Linux 安裝配置 OSSIM-HIDS
OSSIM安裝使用教程
OSSIM官方ISO檔案下載下傳位址
OSSEC官網下載下傳位址
Linux 下配置 OSSIM-HIDS
推薦拜讀李晨光老師的 OSSIM 博文
相關概念說明
SEM,security event management,安全事件管理,指對事件進行實時監控,收集資訊差展生通知和告警的行為。
SIM,security information management,安全資訊管理,指對SEM收集和産生的資料進行長期儲存以供曆史和趨勢分析的行為。
SIEM,security information and event management,安全資訊和事件管理,即SEM和SIM的結合體。
SOC,security operations center,安全營運中心。
TI,Threat Intelligence,威脅情報。SOC偏重内部網絡态勢感覺,而TI偏重于外部網絡态勢感覺比如新出了什麼漏洞、病毒、安全事件等等。
SA,situational awareness,态勢感覺。
SRC,Security Response Center,安全響應中心。狹義上隻是一個送出産品漏洞的入口,但廣義上包含各種安全系統及系統維護人員。
wget https://updates.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/atomic-release-1.0-21.el7.art.noarch.rpm
wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz
rpm -ivh atomic.rpm
tar -xvf ossec-hids-3.6.0.tar.gz
cd ossec-hids-3.6.0
yum install -y gcc gcc-c++ pcre2-devel libevent-devel zlib-devel openssl-devel
./install.sh
agent
OSSIM 源IP位址
touch /var/ossec/queue/rids/sender
echo "/var/ossec/bin/ossec-control start" >> /etc/rc.local
# agent 端配置 Key
/var/ossec/bin/manage_agents
# 重新開機用戶端 ossec 服務
/var/ossec/bin/ossec-control restart
#-lc 表示顯示已經成功連接配接服務端的用戶端清單
/var/ossec/bin/agent_control -lc
代理控制參數選項:
-h 顯示幫助消息
-l 列出所有可能的代理
-lc 列出活動的代理
-i <agent_id> 擷取代理的相關資訊 agent_id
-r 運作代理中的integrity/rootcheck檢查,要和-u或-a 一起使用。
-a 對所有代理起做用
-u <agent_id> <agent_id>預先指定代理ID号
# 檢視 ossec 日志
tail -40f /var/ossec/logs/ossec.log
# 擷取特定代理的資訊:
/var/ossec/bin/agent_control -i 3 ![OSSEC Agent和Server無法連接配接的常用檢查流程[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)