OSSIM開放原始碼版本我們可以自行下載安裝建置。免費的OSSIM由於是由社群所支持維護,包括在關聯式規則、IDS規則方面比不上商業版,在管理功能方面,所有的設備必須各自去管理設定,但商業版則可集中管理。報表方面,商業版提供多種法規報表。
安裝OSSIM
首先我們至 AlienVault 的官方網站下載系統檔案。
下載網址: https://dlcdn.alienvault.com/AlienVault_OSSIM_64bits.iso
安裝配置流程
- 在“Install OSSIM” 界面,選擇“Install AlienVault OSSIM 5.4.0 (64 Bit)”
- 在“Select a language” 界面,選擇“ English - English”,點擊 Continue
- 在“Select your location” 界面,選擇“other” => “Asia” => “Taiwan”,點擊 Continue
- 在“Configure locales” 界面,選擇“United States - en_US.UTF-8”,點擊 Continue
- 在“Configure the keyboard” 界面,選擇“American English”,點擊 Continue
- 在“Configure the nerwork” 界面,
選擇“eth0: Realtek Semiconductor Co., Ltd. RTL-8100/8101L/8139 PCI Fast Ethernet Adapter”,
輸入IP Address: 192.168.10.20 / 24
輸入Gateway: 192.168.10.254 - 在“Set up users and passwords” 界面,輸入root用戶密碼,然後,等待安裝結束
安裝結束後,通過Web界面進行後續配置
- 第一次訪問,需要在“Administrator Account Creation” 界面,輸入FULL NAME、USERNAME、PASSWORD、E-MAIL、COMPANY NAME、LOCATION等資訊後,點擊 START USING ALIENVAULT
- 然後跳轉到登入界面,輸入USERNAME、PASSWORD後,點擊 LOGIN
- 在“Welcome to the AlienVault OSSIM Getting Started Wizard” 界面,點擊 START
- 在“Configure Network Interfaces” 界面,設定網卡用途後,點擊 NEXT
- 在“Scan & Add Assets” 界面,系統會自動探測出區網內的主機 (亦可手動加入或指定欲探測網段),篩選出要進行監控的資產後,點擊 NEXT
- 在“Deploy HIDS to Servers” 界面,選擇需要佈署HIDS Agent的主機,輸入該主機足夠權限的帳號密碼,先後點擊 DEPLOY 和 CONTINUE即可。佈署完成後,點擊 NEXT
- 在“Set up Log Management” 界面,確認相應的網路資產的Vendor、Model、和Version,點擊 ENABLE 即可安裝數據源插件,也可以點擊 SKIP THIS STEP 來略過此步驟
- 在“JOIN OTX” 界面,需要註冊並輸入TOKEN來加入OTX,也可以點擊 SKIP THIS STEP 來略過此步驟,最後點擊 FINISH 來結束配置