SOC(Security Operation Center)是网络安全建设发展到现阶段后,典型的建设任务,在此阶段,网络安全的重点已经转移到开始面向业务持续性保障。
网络安全的发展随着网络建设经历了三个阶段:
1、是防火墙、防病毒与IDS(入侵检测系统)部署的初级阶段。
2、是随着网络扩大,各种业务从相互独立到共同运营,网络管理中出现的安全域的概念,利用隔离技术把网络分为逻辑的安全区域,并大量的使用区域边界防护与脆弱性扫描与用户接入控制技术,此时的安全技术分为防护、监控、审计、认证、扫描等多种体系,纷繁复杂,称为安全建设阶段。
3、是随着业务的增多,网络的安全管理成为网络建设的新重点,把各个分离的安全体系统一管理、统一运营,我们称为安全管理阶段,最典型的就是综合性安全运营中心(Security Operation Center)SOC的建设。
开源SOC产品,目前比较有影响的是OpenSOC和 OSSIM, OpenSOC更多是一种架构,OSSIM则已经有可以下载和安装的多个版本,目前已经演进到大版本5.X
一、OpenSOC简介
OpenSOC是Cisco的安全大数据分析架构,其建立了一个平台,专注于网络数据包和流的大数据分析。功能上实现了实时地检测网络内的异常,并且可以根据需要扩展节点。OpenSOC的部署全部依靠开源软件,存储上使用的Hadoop,实时索引采用ElasticSearch,而在线实时分析使用的Storm,因此可以说,OpenSOC是各种开源大数据架构和安全分析工具的有机结合。
OpenSOC框架如下图:(来自网络)
二、OSSIM产品简介
OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。
OSSIM的框架如下(来自网络)
三、OSSIM的安装步骤
由于OSSIM是已经可以实际使用的开源产品,所以将这个产品进行下载和安装,大致了解一下这款开源产品。
首先,获取到其安装ISO包,我采用的是5.0版本
其ISO包,是基于linux diban6的一个镜像包,可以通过这个包安装在某服务器上,本次安装是在我的虚拟机环境下安装。
安装过程如下:
1、首先创建虚拟机,建议内核2,内存4G,选择磁盘 20G,操作系统diban 6 64位
2、在创建虚拟机的时候,挂载iso文件,指向下载的镜像包
3、启动虚拟机,进入系统安装界面:
选择语言环境为中文,简体(其实汉化做的真的很糟,即便是中文简体,很多没有汉化,很多也是繁体显示)
选择区域为 中国
设置键盘为 美国英语
设置ip地址和域名服务器
设置用户名和密码:
进入安装过程(这个过程非常长,要有心理准备)
全部安装后,会提示重启系统,重启后,系统进入类似命令提示符的界面,不用管,我们只需要通过浏览器来查看OSSIM系统。
4、系统配置和登陆
使用http://192.168.136.88/ossim 进入登陆界面:
登陆界面首先是账号信息的填写
然后跟随开始向导进行OSSIM系统的设置:
JOIN OTX这步可以略过
最后展示一下系统登录和进入的界面情况:
