相关概念说明
SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为。
SIM,security information management,安全信息管理,指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。
SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的结合体。
SOC,security operations center,安全运营中心。
TI,Threat Intelligence,威胁情报。SOC偏重内部网络态势感知,而TI偏重于外部网络态势感知比如新出了什么漏洞、病毒、安全事件等等。
SA,situational awareness,态势感知。
SRC,Security Response Center,安全响应中心。狭义上只是一个提交产品漏洞的入口,但广义上包含各种安全系统及系统维护人员。
他们的关系是:SRC > SA >= SOC [ + TI ] >= SIEM = SEM+SIM。
一款典型的SIEM产品具有以下功能:资产发现、漏洞扫描、***检测、日志存储分析和可视化展示。
wget https://updates.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/atomic-release-1.0-21.el7.art.noarch.rpm
wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz
rpm -ivh atomic.rpm
tar -xvf ossec-hids-3.6.0.tar.gz
cd ossec-hids-3.6.0
yum install -y gcc gcc-c++ pcre2-devel libevent-devel zlib-devel openssl-devel
./install.sh
agent
OSSIM 源IP地址
touch /var/ossec/queue/rids/sender
echo "/var/ossec/bin/ossec-control start" >> /etc/rc.local
# agent 端配置 Key
/var/ossec/bin/manage_agents
# 重启客户端 ossec 服务
/var/ossec/bin/ossec-control restart
#-lc 表示显示已经成功连接服务端的客户端列表
/var/ossec/bin/agent_control -lc
代理控制参数选项:
-h 显示帮助消息
-l 列出所有可能的代理
-lc 列出活动的代理
-i <agent_id> 获取代理的相关信息 agent_id
-r 运行代理中的integrity/rootcheck检查,要和-u或-a 一起使用。
-a 对所有代理起做用
-u <agent_id> <agent_id>预先指定代理ID号
# 查看 ossec 日志
tail -40f /var/ossec/logs/ossec.log
# 获取特定代理的信息:
/var/ossec/bin/agent_control -i 3