开发者社区> 技术小胖子> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

OSSIM插件开发实战(配视频)

简介:
+关注继续查看

OSSIM插件开发实战


由于现有安全设备产生日志格式不统一,故无法直接进行关联分析,在Ossim系统中采取了基于插件过滤的方式对异构安防设备的日志进行采集,OSSIM插件开发,是开发人员的必备技能,下面就对它进行详细讲解。

一、插件配置步骤

经过以上描述,大家了解收集日志的流程,接下来就要建立脚本,步骤如下:

1)新建插件文件,通常复制一个现有的脚本文件,并修改其内容,以符合新的应用程序需求。

2)定义一个通用规则,这是最后的规则来评价,它捕获所有的事件,不能根据特定规则进行分组。

3)去除噪声,OSSIM可以排除某些无关事件子类型的事件被视为噪声,说的简单点就是在IDS/IPS等安全设备上产生的海量重复报警就是噪声

4)通过OSSIM代理注册插件,为了将事件发送到的OSSIM服务器,就要将插件激活,插件的路径必须在代理配置文件中指定。

5)通过OSSIM Server注册插件,以让服务器知道事件的优先级和可靠性价值的事件,就必须在Server端也注册插件。

6)在Server端激活插件,重启OSSIM Server进程

#/etc/init.d/ossim-server restart

7)在Agent代理端激活插件,重启OSSIM Agent进程

#/etc/init.d/ossim-agent restart

二、插件导入

假设有一段导出的SQL文件,其中包含有可执行SQL语句。例如将MySQL数据库备份到test.sql文件里,就可以用下面方法进行还原:

#mysql < test.sql

可以在MySQL的提示符下用SOURCE命令来加载 SQL文件。但如果压缩了SQL文件怎么做还原呢?是不是要先解压缩在加载呢?例如:

#gunzip –c test.sql.gz |mysql

OSSIM 在安装后期通过一些SQL语句集中导入插件,导入完毕放置在/usr/share/doc/ossim-mysql/contrib./plugins/目录下,扩展名为sql.gz,如果发现某些插件需重新导入数据库可以先用gunzip命令解压sql.gz文件,再使用“ossim-db<file.sql”方式导入。如果是新插件怎么办?就复制一个功能类似插件,然后修改SQL代码,在导入数据库。或许会思考,如果只还原单独的表(例如表asset)又会怎样?看看如下操作:

#grep ‘INSERT INTO `asset`’ test.sql |mysql test

或者文件是压缩的:

#gunzip –c test.sql.gz |grep ‘INSERT INTO`asset`’|mysql test

注意test 代表实例数据库名称。一旦MySQL加载完数据,gunzip就会自动退出。

根据《开源安全运维平台-OSSIM最佳实践》第七章插件注册讲解的内容,我们修改/etc/ossim/agent/config.cfg[plugins]中加入插件,如图所示。

myexample=/etc/ossim/agent/plugins/myexample.cfg

后打开ossim-setup配置程序选择:ConfigureSensorSelect DataSources,找到myexample插件选中后,保存退出。

wKiom1clSW-SLUAgAAEfmjbZDWw299.jpg

wKioL1clSnuw4JrsAACLyyjrD9Y274.jpg

当看到上面这些信息是说明插件已成功添加,下面要重启服务即可生效。

#/etc/init.d/ossim-server restart   \\重启ossim server

#/etc/init.d/ossim-agent restart    \\重启agent

最后可以到SIEM控制台下查看该插件采集到的日志,为了使大家有更直观的体验特在最新版OSSIM中制作了一刻钟的视频讲解

视频地址:http://edu.51cto.com/index.php?do=lesson&id=99668


 



 本文转自 李晨光 51CTO博客,原文链接:http://blog.51cto.com/chenguang/1769287,如需转载请自行联系原作者



版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
uniapp环境搭建以及基础配置详解
安装编辑器 HbuilderX(HbuilderX 是通用的前端开发工具,但为 uni-app 做了特别强化)。 下载 APP 开发板,可开箱即用。 安装微信开发者工具。
0 0
EFK实战一 - 基础环境搭建
在分布式系统中,由于节点服务会部署多台,一旦出现线上问题需要通过日志分析定位问题就需要登录服务器一台一台进行日志检索,非常不便利,这时候就需要用到EFK日志收集工具。
0 0
Node.js 应用故障排查手册 —— 大纲与常规问题指标简介
JavaScript 发展到今天,早已脱离原本浏览器的战场,借助于 Node.js 的诞生将其触角伸到了服务端、PC 跨平台客户端方案等各个领域,但是与此同时,JS Runtime 对于绝大部分的开发者来说又一如既往的处于黑盒状态——开发者无法感知其运行状态,出现一些性能、内存问题时也没有很好的工具链进行更深入的支持。
1018 0
Jenkins +ThinBackup备份恢复插件(学习笔记三十四)
一、系统管理-管理插件-找到ThinBackup并安装 二、系统管理-找到ThinBackup-点击Setting进行设置 第一个参数备份目录是必选,其它可选,点保存。
1249 0
android开发实践之1:安装部署环境设置
一、安装包 1.andorid studio; 2.Java sdk; 二、操作步骤 1.安装Java SDK; 2.安装android studio; 3.创建Helloword工程并运行;遇到问题:      三、问题及解决方案 3.
636 0
第1章 开发环境安装和配置(一):概述
原文 第1章 开发环境安装和配置(一):概述 目前Android在全世界市场上大约有75%的占有率,国人Android手机的持有比例更甚,甚至达到90%以上【网上找的介绍,不必在意】。 用C#开发手机应用程序,建议首选VS2015,这是因为VS2015内置的是C# 6.0,很多原来实现起来比较繁琐的操作,在VS2015下也都变得非常简单了。
840 0
x3d
译 PrestaShop开发者指南 第三篇 设置本地安装环境
## 环境要求 - Unix, Linux 或 Windows - Web服务器:Apache 1.3 或更高的版本 - PHP:5.2或更高版本 - MySQL:5.0或更高版本 PrestaShop也可以在Microsoft的 IIS Web server 6.0或更高版本,及nginx 1.0或更高版本上运行。
953 0
文章
问答
文章排行榜
最热
最新
相关电子书
更多
K8s监控神器——TSDB for Prometheus的入门与实践
立即下载
ReactNative实战优化之路
立即下载
ReactNative启动性能优化
立即下载