OSSIM 系統介紹與安裝

ossec 同樣是 opensource 形式的軟體，支援多種作業系統，主要提供主機的完整性檢查、日誌檔監測與惡意程式 (Rootkit) 掃描的功能。如果發現有疑似攻擊的行為發生，ossec 還可以做出回應，例如封鎖攻擊來源的 IP 位址。ossec 採用主從式 (Client-Server) 的架構，主要透過命令列方式加以設定。而事件的判斷結果統一集中在 ossec 伺服器 (Server) 上，同樣必須透過指令的方式加以查看。
作為一個專業的管理人員，當然不能接受這麼不方便的事情。好險，有 ossim 的存在。嚴格來說，  ossim 並不是單是  ossec 的圖型化操作介面，更不是日誌管理系統。ossim 整合了許多 opensource 的資安/管理工具，並以 ISO 檔 (或專屬設備) 的形式發佈，讓管理者可以很快建立起一個完整的 SIEM 系統。ossim 整合的工具包含了

    流量管理: ntop, netflow
    入侵偵測: snort, ossec
    弱點掃描: openvas, nessus
    可用性: nagios3
    變更管理: arpwatch, P0f, Pads
    無線網路管理: kismet

除了工具的整合，  ossim 還可以透過 syslog 的機制，分析來自其他設備或軟體的資訊。而付費版本的 ossim，更提供了日誌加密封存的功能，可作為日後訴訟用的佐證。
甚至可以利用 ossec + ossim 做出一個完整的主機入侵偵測系統 (HIDS)。前面提到 ossec 採用主從式的架構，所以 ossim 就是 ossec 的伺服器 (Server)，而其他我們想要管理的主機就是 ossec 的客戶端 (Client)。

介紹完了 ossim 的強大功能，馬上就開始實際安裝。

1. 至 AlienVault 官網下載最新版 https://www.alienvault.com/products/ossim 目前的版本 v5.1 我是下載 64位元的 iso 檔。
2. 進入安裝畫面，由於是以debian ( linux ) 為基礎所設計的開源軟體，安裝的過程也十分簡單如下：
   Install AlienVault OOSIM 5.1.0 (64 Bit)
   Install AlienVault Sensor 5.1.0 (64 Bit)
   Chinses(Traditional)-中文(繁體)
   地區：臺灣
   鍵盤-美語
   進入安裝
   網路設定
   IP位址：你的 ip
   網路遮罩(NetMask)：略
   閘道(Gateway)：略
   名稱伺服器(Name Server)：略
3. 正式安裝有點久，完成安裝後會自動重開機，然後進入 linux 畫面，如下圖：

由於完成安裝後 ssh 已開啟，故直接用 putty 連線進來設定即可。

如要登入 ossim 管理頁面，直接在網址輸入主機的 ip ，自動會導到 https://主機ip/ossim 首頁，雖然是免費的資安管理工具，但該有的功能一樣少不了，整體的系統介面相當完善，不太需要做複雜的 config 設定，直接使用網頁設定即可。

看不懂英文嗎?沒問題，系統提供語系切換，雖然翻譯的沒有很完整，但至少是繁體中文了。

ossim 功能很強大，但仍需要做詳細的設定，在此就不一一介紹，有興趣的可以下載來試試看。