OSSIM - OSSIM
Веб-платформа OSSIM | |
Оригинальный автор (ы) | Доминик Карг, Хулио Касаль, Игнасио Кабрера и Альберто Роман |
---|---|
Разработчики) | Кибербезопасность AT&T |
Стабильный выпуск | 5.7.5 / 16 сентября 2019 г. |
Операционная система | Linux |
Тип | Безопасность / SIEM |
Лицензия | Стандартная общественная лицензия GNU |
Интернет сайт | alienvault.com |
OSSIM (Управление информацией о безопасности с открытым исходным кодом) это открытый исходный код информация о безопасности и управление событиями система, объединяющая набор инструментов, предназначенных для помощи сетевые администраторы в компьютерная безопасность, обнаружения вторжений и профилактика.
Проект начался в 2003 году в результате сотрудничества Доминика Карга,[1] Хулио Касаль [2] а позже Альберто Роман.[3] В 2008 году он стал основой их компании. AlienVault.[4] После приобретения Эврика этикетка проекта и завершение НИОКР, AlienVault начала продавать коммерческую производную от OSSIM («Унифицированное управление безопасностью AlienVault»). AlienVault был приобретен AT&T Communications и переименована в AT&T Cybersecurity в 2019 году.[5]
У OSSIM было четыре основных версии[6] с момента создания и имеет нумерацию версии 5.x.x.[7] An Визуализация информации вкладов в исходный код OSSIM был опубликован на 8 лет OSSIM. В проекте примерно 7,4 миллиона строк кода.[8] Текущая версия OSSIM - 5.7.5, выпущенная 16 сентября 2019 года. Информацию об этом выпуске и предыдущих версиях можно найти здесь
Как SIEM Система OSSIM предназначена для предоставления аналитикам и администраторам безопасности более полного представления обо всех связанных с безопасностью аспектах их системы путем объединения управление журналом который можно расширить с помощью плагинов и управление активами и открытие с информацией из специальных средств контроля и систем обнаружения информации. Затем эта информация сопоставляется друг с другом, чтобы создать контекст для информации, не видимой по отдельности. Представления сигналов тревоги и доступности, а также возможности составления отчетов предназначены для расширения возможностей инструмента и его полезности для инженеров по безопасности и системным инженерам.
OSSIM выполняет эти функции, используя другие известные[9] программное обеспечение с открытым исходным кодом компоненты безопасности, объединяющие их в рамках единого пользовательского интерфейса на основе браузера. Интерфейс предоставляет инструменты графического анализа информации, собранной из базового программного компонента с открытым исходным кодом (многие из которых являются инструментами только из командной строки, которые в противном случае регистрируются только в текстовом файле), и позволяет централизованное управление параметрами конфигурации.
Программное обеспечение распространяется бесплатно под Стандартная общественная лицензия GNU. В отличие от отдельных компонентов, которые могут быть установлены в существующей системе, OSSIM распространяется как устанавливаемый ISO образ предназначен для развертывания на физическом или виртуальном хосте в качестве базовой операционной системы хоста. OSSIM построен с использованием Debian GNU / Linux распространение в качестве базовой операционной системы. В связи с тем, что эта основная платформа открыта, администраторы безопасности могут добавлять и расширять возможности дополнительных компонентов, используя стандартные пакеты и сценарии по мере необходимости.
Составные части
OSSIM включает следующие программные компоненты:
- PRADS, используется для идентификации узлов и служб путем пассивного мониторинга сетевого трафика. Добавлено в версии v4.0.[10]
- Фырканье, используется как Система обнаружения вторжений (IDS), а также используется для взаимной корреляции с OpenVAS.
- Суриката, используется как Система обнаружения вторжений (IDS), начиная с версии 4.2 это IDS, используемый в конфигурации по умолчанию.
- Tcptrack, используемый для информации о данных сеанса, которая может предоставить полезную информацию для корреляции атак.
- Мунин, для анализа трафика и наблюдения за услугами.
- NFSen / NFDump, используемый для сбора и анализа Поток данных, передающихся по сети Информация.
- FProbe, используется для генерации Поток данных, передающихся по сети данные из захваченного трафика.
- Nagios, используется для мониторинга хостов и указанных портов на предмет доступности ресурсов, а также для полного мониторинга локальной системы. [11]
- OpenVas, используется для оценки уязвимости и ассоциируется с активами.
- OSSIM также включает в себя инструменты собственной разработки, наиболее важным из которых является общий механизм корреляции с поддержкой логических директив и интеграцией журналов с плагинами.
Примечание: Suricata и Snort нельзя использовать одновременно. Snort в настоящее время заменяется Suricata.[12]
Устаревшие компоненты
- Arpwatch, используется для MAC-адрес обнаружение аномалий, заменено на PRADS.
- P0f, используется для пассивного Операционные системы обнаружение и анализ изменений ОС заменены на PRADS.
- PADS, используемый для обнаружения аномалий службы, заменен на PRADS.
- Ntop, для записи шаблонов трафика между хостами и группами хостов, а также статистики использования протокола, не рекомендуется.[13]
Открытый обмен угроз
AlienVault поддерживает краудсорсинг услуга для Репутация IP информация, генерируемая (и доступная для всех) при активной установке OSSIM. OTX использует токенизированный информация от участвующих установок OSSIM для идентификации интернет-адресов, вовлеченных в злонамеренные действия, и передачи этой информации тем же установкам OSSIM. Запущен в 2012 году.[14]
внешняя ссылка
Рекомендации
- ^ http://sourceforge.net/users/dkarg
- ^ http://sourceforge.net/users/jcasal
- ^ http://sourceforge.net/users/alberto_r
- ^ https://www.alienvault.com/blogs/industry-insights/of-dragons-elephants-aliens-a-decade-of-ossim
- ^ https://www.alienvault.com/blogs/security-essentials/att-cybersecurity-is-born
- ^ http://sourceforge.net/projects/os-sim/files/deprecated__check_readme/
- ^ http://forums.alienvault.com/discussion/1340/patch-release-v4-2-3
- ^ https://www.ohloh.net/p/alienvault-ossim/analyses/latest/languages_summary
- ^ http://www.sectools.org
- ^ AlienVault, «Сводка по усовершенствованию AlienVault OSSIM v4.0», Сводка по усовершенствованию AlienVault OSSIM v4.0, Июль 2012 г.
- ^ Дэвид Джозефсен (27 марта 2013 г.). Nagios: создание инфраструктур мониторинга корпоративного уровня для систем и сетей. Прентис Холл. ISBN 978-0-13-313568-8.
- ^ AlienVault, «Выпуск патча AlienVault v5.0.3», Выпуск патча AlienVault v5.0.3, 2 июня 2015 г.
- ^ AlienVault, «Выпуск патча AlienVault v5.0.3», Выпуск патча AlienVault v5.0.3, 2 июня 2015 г.
- ^ http://www.alienvault.com/alienvault-labs/open-threat-exchange