赞
踩
国内的平台未曾看到免费开源的,但有些可以试用的,例如啸天、百度等,本次调用结果主要为国外平台。
安全日志分析平台有很多,但集成监控功能的开源平台较少
官网:https://cybersecurity.att.com/products/ossim
OSSIM即安全信息管理系统,是目前非常流行、完整、成熟的安全架构体系。OSSIM通过将安全产品进行集成,提供一种安全监控功能的基础平台。OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合,它具有入侵检测,漏洞扫描,资产管理,安全监控,日志分析,流量分析等功能。
OSSIM是开源的SIM,其核心仍然是依靠SIEM,主要优点是通过有关事件、数据、风险等信息,实时了解全网威胁态势。是一个从 运维监控→事前预警→事后报警→SIEM日志分析故障 的一个快速解决问题的网络系统。
集成主要安全程序:
主要模块介绍:
DASHBOARDS:仪表盘,将数据以可视化图表形式展示,更加直观,便于查看管理
ANALYSIS:事件分析,用于筛选查看收集到的数据
ENVIRONMENT:资产清单、漏洞扫描、Ntop流量分析、网络抓包分析、可用性监控等重要功能就在这里
REPORTS:统一报表,生成和查看各种报告的地方
CONFIGURATION:web系统匹置菜单,基础配置、部署管理、策略管理
在 DASHBOARDS模块中,有 OVERVIEW(概览)、 DEPLOYMENT STATUS(部署状态)、 RISK MAPS(风险图)和 OPEN THREAT EXCHANGE(公开威胁交换)四个菜单。 DASHBOARDS模块从整体上显示网络状况,一旦网络出现安全问题,能及时做出响应。其中, OPEN THREAT EXCHANGE动能需要关联OTX账户之后才可以使用。
OverView:显示资产的风险地图
Manage Maps:地图模板管理
在 ANALYSIS模块中,有ALARMS(警报)、 SECURITY EVENTS(SIEM)(安全事件)、 RAW LOGS(原始日志)和 TICKETS(单据)四个菜单。ANALYSIS模块主要用于分析网络状况,识别网络风险和安全隐患。其中,使用 TICKETS菜单可以查看每台机器的状态。
在 ENVIRONMENT模块中,有 ASSETS& GROUPS(资产和组)、 VULNERABILITIES(漏洞)、 NETFLOW(流量)、 TRAFFIC CAPTURE(流量捕获)、 AVAILABILITY(可用)和 DETECTION(检测)六个菜单。
其中, ASSETS& GROUPS菜单可以监控机器列表; VULNERABILITIES菜单用于查看扫描漏洞; NETFLOW菜单用于查看网络状况,包含TCP、UTD、ICMP及其他网络资源; TRAFFIC CAPTURE菜单用于抓取数据包; AVAILABILITY菜单可以通过树型结构显示网络状况; DETECTION菜单包含入侵检测,并对入侵事件进行分类。
REPORTS模块只有一个菜单 OVERVIEW,包含报表的生成和导出,也可以通过邮件发送HTML报告
CONFIGURATION模块主要提供配置系统、添加系统管理员、修改密码、设置语言和查看OSSM服务器状态等功能。它有四个菜单: ADMINISTRATION(管理) DEPLOYMENT(部署)、 THREAT INTELCE(威胁智能)和 OPEN THREAT EXCHANGE(公开威胁交换)。
该款开源基本满足要求,但它不具备大规模日志采集和存储能力,而是一个SEM,更偏重于实时的安全监控,实时风险评估,报警与处理。并且根据官网资料,开源版本不提供日志管理功能,具体为什么日志管理功能,并未查到。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E3wSz8Y4-1661912151768)(C:\Users\mokapeng\AppData\Roaming\Typora\typora-user-images\image-20220827102236453.png)]
官网:https://securityonionsolutions.com/software/
Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。它集成了日志分析、流量分析、安全告警等内容。
Security Onion里面的组件包括:snort(入侵检测引擎)、suricata(入侵检测引擎)、bro(入侵检测分析系统)、sguil(入侵检测分析系统)、squert(前端显示)、snorby(前端显示)、wireshark(抓包)、xplico(流量审计)。大致分类如下:
360自己开源,免费给企业使用的开源项目https://github.com/Qianlitp/WatchAD/blob/master/README_zh-cn.md
属于内网态势感知项目,目前支持的具体检测功能如下:
架构:
https://www.rizhiyi.com/securityevent-manage-platform/?utm_source=BaiDuSIEM&bd_vid=11358440507496691264
不开源,但可申请试用
限制:每天只能处理5000MB数据,每月只有7G的存储空间
官网:https://www.ossec.net/,OSSEC是一个开源的入侵检测系统,它可以执行LOG分析,完整性检测
,windows注册表监控,rootkit检测,实时报警及动态响应。但该系统为主机检测平台,并没有流量分析、探测模块
为主机入侵检测系统,不包含流量等功能
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。