目录

• 态势感知、攻击监控、日志分析等平台调研
• • 一. OSSIM开源安全信息管理系统
  • 功能展示
  • • 主界面
    • 1. DASHBOARDS模块
    • • a. OverView
      • b.Deployment status：资产部署的分类及状态信息
      • c. Risk Maps
      • d. Open Threat Exchang：在地图中显示OTX变化趋势及IP信誉
    • 2. ANALYSIS模块
    • 3. ENVIRONMENT模块
    • • a. Assets & Groups
      • b. Vulnerabilities
      • c. Netf low
      • d. Traffic Capture：抓包分析
      • e. Availability
      • f. Detection
    • REPORTS模块
    • CONFIGURATION模块
  • 缺点
  • 二. Security Onion
  • • 核心组件
    • 功能展示
    • • 警告
      • 捕获
      • 流量分析
      • 仪表盘
      • 分析功能
    • 可使用的数据类型
  • 三、WatchAD内网安全态势感知系统
  • • 信息探测
    • 凭证盗取
    • 横向移动
    • 权限提升
    • 权限维持
    • 防御绕过
    • 项目架构图
  • 四、安全狗：免费使用https://www.safedog.cn/index/bigDataSolution.html
  • 五、SIEM安全大数据分析平台
  • Splunk Free
  • OSSEC+
  • Wazuh

态势感知、攻击监控、日志分析等平台调研

国内的平台未曾看到免费开源的，但有些可以试用的，例如啸天、百度等，本次调用结果主要为国外平台。

安全日志分析平台有很多，但集成监控功能的开源平台较少

一. OSSIM开源安全信息管理系统

官网：https://cybersecurity.att.com/products/ossim

OSSIM即安全信息管理系统，是目前非常流行、完整、成熟的安全架构体系。OSSIM通过将安全产品进行集成，提供一种安全监控功能的基础平台。OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息，同时进行相关功能的整合，它具有入侵检测，漏洞扫描，资产管理，安全监控，日志分析，流量分析等功能。

OSSIM是开源的SIM，其核心仍然是依靠SIEM，主要优点是通过有关事件、数据、风险等信息，实时了解全网威胁态势。是一个从 运维监控→事前预警→事后报警→SIEM日志分析故障 的一个快速解决问题的网络系统。

集成主要安全程序：

• Snort:入侵检测系统
• Rrdtool:系统监控
• Nmap:网络扫描和嗅探工具包
• Nessus:系统漏洞扫描于分析软件
• Ntop:网络流量监控
• Nagios：监控系统和网络应用
• Pads：被动的网络发现工具
• Tcptrack：TCP连接嗅探器
• ArpWatch：监听ARP通信

主要模块介绍：

DASHBOARDS：仪表盘，将数据以可视化图表形式展示，更加直观，便于查看管理

ANALYSIS：事件分析，用于筛选查看收集到的数据

ENVIRONMENT：资产清单、漏洞扫描、Ntop流量分析、网络抓包分析、可用性监控等重要功能就在这里

REPORTS：统一报表，生成和查看各种报告的地方

CONFIGURATION：web系统匹置菜单，基础配置、部署管理、策略管理

1. DASHBOARDS模块

在 DASHBOARDS模块中，有 OVERVIEW(概览)、 DEPLOYMENT STATUS(部署状态)、 RISK MAPS(风险图)和 OPEN THREAT EXCHANGE(公开威胁交换)四个菜单。 DASHBOARDS模块从整体上显示网络状况，一旦网络出现安全问题，能及时做出响应。其中， OPEN THREAT EXCHANGE动能需要关联OTX账户之后才可以使用。

a. OverView

• Executive：用饼图、柱状图显示TOP5 Alarm、Top10 Event、Logger Event、数据源等信息
• Tickets：显示工单系统信息
• Security：显示安全事件的Top5 Alarm和Event，以及显示最近安全趋势变化曲线
• Taxonomy：在仪表盘上按类别统计受感染主机
• Vulnerabilites：显示资产漏洞扫描信息
• Compliance：显示资产合规报表信息

b.Deployment status：资产部署的分类及状态信息

c. Risk Maps

• OverView：显示资产的风险地图

• Manage Maps：地图模板管理

d. Open Threat Exchang：在地图中显示OTX变化趋势及IP信誉

• 安全事件与日志曲线
• 传感器收集事件
• 事件类别

2. ANALYSIS模块

在 ANALYSIS模块中，有ALARMS(警报)、 SECURITY EVENTS(SIEM)(安全事件)、 RAW LOGS（原始日志)和 TICKETS(单据)四个菜单。ANALYSIS模块主要用于分析网络状况，识别网络风险和安全隐患。其中，使用 TICKETS菜单可以查看每台机器的状态。

3. ENVIRONMENT模块

在 ENVIRONMENT模块中，有 ASSETS& GROUPS(资产和组)、 VULNERABILITIES(漏洞)、 NETFLOW(流量)、 TRAFFIC CAPTURE(流量捕获)、 AVAILABILITY(可用)和 DETECTION(检测)六个菜单。

其中， ASSETS& GROUPS菜单可以监控机器列表; VULNERABILITIES菜单用于查看扫描漏洞; NETFLOW菜单用于查看网络状况，包含TCP、UTD、ICMP及其他网络资源; TRAFFIC CAPTURE菜单用于抓取数据包; AVAILABILITY菜单可以通过树型结构显示网络状况; DETECTION菜单包含入侵检测，并对入侵事件进行分类。

a. Assets & Groups

• Assets：列出所有资产
• Asset groups：将资产分组
• Networks：管理监控
• Network groups：网络分组
• Schedule Scan：目标网络扫描计划

b. Vulnerabilities

• Overview：漏洞扫描概况
• Scan Jobs
  • New Scan Job：新建扫描任务
  • Import NBE File：导入NBE文件
• Threat Database：漏洞库管理

c. Netf low

• Details：显示NetFlow详细信息
• OverView：显示概况
• Graph：显示流图

d. Traffic Capture：抓包分析

e. Availability

• Monitoring：高可用监控
• Reporting：高可用监控报告

f. Detection

• HIDS
• OverView：显示HIDS日志变化趋势与Agent状态
• Agents：Agent管理
• Agentless：Agentless管理
• Edit Rules：编辑规则
• Config：配置规则
• HIDS Control：HIDS状态管理
• Wireless IDS：无线IDS管理

REPORTS模块

REPORTS模块只有一个菜单 OVERVIEW，包含报表的生成和导出，也可以通过邮件发送HTML报告

CONFIGURATION模块

CONFIGURATION模块主要提供配置系统、添加系统管理员、修改密码、设置语言和查看OSSM服务器状态等功能。它有四个菜单: ADMINISTRATION(管理) DEPLOYMENT(部署)、 THREAT INTELCE(威胁智能)和 OPEN THREAT EXCHANGE(公开威胁交换)。

缺点

该款开源基本满足要求，但它不具备大规模日志采集和存储能力，而是一个SEM，更偏重于实时的安全监控，实时风险评估，报警与处理。并且根据官网资料，开源版本不提供日志管理功能，具体为什么日志管理功能，并未查到。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E3wSz8Y4-1661912151768)(C:UsersmokapengAppDataRoamingTyporatypora-user-imagesimage-20220827102236453.png)]

二. Security Onion

官网：https://securityonionsolutions.com/software/

Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。它集成了日志分析、流量分析、安全告警等内容。

核心组件

Security Onion里面的组件包括：snort（入侵检测引擎）、suricata（入侵检测引擎）、bro（入侵检测分析系统）、sguil（入侵检测分析系统）、squert（前端显示）、snorby（前端显示）、wireshark（抓包）、xplico（流量审计）。大致分类如下：

• 完整数据包捕获；
• 基于网络和主机的入侵检测系统（HIDS和NIDS）;
• 强大的分析工具

捕获

仪表盘

可使用的数据类型

四、安全狗：免费使用https://www.safedog.cn/index/bigDataSolution.html

五、SIEM安全大数据分析平台

https://www.rizhiyi.com/securityevent-manage-platform/tm_source=BaiDuSIEM&bd_vid=11358440507496691264

不开源，但可申请试用

Splunk Free

限制：每天只能处理5000MB数据，每月只有7G的存储空间

OSSEC+

官网：https://www.ossec.net/，OSSEC是一个开源的入侵检测系统，它可以执行LOG分析，完整性检测
，windows注册表监控，rootkit检测，实时报警及动态响应。但该系统为主机检测平台，并没有流量分析、探测模块

Wazuh

为主机入侵检测系统，不包含流量等功能

文章知识点与官方知识档案匹配，可进一步学习相关知识云原生入门技能树首页概览8665 人正在系统学习中

来源：Mokapeng