如果要做ISO27001安全体系的建议先装此系统可减少大量文档工作
一、说明 1.1 相关概念说明 SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为。
SIM,security information management,安全信息管理,指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。
SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的结合体。
SOC,security operations center,安全运营中心。
TI,Threat Intelligence,威胁情报。SOC偏重内部网络态势感知,而TI偏重于外部网络态势感知比如新出了什么漏洞、病毒、安全事件等等。
SA,situational awareness,态势感知。
SRC,Security Response Center,安全响应中心。狭义上只是一个提交产品漏洞的入口,但广义上包含各种安全系统及系统维护人员。
他们的关系是:SRC > SA >= SOC [ TI ] >= SIEM = SEM SIM。
一款典型的SIEM产品具有以下功能:资产发现、漏洞扫描、入侵检测、日志存储分析和可视化展示。
1.2 OSSIM是什么 OSSIM是SIEM的代表性产品,在产品形式上和Kali类似是一个基于Debain进行二次开发的Linux发行版,当前5.6.5版本基于Dibian 8(jessie)。
OSSIM使用Nmap等实现资产发现、使用Nessus等实现漏洞扫描、使用Snort等实现入侵检测、使用MySQL等进行数据存储,自己实现的部分主要是工具、数据整合和可视化展示。
二、OSSIM安装 2.1 下载 ISO文件下载地址:https://www.alienvault.com/products/ossim/download
正常系统安装就行了,完成后登陆自己设置的主机IP地址就行了 以下是web页面介绍
Web登录使用 在登录界面和AlienVault Setup界面都可以看到有提示ossim的url,直接在浏览器访问该链接即可。
然后会自动跳转登录界面,使用admin和上边设定的密码进入即可 未完待续。。。。。。。。。。。。。