大家好,欢迎来到IT知识分享网。
OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。
ossim可以进行资产的统一管理,所以首要的任务是添加资产,分以下几种方式:1.直接添加
2.导入csv
3.从SIME事件中导入
4.扫描导入
最常用的是通过扫描添加资产的方式,下面分别介绍:
1.1、直接添加
位置Environment > Assets & Groups > Add Host
如图,星号为必填项Name:最好统一命名,格式统一即可
ip:需要添加资产的ip地址
sensors:选择所在的区域的sensor即可
其他的保持默认即可
1.2、导入csv
位置Environment > Assets & Groups > Import CSV
如图所示,根据模板制作好csv文件,直接导入即可.
1.3、从SIME事件中导入
位置Environment > Assets & Groups > Import From SIME
之后等待即可,系统会自动添加在SIME中的资产信息到assets中.
1.4、扫描导入
位置Environment > Assets & Groups > Scan For New Assets
这个方法是最常用的,添加扫描之前,先要确定要扫描的网段有哪些,比如我要添加192.168.1.0/24的所有存活的主机
1.4.1、添加网段
首先要在Environment > Assets & Groups >NETWORKS > ADD NETWORK中添加网段信息,如图所示:
NAME:最好统一命名,格式统一即可
CIDR:填入ip段信息
sensors:选择所在的区域的sensor即可
其他默认即可,点击SAVE即可
1.4.2、扫描任务
打开Environment > Assets & Groups > Scan For New Assets
如图,选择要扫描的网段:
这里有扫描类型可以选择以下几种方式
扫描类型:Scan Type:(扫描类型)
Ping 向每个资产发送ping
Fast Scan (默认)扫描最常用的100个端口
Normal 扫描最常用的1000个端口
Full Scan 扫描所有端口,速度会很慢
Custom 允许用户定义要扫描的端口
时间模板:Timing Template
Paranoid 扫描非常缓慢。它序列化所有扫描(无并行扫描),通常等待至少5分钟
Sneaky 与Paranoid模式类似,但它只在包传输之间等待15秒
Polite 减轻网络负载,降低系统故障的几率
Normal (默认)以达到最快扫描吞吐量的速率扫描,而不会使网络过载或缺少主机和端口
Aggressive 添加5分钟。每个主机超时。探头响应间隔不超过1.25 s
Insane 只适合非常快的网络,除非你不介意丢失一些信息,超时主机在75秒,单个探头的等待时间仅为0.3 s
自动检测服务和dns反向解析:Autodetect Services and Operating System:
检测服务和操作系统版本。默认情况下启用。
Enable Reverse DNS Resolution:
确定与发现的IP地址关联的域名,通常仅与响应(在线)主机相关,默认情况下启用.
之后点击开始扫描即可,nmap扫描器即刻开始扫描,过一会就可以看扫描页面下有好多被扫描出来的主机信息,保存信息即可。
1.5、定期自动扫描
因为服务器可能随时有新添加或者关闭等情况的存在,时间长了ossim中的信息会不准确,所以可以采用定期自动扫描的方式来进行:
打开Environment > Assets & Groups > Schedule Scan> Schedule new scan
扫描频率,有以下几种,可根据实际情况自由选择Frequency
小时,天,星期,月
*本文作者:R00to1,转载请注明来自Freebuf.COM
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/14698.html