态势感知、攻击监控、日志分析等平台调研
- 一. OSSIM开源安全信息管理系统
- 功能展示
- - 主界面
  - 1. DASHBOARDS模块
  - - a. OverView
    - b.Deployment status：资产部署的分类及状态信息
    - c. Risk Maps
    - d. Open Threat Exchang：在地图中显示OTX变化趋势及IP信誉
  - 2. ANALYSIS模块
  - 3. ENVIRONMENT模块
  - - a. Assets & Groups
    - b. Vulnerabilities
    - c. Netf low
    - d. Traffic Capture：抓包分析
    - e. Availability
    - f. Detection
  - REPORTS模块
  - CONFIGURATION模块
- 缺点
- 二. Security Onion
- - 核心组件
  - 功能展示
  - - 警告
    - 捕获
    - 流量分析
    - 仪表盘
    - 分析功能
  - 可使用的数据类型![在这里插入图片描述](https://img-blog.csdnimg.cn/7fa30e6fe76843b4bfe0431e1f1af426.png)
- 三、WatchAD内网安全态势感知系统
- - 信息探测
  - 凭证盗取
  - 横向移动
  - 权限提升
  - 权限维持
  - 防御绕过
  - 项目架构图
- 四、安全狗：免费使用https://www.safedog.cn/index/bigDataSolution.html
- 五、SIEM安全大数据分析平台
- Splunk Free
- OSSEC+
- Wazuh

态势感知、攻击监控、日志分析等平台调研

国内的平台未曾看到免费开源的，但有些可以试用的，例如啸天、百度等，本次调用结果主要为国外平台。

安全日志分析平台有很多，但集成监控功能的开源平台较少

一. OSSIM开源安全信息管理系统

官网：https://cybersecurity.att.com/products/ossim

OSSIM即安全信息管理系统，是目前非常流行、完整、成熟的安全架构体系。OSSIM通过将安全产品进行集成，提供一种安全监控功能的基础平台。OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息，同时进行相关功能的整合，它具有入侵检测，漏洞扫描，资产管理，安全监控，日志分析，流量分析等功能。

OSSIM是开源的SIM，其核心仍然是依靠SIEM，主要优点是通过有关事件、数据、风险等信息，实时了解全网威胁态势。是一个从运维监控→事前预警→事后报警→SIEM日志分析故障的一个快速解决问题的网络系统。

集成主要安全程序：

Snort:入侵检测系统
Rrdtool:系统监控
Nmap:网络扫描和嗅探工具包
Nessus:系统漏洞扫描于分析软件
Ntop:网络流量监控
Nagios：监控系统和网络应用
Pads：被动的网络发现工具
Tcptrack：TCP连接嗅探器
ArpWatch：监听ARP通信

功能展示

主界面

主要模块介绍：

DASHBOARDS：仪表盘，将数据以可视化图表形式展示，更加直观，便于查看管理

ANALYSIS：事件分析，用于筛选查看收集到的数据

ENVIRONMENT：资产清单、漏洞扫描、Ntop流量分析、网络抓包分析、可用性监控等重要功能就在这里

REPORTS：统一报表，生成和查看各种报告的地方

CONFIGURATION：web系统匹置菜单，基础配置、部署管理、策略管理

1. DASHBOARDS模块

在 DASHBOARDS模块中，有 OVERVIEW(概览)、 DEPLOYMENT STATUS(部署状态)、 RISK MAPS(风险图)和 OPEN THREAT EXCHANGE(公开威胁交换)四个菜单。 DASHBOARDS模块从整体上显示网络状况，一旦网络出现安全问题，能及时做出响应。其中， OPEN THREAT EXCHANGE动能需要关联OTX账户之后才可以使用。

a. OverView

Executive：用饼图、柱状图显示TOP5 Alarm、Top10 Event、Logger Event、数据源等信息
Tickets：显示工单系统信息
Security：显示安全事件的Top5 Alarm和Event，以及显示最近安全趋势变化曲线
Taxonomy：在仪表盘上按类别统计受感染主机
Vulnerabilites：显示资产漏洞扫描信息
Compliance：显示资产合规报表信息

b.Deployment status：资产部署的分类及状态信息

c. Risk Maps

OverView：显示资产的风险地图
Manage Maps：地图模板管理

d. Open Threat Exchang：在地图中显示OTX变化趋势及IP信誉

安全事件与日志曲线
传感器收集事件
事件类别

2. ANALYSIS模块

在 ANALYSIS模块中，有ALARMS(警报)、 SECURITY EVENTS(SIEM)(安全事件)、 RAW LOGS（原始日志)和 TICKETS(单据)四个菜单。ANALYSIS模块主要用于分析网络状况，识别网络风险和安全隐患。其中，使用 TICKETS菜单可以查看每台机器的状态。

3. ENVIRONMENT模块

在 ENVIRONMENT模块中，有 ASSETS& GROUPS(资产和组)、 VULNERABILITIES(漏洞)、 NETFLOW(流量)、 TRAFFIC CAPTURE(流量捕获)、 AVAILABILITY(可用)和 DETECTION(检测)六个菜单。

其中， ASSETS& GROUPS菜单可以监控机器列表; VULNERABILITIES菜单用于查看扫描漏洞; NETFLOW菜单用于查看网络状况，包含TCP、UTD、ICMP及其他网络资源; TRAFFIC CAPTURE菜单用于抓取数据包; AVAILABILITY菜单可以通过树型结构显示网络状况; DETECTION菜单包含入侵检测，并对入侵事件进行分类。

a. Assets & Groups

Assets：列出所有资产
Asset groups：将资产分组
Networks：管理监控
Network groups：网络分组
Schedule Scan：目标网络扫描计划

b. Vulnerabilities

Overview：漏洞扫描概况
Scan Jobs
- New Scan Job：新建扫描任务
- Import NBE File：导入NBE文件
Threat Database：漏洞库管理

c. Netf low

Details：显示NetFlow详细信息
OverView：显示概况
Graph：显示流图

d. Traffic Capture：抓包分析

e. Availability

Monitoring：高可用监控
Reporting：高可用监控报告

f. Detection

HIDS
OverView：显示HIDS日志变化趋势与Agent状态
Agents：Agent管理
Agentless：Agentless管理
Edit Rules：编辑规则
Config：配置规则
HIDS Control：HIDS状态管理
Wireless IDS：无线IDS管理

REPORTS模块

REPORTS模块只有一个菜单 OVERVIEW，包含报表的生成和导出，也可以通过邮件发送HTML报告

CONFIGURATION模块

CONFIGURATION模块主要提供配置系统、添加系统管理员、修改密码、设置语言和查看OSSM服务器状态等功能。它有四个菜单: ADMINISTRATION(管理) DEPLOYMENT(部署)、 THREAT INTELCE(威胁智能)和 OPEN THREAT EXCHANGE(公开威胁交换)。

缺点

该款开源基本满足要求，但它不具备大规模日志采集和存储能力，而是一个SEM，更偏重于实时的安全监控，实时风险评估，报警与处理。并且根据官网资料，开源版本不提供日志管理功能，具体为什么日志管理功能，并未查到。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E3wSz8Y4-1661912151768)(C:\Users\mokapeng\AppData\Roaming\Typora\typora-user-images\image-20220827102236453.png)]