OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。

ossim可以进行资产的统一管理,所以首要的任务是添加资产,分以下几种方式:

1.直接添加

2.导入csv

3.从SIME事件中导入

4.扫描导入

最常用的是通过扫描添加资产的方式,下面分别介绍:

1.1、直接添加

位置Environment > Assets & Groups > Add Host

如图,星号为必填项

Name:最好统一命名,格式统一即可
ip:需要添加资产的ip地址
sensors:选择所在的区域的sensor即可
其他的保持默认即可
ossim之添加资产全方法-RadeBit瑞安全

1.2、导入csv

位置Environment > Assets & Groups > Import CSV

如图所示,根据模板制作好csv文件,直接导入即可.

ossim之添加资产全方法-RadeBit瑞安全

1.3、从SIME事件中导入

位置Environment > Assets & Groups > Import From SIME

之后等待即可,系统会自动添加在SIME中的资产信息到assets中.

ossim之添加资产全方法-RadeBit瑞安全

1.4、扫描导入

位置Environment > Assets & Groups > Scan For New Assets

这个方法是最常用的,添加扫描之前,先要确定要扫描的网段有哪些,比如我要添加192.168.1.0/24的所有存活的主机

1.4.1、添加网段

首先要在Environment > Assets & Groups >NETWORKS > ADD NETWORK中添加网段信息,如图所示:

ossim之添加资产全方法-RadeBit瑞安全
NAME:最好统一命名,格式统一即可
CIDR:填入ip段信息
sensors:选择所在的区域的sensor即可
其他默认即可,点击SAVE即可

1.4.2、扫描任务

打开Environment > Assets & Groups > Scan For New Assets

如图,选择要扫描的网段:

ossim之添加资产全方法-RadeBit瑞安全

这里有扫描类型可以选择以下几种方式

扫描类型:

Scan Type:(扫描类型)
Ping 向每个资产发送ping
Fast Scan (默认)扫描最常用的100个端口
Normal 扫描最常用的1000个端口
Full Scan 扫描所有端口,速度会很慢
Custom 允许用户定义要扫描的端口

时间模板:

Timing Template
Paranoid 扫描非常缓慢。它序列化所有扫描(无并行扫描),通常等待至少5分钟
Sneaky 与Paranoid模式类似,但它只在包传输之间等待15秒
Polite 减轻网络负载,降低系统故障的几率
Normal (默认)以达到最快扫描吞吐量的速率扫描,而不会使网络过载或缺少主机和端口
Aggressive 添加5分钟。每个主机超时。探头响应间隔不超过1.25 s
Insane 只适合非常快的网络,除非你不介意丢失一些信息,超时主机在75秒,单个探头的等待时间仅为0.3 s

自动检测服务和dns反向解析:

Autodetect Services and Operating System:
检测服务和操作系统版本。默认情况下启用。

Enable Reverse DNS Resolution:
确定与发现的IP地址关联的域名,通常仅与响应(在线)主机相关,默认情况下启用.
之后点击开始扫描即可,nmap扫描器即刻开始扫描,过一会就可以看扫描页面下有好多被扫描出来的主机信息,保存信息即可。

1.5、定期自动扫描

因为服务器可能随时有新添加或者关闭等情况的存在,时间长了ossim中的信息会不准确,所以可以采用定期自动扫描的方式来进行:

打开Environment > Assets & Groups > Schedule Scan> Schedule new scan

ossim之添加资产全方法-RadeBit瑞安全

扫描频率,有以下几种,可根据实际情况自由选择

Frequency 
小时,天,星期,月