功後,還可以進行手動修改。也建議大家保持預設安裝。

 

    喝杯咖啡,等會兒,成功!

 

OSSIM通過Web介面進行配置

  安裝完成之後,就可以通過Web介面進行訪問了:https://192.168.80.188

  建議大家用谷歌瀏覽器或者火狐瀏覽器。

  第一次訪問,需要在“Administrator Account Creation”介面輸入FULL NAME、PASSWORD、EMAIL等項,點選“START USING ALIENVAULT”;

 

 

    由密碼為admin改為adminadmin

 

 

 

 

 

 

參考

  http://chenguang.blog.51cto.com/350944/16367419(推薦)

歡迎大家,加入我的微信公眾號:大資料躺過的坑     免費給分享

同時,大家可以關注我的個人部落格

   http://www.cnblogs.com/zlslch/   和     http://www.cnblogs.com/lchzls/ 

   詳情請見:http://www.cnblogs.com/zlslch/p/7473861.html

  人生苦短,我願分享。本公眾號將秉持活到老學到老學習無休止的交流分享開源精神,匯聚於網際網路和個人學習工作的精華乾貨知識,一切來於網際網路,反饋回網際網路。
  目前研究領域:大資料、機器學習、深度學習、人工智慧、資料探勘、資料分析。 語言涉及:Java、Scala、Python、Shell、Linux等 。同時還涉及平常所使用的手機、電腦和網際網路上的使用技巧、問題和實用軟體。 只要你一直關注和呆在群裡,每天必須有收穫

       以及對應本平臺的QQ群:161156071(大資料躺過的坑)