OSSIM外掛程式開發實戰（配視頻）

標籤：外掛程式開發   ossim   

OSSIM外掛程式開發實戰

由於現有安全裝置產生日誌格式不統一，故無法直接進行關聯分析，在Ossim系統中採取了基於外掛程式過濾的方式對異構安防裝置的日誌進行採集，OSSIM外掛程式開發，是開發人員的必備技能，下面就對它進行詳細講解。

一、外掛程式配置步驟

經過以上描述，大家瞭解收集日誌的流程，接下來就要建立指令碼，步驟如下：

（1）建立外掛程式檔案，通常複製一個現有的指令檔，並修改其內容，以符合新的應用程式需求。

（2）定義一個通用規則，這是最後的規則來評價，它捕獲所有的事件，不能根據特定規則進行分組。

（3）去除雜訊，OSSIM可以排除某些無關事件子類型的事件被視為雜訊，說的簡單點就是在IDS/IPS等安全裝置上產生的海量重複警示就是雜訊。

（4）通過OSSIM代理註冊外掛程式，為了將事件發送到的OSSIM伺服器，就要將外掛程式啟用，外掛程式的路徑必須在代理設定檔中指定。

5）通過OSSIM Server註冊外掛程式，以讓伺服器知道事件的優先順序和可靠性價值的事件，就必須在Server端也註冊外掛程式。

（6）在Server端啟用外掛程式，重啟OSSIM Server進程。

#/etc/init.d/ossim-server restart

（7）在Agent代理端啟用外掛程式，重啟OSSIM Agent進程。

#/etc/init.d/ossim-agent restart

二、外掛程式匯入

假設有一段匯出的SQL檔案，其中包含有可執行SQL語句。例如將MySQLDatabase Backup到test.sql檔案裡，就可以用下面方法進行還原：

#mysql < test.sql

可以在MySQL的提示符下用SOURCE命令來載入 SQL檔案。但如果壓縮了SQL檔案怎麼做還原呢？是不是要先解壓縮在載入呢？例如：

#gunzip –c test.sql.gz |mysql

OSSIM 在安裝後期通過一些SQL語句集中匯入外掛程式，匯入完畢放置在/usr/share/doc/ossim-mysql/contrib./plugins/目錄下，副檔名為sql.gz，如果發現某些外掛程式需重新匯入資料庫可以先用gunzip命令解壓sql.gz檔案，再使用“ossim-db<file.sql”方式匯入。如果是新外掛程式怎麼辦？就複製一個功能類似外掛程式，然後修改SQL代碼，在匯入資料庫。或許會思考，如果只還原單獨的表（例如表asset）又會怎樣？看看如下操作：

#grep ‘INSERT INTO `asset`’ test.sql |mysql test

或者檔案是壓縮的：

#gunzip –c test.sql.gz |grep ‘INSERT INTO`asset`’|mysql test

注意，test 代表執行個體資料庫名稱。一旦MySQL載入完資料，gunzip就會自動結束。

根據《開源安全營運平台-OSSIM最佳實務》第七章外掛程式註冊講解的內容，我們修改/etc/ossim/agent/config.cfg在[plugins]中加入外掛程式，下所示。

myexample=/etc/ossim/agent/plugins/myexample.cfg

最後開啟ossim-setup配置程式並選擇:ConfigureSensor→Select DataSources，找到myexample外掛程式選中後，儲存退出。

650) this.width=650;" title="5-1.jpg" alt="wKiom1clSW-SLUAgAAEfmjbZDWw299.jpg" src="http://s1.51cto.com/wyfs02/M01/7F/9E/wKiom1clSW-SLUAgAAEfmjbZDWw299.jpg" />

650) this.width=650;" title="5-2.jpg" alt="wKioL1clSnuw4JrsAACLyyjrD9Y274.jpg" src="http://s4.51cto.com/wyfs02/M01/7F/9C/wKioL1clSnuw4JrsAACLyyjrD9Y274.jpg" />

當看到上面這些資訊是說明外掛程式已成功添加，下面要重啟服務即可生效。

#/etc/init.d/ossim-server restart   \\重啟ossim server端

#/etc/init.d/ossim-agent restart    \\重啟agent端

最後可以到SIEM控制台下查看該外掛程式採集到的日誌,為了使大家有更直觀的體驗特在最新版OSSIM中製作了一刻鐘的視頻講解。

視頻地址：http://edu.51cto.com/index.php?do=lesson&id=99668

 

本文出自 “李晨光原創技術部落格” 部落格，請務必保留此出處http://chenguang.blog.51cto.com/350944/1769287

OSSIM外掛程式開發實戰（配視頻）