0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: ossec, ossim, alienvault, siem, hids, nids, suricata, wids, kismet, nagios, p0f, pads, fprobe, arpwatch, openvas, otx, open source security information management, esx 6.0</p>
1
<p>Теги: ossec, ossim, alienvault, siem, hids, nids, suricata, wids, kismet, nagios, p0f, pads, fprobe, arpwatch, openvas, otx, open source security information management, esx 6.0</p>
2
<p>OSSIM - комплексная система безопасности. Приятно, что Open Source. Есть и платная версия (всем, кому интересно,<a>сюда</a>). И, конечно, такой инструмент очень любит ресурсы. Ниже приведена рабочая конфигурация.</p>
2
<p>OSSIM - комплексная система безопасности. Приятно, что Open Source. Есть и платная версия (всем, кому интересно,<a>сюда</a>). И, конечно, такой инструмент очень любит ресурсы. Ниже приведена рабочая конфигурация.</p>
3
<p><strong>Выделенные мощности:</strong>• Количество vSocket - 6 • Количество ядер на vSocket - 6 • RAM - 16 GB • Объём жёсткого диска - 160 GB • Количество сетевых интерфейсов - 3: - eth0 - Local - eth1 - span (Promiscuous mode) - eth2 - span (Promiscuous mode)</p>
3
<p><strong>Выделенные мощности:</strong>• Количество vSocket - 6 • Количество ядер на vSocket - 6 • RAM - 16 GB • Объём жёсткого диска - 160 GB • Количество сетевых интерфейсов - 3: - eth0 - Local - eth1 - span (Promiscuous mode) - eth2 - span (Promiscuous mode)</p>
4
<p><strong>Установленная ОС</strong>- Debian 8.10 базовый образ, поставляется с системой.</p>
4
<p><strong>Установленная ОС</strong>- Debian 8.10 базовый образ, поставляется с системой.</p>
5
<p><strong>Настройки сетевых интерфейсов:</strong>• eth0 (local) - 192.168.123.12 Management • eth1(SPAN) - Network Monitoring • eth2(SPAN) - 192.168.123.123 Log Collection & Scanning</p>
5
<p><strong>Настройки сетевых интерфейсов:</strong>• eth0 (local) - 192.168.123.12 Management • eth1(SPAN) - Network Monitoring • eth2(SPAN) - 192.168.123.123 Log Collection & Scanning</p>
6
<p><strong>Используется</strong>базовый образ<a>AlienVault OSSIM</a></p>
6
<p><strong>Используется</strong>базовый образ<a>AlienVault OSSIM</a></p>
7
<p><strong>OSSIM "из коробки" включает в себя функционал:</strong>• Сбор, анализ и корреляция событий - SIEM • Хостовая система обнаружения вторжений (HIDS) - OSSEC • Сетевая система обнаружения вторжений (NIDS) - Suricata • Беспроводная система обнаружения вторжений (WIDS) - Kismet • Мониторинг узлов сети - Nagios • Анализ сетевых аномалий - P0f, PADS, FProbe, Arpwatch и др. • Сканер уязвимостей - OpenVAS • Система обмена информацией об угрозах между пользователями OSSIM - OTX</p>
7
<p><strong>OSSIM "из коробки" включает в себя функционал:</strong>• Сбор, анализ и корреляция событий - SIEM • Хостовая система обнаружения вторжений (HIDS) - OSSEC • Сетевая система обнаружения вторжений (NIDS) - Suricata • Беспроводная система обнаружения вторжений (WIDS) - Kismet • Мониторинг узлов сети - Nagios • Анализ сетевых аномалий - P0f, PADS, FProbe, Arpwatch и др. • Сканер уязвимостей - OpenVAS • Система обмена информацией об угрозах между пользователями OSSIM - OTX</p>
8
<h2>Описание сервиса</h2>
8
<h2>Описание сервиса</h2>
9
<p>AlienVault - OSSIM (Open Source Security Information Management) - система управления, контроля и обеспечения информационной безопасности. Настраивается из коробки, собственно качаем образ разворачиваем.</p>
9
<p>AlienVault - OSSIM (Open Source Security Information Management) - система управления, контроля и обеспечения информационной безопасности. Настраивается из коробки, собственно качаем образ разворачиваем.</p>
10
<p>Есть несколько нюансов. Сервис должен иметь несколько интерфейсов. В моём случае 3 - 2 из них работают в неразборчивом режиме (если кратко, то это когда плата принимает весь трафик независимо от того, кому он принадлежит, подробней<a>тут</a>).</p>
10
<p>Есть несколько нюансов. Сервис должен иметь несколько интерфейсов. В моём случае 3 - 2 из них работают в неразборчивом режиме (если кратко, то это когда плата принимает весь трафик независимо от того, кому он принадлежит, подробней<a>тут</a>).</p>
11
<p>Я настраивал на<strong>esx 6.0</strong>, в сети есть несколько устаревших инструкций, но проблем не составит настроить по ним. Можно установить клиента для мониторинга<strong>ossec</strong>. Тоже Open Source, имеет свой собственный сервер, вообще можно отдельно про него написать как-нибудь (если интересно, напишите в комментариях). Поинтересоваться можно<a>тут</a>.</p>
11
<p>Я настраивал на<strong>esx 6.0</strong>, в сети есть несколько устаревших инструкций, но проблем не составит настроить по ним. Можно установить клиента для мониторинга<strong>ossec</strong>. Тоже Open Source, имеет свой собственный сервер, вообще можно отдельно про него написать как-нибудь (если интересно, напишите в комментариях). Поинтересоваться можно<a>тут</a>.</p>
12
<h2>Управляется всё это через веб-интерфейс с большим количеством настроек</h2>
12
<h2>Управляется всё это через веб-интерфейс с большим количеством настроек</h2>
13
<p><strong>1 - Переходим по ссылке https://адрес_сервера/</strong><strong>2 - Вводим логин и пароль:</strong></p>
13
<p><strong>1 - Переходим по ссылке https://адрес_сервера/</strong><strong>2 - Вводим логин и пароль:</strong></p>
14
<p><strong>3 - Попадаем в панель мониторинга Dashboard:</strong></p>
14
<p><strong>3 - Попадаем в панель мониторинга Dashboard:</strong></p>
15
<p>Для удобства выведена обобщённая информация о событиях:</p>
15
<p>Для удобства выведена обобщённая информация о событиях:</p>
16
<p>Есть возможность просмотреть информацию по разным типам событий:</p>
16
<p>Есть возможность просмотреть информацию по разным типам событий:</p>
17
<p>Executive - информация о событиях, их количестве, топ хостов генерирующих события:</p>
17
<p>Executive - информация о событиях, их количестве, топ хостов генерирующих события:</p>
18
<p>Tickets - система не только логирует события но и вешает тикеты, которые предполагают какую-то реакцию:</p>
18
<p>Tickets - система не только логирует события но и вешает тикеты, которые предполагают какую-то реакцию:</p>
19
<p>Security - описывает топ событий безопасности, некорректный ввод пароля, неправильный логин и похожие события:</p>
19
<p>Security - описывает топ событий безопасности, некорректный ввод пароля, неправильный логин и похожие события:</p>
20
<p>Taxonomy - вирусная активность:</p>
20
<p>Taxonomy - вирусная активность:</p>
21
<p>Vulnerabilities - Уязвимости, выявленные сканером как реалтайм, так и шедулером:</p>
21
<p>Vulnerabilities - Уязвимости, выявленные сканером как реалтайм, так и шедулером:</p>
22
<p><strong>4 - Cистема анализа трафика Analysis:</strong></p>
22
<p><strong>4 - Cистема анализа трафика Analysis:</strong></p>
23
<p>Вкладка Alarms:</p>
23
<p>Вкладка Alarms:</p>
24
<p>Обновляется каждые 5 минут. Показывает атаки, уязвимости, внедрения и т.п. события. События берёт с интерфейсов eth0 eth1 eth2, клиентов<strong>ossec</strong>и логов при условии, что плагин будет понимать событие.</p>
24
<p>Обновляется каждые 5 минут. Показывает атаки, уязвимости, внедрения и т.п. события. События берёт с интерфейсов eth0 eth1 eth2, клиентов<strong>ossec</strong>и логов при условии, что плагин будет понимать событие.</p>
25
<p>Вкладка SECURITY EVENTS (SIEM) - фильтр событий безопасности. Также здесь можно найти интересующее событие и допуски события уровню безопасности.</p>
25
<p>Вкладка SECURITY EVENTS (SIEM) - фильтр событий безопасности. Также здесь можно найти интересующее событие и допуски события уровню безопасности.</p>
26
<p><strong>5 - Вкладка Environment:</strong></p>
26
<p><strong>5 - Вкладка Environment:</strong></p>
27
<p>ASSETS & GROUPS - устройства и группы устройств VULNERABILITIES - информация о уязвимостях NETFLOW - типы трафика и их объём TRAFFIC CAPTURE - захват трафика DETECTION - информация об установленных клиентах<strong>ossec</strong>их статус и возможность добавить, перезагрузить, проверить некоторые файлы и т.п. действия. Также здесь есть конфигурационные файлы мониторингов, управление службами мониторинга (старт/стоп).</p>
27
<p>ASSETS & GROUPS - устройства и группы устройств VULNERABILITIES - информация о уязвимостях NETFLOW - типы трафика и их объём TRAFFIC CAPTURE - захват трафика DETECTION - информация об установленных клиентах<strong>ossec</strong>их статус и возможность добавить, перезагрузить, проверить некоторые файлы и т.п. действия. Также здесь есть конфигурационные файлы мониторингов, управление службами мониторинга (старт/стоп).</p>
28
<p><strong>6 - Reports</strong>- отчёты в разных форматах.</p>
28
<p><strong>6 - Reports</strong>- отчёты в разных форматах.</p>
29
<p><strong>7 - Configuration:</strong></p>
29
<p><strong>7 - Configuration:</strong></p>
30
<p>Administrations - конфигурирование сервера. DEPLOYMENT - Информация о состоянии сервера, сенсоров. Возможность посмотреть нагрузку на сервер, занятое дисковое пространство.</p>
30
<p>Administrations - конфигурирование сервера. DEPLOYMENT - Информация о состоянии сервера, сенсоров. Возможность посмотреть нагрузку на сервер, занятое дисковое пространство.</p>
31
<h2>Вывод</h2>
31
<h2>Вывод</h2>
32
<p>После нескольких месяцев эксплуатации могу сказать, что продукт крайне полезный. Можно узнать о своей сети много интересного. Пробуйте и задавайте вопросы в комментариях: чем смогу, помогу!</p>
32
<p>После нескольких месяцев эксплуатации могу сказать, что продукт крайне полезный. Можно узнать о своей сети много интересного. Пробуйте и задавайте вопросы в комментариях: чем смогу, помогу!</p>
33
33