|
|
51CTO旗下网站
|
|
移动端

1.2.3 采集与监控插件的区别

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍采集与监控插件的区别。

作者:李晨光来源:清华大学出版社|2016-01-14 16:14

1.2.3 采集与监控插件的区别

在OSSIM系统的Sensor端包含了采集(Collection)和监控(Monitor)这两类插件统称为安全插件,它们都安装在Sensor上。虽然都称为插件可工作原理却不同,检测插件(Detector)是检测器信息产生后,由代理自动向服务器发送,包括Snort、Apache等。而检测器插件需要主动采集安全设备接口上的信息,这类插件可分为Snort、P0f、Prads、Arpwatch、Apache、SSH、Sudo等。

监控(Monitor)插件,必须由服务器主动发起查询请求。监控插件中定义了需要主动采集的安全设备接口,该模块接收控制中心发出的命令和查询,在OSSIM系统中典型Monitor插件有Ntop、Nmap、Nessus等。读者可在Alienvault控制台的Sensor配置中(Configure Monitor Plugins)查看。OSSIM主要安全插件如表1-2所示。

表1-2  OSSIM主要插件分布情况

分类

功能

插件名称

1

访问控制

csico-acscisco-acs-idmcisco-asa

2

防病毒

Avastgfi securitymcafeeclamav

3

防火墙

fw1-altcisco-pixipfwm0n0wall

netscreen-igsMotorola-firewall

iptablespf(openbsd项目)

4

HIDS

Ossecossec-single-line Osiris

5

负载均衡

Allotcisco-acecitrix-netscalerf5heartbeat

6

网络监控

ntop-monitorp0fpradssession-monitor

tcptrack-monitor

7

虚拟化

vmware-esxivmware-vcentervmware-vcenter-sql

8

漏洞扫描

NessusNessus-detectorNessus-monitor

对OSSIM插件位置的说明:在安装时系统将支持的插件,全部复制到目录/etc/ossim/agent/plugins/目录中,如Nagios插件的扩展名为".cfg"的文本文件,可以用任何编辑器修改,在每个插件配置文件中最难理解的当属理解正则表达式(RegExp)。OSSIM下主要插件如图1-10所示。

在今后安装过程中,选择多少插件系统就在开机时加载多少(插件加载越多越占用内存)。具体查看插件详情,访问/etc/ossim/agent/config.cfg配置文件,而且在系统/etc/ossim/ossim_setup.conf中的[sensor]项中也详细列出了监控插件(monitors)和检测插件(detector)分别包含了哪些内容。在插件这方面,OSSIM默认提供了上百个插件,涉及8个大类,在表1-2中仅列出了一小部分,从插件分布和数量来看,OSSIM系统几乎包含了常用的插件类型。例如运维设备Cisco、CheckPoint、F5、Fortigate、Netscreen、Sonicwall、Symantec等,如果遇到无法识别设备的插件,只能自己编写插件,后续内容会详细讲到,已加载插件如图1-11,图1-12所示。

从图中看出,此Sensor系统中启用了9个插件,如何在Web上展示出来呢?如图所示总共184个插件在Plugins enabled中启用了9个插件。

从图1-13看出这里显示9个插件,我们可打开/etc/ossim/ossim_setup.conf文件查看。


喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Visual C# 2005从入门到精通

Microsoft Visual C#功能强大、使用简单。本书全面介绍了如何利用Visual Studio2005和NET Framework来进行C#编程。作者将C#的各种特性娓娓...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊