OSSIM

OSSIM
GIS 프로젝트의 경우 오픈 소스 지리공간 재단을 참조하십시오.
OSSIM
AlienVault OSSIM Software Logo.png
OSSIM Web Framework
OSSIM 웹 프레임워크
원본 작성자도미니크 카르그, 훌리오 카살, 이그나시오 카브레라, 알베르토 로만
개발자AT&T 사이버보안
안정적 해제
5.7.5 / 2019년 9월 16일
운영 체제리눅스
유형보안 / SIEM
면허증GNU 일반 공중 사용권
웹사이트cybersecurity.att.com

OSSIM(Open Source Security Information Management)은 오픈 소스 보안 정보 이벤트 관리 시스템으로, 컴퓨터 보안, 침입 탐지예방에 있어 네트워크 관리자에게 도움이 되도록 설계된 툴의 선택을 통합한다.

이 프로젝트는 2003년 도미니크 카르그,[1] 훌리오 카살, 그리고 이후 알베르토 로만이 협력하면서 시작되었다.[3]2008년에 그것은 그들의 회사인 AlianVault의 기초가 되었다.[4]Eureka 프로젝트 레이블을 인수하고 R&D를 완료한 후, AlienVault는 OSSIM의 상업적 파생 모델('AlienVault Unified Security Management')을 판매하기 시작했다.에이리언볼트는 AT&T커뮤니케이션즈에 인수돼 2019년 AT&T 사이버시큐러티로 개명했다.[5]

OSSIM은 창간 이래 4개의 주요 버전 릴리즈를[6] 가지고 있으며 5.x.x 버전 번호 매기기 중이다.[7]OSSIM의 소스 코드에 대한 기여도에 대한 정보 가시화OSSIM 8년에 발표되었다.이 프로젝트는 약 740만 줄의 코드를 가지고 있다.[8]OSSIM의 현재 버전은 5.7.5이며, 2019년 9월 16일에 발매되었다.이 릴리스 및 이전 버전에 대한 자세한 내용은 여기를 참조하십시오.

SIEM 시스템으로서, OSSIM은 플러그인과 자산 관리발견에 확장할 수 있는 로그 관리를 전용 정보 보안 제어 및 탐지 시스템의 정보와 결합함으로써 보안 분석가 및 관리자에게 시스템의 모든 보안 관련 측면을 보다 완전하게 볼 수 있도록 하기 위한 것이다.그런 다음 이 정보는 한 조각에서만 볼 수 없는 정보에 대한 맥락을 만들기 위해 함께 상관된다.보고 기능과 함께 경보 및 가용성 뷰가 제공되어 보안 및 시스템 엔지니어에 대한 도구 및 도구 유틸리티의 기능을 강화한다.

OSSIM은 잘 알려진[9] 다른 오픈 소스 소프트웨어 보안 컴포넌트를 사용하여 이러한 기능을 수행하며, 단일 브라우저 기반의 사용자 인터페이스로 통합한다.인터페이스는 기본 오픈 소스 소프트웨어 구성요소(명령줄 전용 도구로 일반 텍스트 파일에만 기록)에서 수집되는 정보에 대한 그래픽 분석 도구를 제공하며, 구성 옵션을 중앙 집중식으로 관리할 수 있다.

소프트웨어는 GNU 일반 공중 사용 허가서에 따라 자유롭게 배포된다.OSSIM은 기존 시스템에 설치할 수 있는 개별 구성 요소와 달리, 호스트의 핵심 운영 체제로서 물리적 또는 가상 호스트에 배치되도록 설계된 설치 가능한 ISO 이미지로 배포된다.OSSIM은 데비안을 기본 운영체제로 삼아 구축한다.이 핵심 플랫폼 때문에 필요에 따라 보안 관리자가 표준 패키지와 스크립팅을 사용하여 추가 구성요소 기능을 추가하고 확장할 수 있다.

구성 요소들

OSSIM은 다음과 같은 소프트웨어 구성요소를 특징으로 한다.

  • 네트워크 트래픽을 수동적으로 모니터링하여 호스트와 서비스를 식별하는 데 사용되는 PRADS.릴리스 [10]v4.0에 추가됨
  • 스노트는 침입 탐지 시스템(IDS)으로 사용되며 OpenVAS와의 교차 상관에도 사용된다.
  • Suricata, IDS(침입 탐지 시스템)로 사용되며, 버전 4.2 현재 이것은 기본 구성에 사용되는 IDS이다.
  • 공격 상관 관계에 유용한 정보를 제공할 수 있는 세션 데이터 정보에 사용되는 Tcptrack.
  • 문인, 교통 분석 및 서비스 감시용.
  • NetFlow 정보를 수집하고 분석하는 데 사용되는 NFSen/NFDump.
  • FProbe, 캡처된 트래픽에서 NetFlow 데이터를 생성하는 데 사용.
  • 전체 로컬 시스템 모니터링뿐만 아니라 자산 가용성을 위해 호스트 및 지정된 포트를 모니터링하는 데 사용되는 Nagios.[11]
  • OpenVas는 취약성 평가에 사용되며 자산과 관련된다.
  • OSSIM은 또한 자체 개발한 도구를 포함하는데, 가장 중요한 것은 논리적인 지시 지원 및 플러그인과 로그 통합이 가능한 일반적인 상관 관계 엔진이다.

참고: 수리카타와 코르트는 동시에 사용할 수 없다.스노트는 현재 수리카타에게 유리하게 단계적으로 폐지되고 있다.[12]

사용되지 않는 구성 요소

  • MAC 주소 이상 감지에 사용되는 Arpwatch는 PRADS로 대체되었다.
  • 패시브 OS 검출 및 OS 변경 분석에 사용되는 P0f는 PRADS로 대체되었다.
  • 서비스 이상 징후 감지를 위해 사용되는 PAD, PRADS로 대체.
  • 호스트와 호스트 그룹 간의 트래픽 패턴을 기록하고 프로토콜 사용에 대한 통계를 기록하기 위한 Ntop은 사용되지 않는다.[13]

오픈 위협 교환

AliverVault는 액티브 OSSIM 설치로 생성(모든 사람이 이용할 수 있는) IP 평판 정보에 대한 크라우드 소싱 서비스를 유지하고 있다.OTX는 참여 OSSIM 설치에서 토큰화된 정보를 사용하여 악의적인 활동에 관여하는 인터넷 주소를 식별하고 그 정보를 동일한 OSSIM 설치에 공유한다.2012년[14] 출범했다.

외부 링크

참조

  1. ^ "Dkarg / Profile".
  2. ^ "Jcasal / Profile".
  3. ^ "Alberto_r / Profile".
  4. ^ "AT&T Cybersecurity Blog".
  5. ^ "AT&T Cybersecurity is Born".
  6. ^ http://sourceforge.net/projects/os-sim/files/deprecated__check_readme/
  7. ^ http://forums.alienvault.com/discussion/1340/patch-release-v4-2-3[데드링크]
  8. ^ https://www.ohloh.net/p/alienvault-ossim/analyses/latest/languages_summary
  9. ^ http://www.sectools.org
  10. ^ AlienVault, "AlienVault OSSIM v4.0 향상 요약", AlienVault OSSIM v4.0 향상 요약, 2012년 7월
  11. ^ David Josephsen (27 March 2013). Nagios: Building Enterprise-Grade Monitoring Infrastructures for Systems and Networks. Prentice Hall. ISBN 978-0-13-313568-8.
  12. ^ AlienVault, "AlienVault v5.0.3 패치 릴리스", AlienVault v5.0.3 패치 릴리스, 2015년 6월 2일
  13. ^ AlienVault, "AlienVault v5.0.3 패치 릴리스", AlienVault v5.0.3 패치 릴리스, 2015년 6월 2일
  14. ^ "Open Threat Exchange (OTX) AT&T Cybersecurity".