OSSIM

För GIS -projektet, se Open Source Geospatial Foundation .
OSSIM
Originalförfattare Dominique Karg, Julio Casal, Ignacio Cabrera och Alberto Román
Utvecklare AT&T Cybersäkerhet
Stabil frisättning
5.8.11 / 10 maj 2022
Operativ system Linux
Typ Säkerhet / SIEM
Licens GNU General Public License
Hemsida cybersecurity.att.com

OSSIM (Open Source Security Information Management) är ett system för säkerhetsinformation och händelsehantering med öppen källkod, som integrerar ett urval av verktyg som är utformade för att hjälpa nätverksadministratörer med datorsäkerhet , intrångsdetektering och förebyggande .

Projektet startade 2003 som ett samarbete mellan Dominique Karg, Julio Casal och senare Alberto Román. 2008 blev det grunden för deras företag AlienVault . Efter förvärvet av Eureka- projektmärket och slutförandet av FoU började AlienVault sälja ett kommersiellt derivat av OSSIM ('AlienVault Unified Security Management'). AlienVault förvärvades av AT&T Communications och bytte namn till AT&T Cybersecurity 2019.

OSSIM har haft fyra större versioner sedan det skapades och är på en 5.xx versionsnumrering. En informationsvisualisering av bidragen till källkoden för OSSIM publicerades vid 8 år av OSSIM . Projektet har cirka 7,4 miljoner rader kod. Den nuvarande versionen av OSSIM är 5.7.5 och släpptes den 16 september 2019. Information om denna utgåva och tidigare versioner finns här

Som ett SIEM -system är OSSIM tänkt att ge säkerhetsanalytiker och administratörer en mer komplett bild av alla säkerhetsrelaterade aspekter av deras system, genom att kombinera logghantering som kan utökas med plugins och tillgångshantering och upptäckt med information från dedikerad informationssäkerhet kontroller och detektionssystem. Denna information korreleras sedan tillsammans för att skapa sammanhang till informationen som inte är synlig från en enda del. Larm- och tillgänglighetsvyer tillsammans med rapporteringsmöjligheter tillhandahålls för att förbättra verktygets kapacitet och dess användbarhet för säkerhets- och systemingenjörer.

OSSIM utför dessa funktioner med andra välkända säkerhetskomponenter för öppen källkod, som förenar dem under ett enda webbläsarbaserat användargränssnitt. Gränssnittet tillhandahåller grafiska analysverktyg för information som samlats in från den underliggande mjukvarukomponenten med öppen källkod (varav många är kommandoradsverktyg som annars bara loggar till en vanlig textfil) och tillåter centraliserad hantering av konfigurationsalternativ.

Mjukvaran distribueras fritt under GNU General Public License . Till skillnad från de individuella komponenterna som kan installeras på ett befintligt system, distribueras OSSIM som en installerbar ISO-avbildning utformad för att distribueras till en fysisk eller virtuell värd som kärnoperativsystemet för värden. OSSIM är byggt med Debian som sitt underliggande operativsystem. På grund av att denna kärnplattform är öppen kan ytterligare komponenter läggas till och utökas av säkerhetsadministratörerna med standardpaket och skript efter behov.

Komponenter

OSSIM har följande programvarukomponenter:

  • PRADS, används för att identifiera värdar och tjänster genom att passivt övervaka nätverkstrafik. Tillagd i version 4.0.
  • Snort , används som ett intrångsdetekteringssystem (IDS), och används även för korskorrelation med OpenVAS.
  • Suricata , används som ett intrångsdetekteringssystem (IDS), från och med version 4.2 är detta IDS som används i standardkonfigurationen
  • Tcptrack, används för sessionsdatainformation som kan ge användbar information för attackkorrelation.
  • Munin , för trafikanalys och serviceövervakning.
  • NFSen/NFDump, används för att samla in och analysera NetFlow- information.
  • FProbe, används för att generera NetFlow- data från fångad trafik.
  • Nagios , används för att övervaka värdar och specificerade portar för tillgångstillgänglighet samt fullständig lokal systemövervakning.
  • OpenVas , används för sårbarhetsbedömning och kopplas till tillgångar.
  • OSSIM inkluderar även egenutvecklade verktyg, det viktigaste är en generisk korrelationsmotor med stöd för logiska direktiv och loggintegration med plugins.

Obs: Suricata och Snort kan inte användas samtidigt. Snort fasas just nu ut till förmån för Suricata.

Utfasade komponenter

  • Arpwatch , används för upptäckt av MAC-adressavvikelser , ersatt av PRADS.
  • P0f , används för passiv OS- detektion och OS-ändringsanalys, ersatt av PRADS.
  • PADS, används för detektering av tjänstavvikelser, ersatt av PRADS.
  • Ntop , för att registrera trafikmönster mellan värdar och värdgrupper, och statistik om protokollanvändning, utfasad.

Öppna Threat Exchange

AlienVault upprätthåller en crowd-sourced tjänst för IP-rykteinformation , genererad av (och tillgänglig för alla) med en aktiv OSSIM-installation. OTX använder tokeniserad information från deltagande OSSIM-installationer för att identifiera Internetadresser som är involverade i skadliga aktiviteter och dela den informationen till samma OSSIM-installationer. Den lanserades 2012

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=OSSIM&oldid=1112465877 "