معرفی OSSIM، یک SIEM متن باز و رایگان + آموزش نصب و راه اندازی

Open Source Security Information Management یا به اختصار OSSIM، یک سیستم مدیریت وقایع و اطلاعات امنیتی یا همان SIEM متن باز بوده که توسط AT&T Cybersecurity (LevelBlue) توسعه داده می شود.

فهرست مطالب

تاریخچه

OSSIM در سال 2003 طی یک همکاری مشترک بین Dominique Karg، Julio Casal و Alberto Román به وجود آمد و بعدها در سال 2008 پایه و اساس کمپانی AlienVault را تشکیل داد. در سال 2019، کمپانی AT&T شرکت AlienVault را خرید و نام آن به AR&T Cybersecurity تغییر یافت. در سال 2024 AT&T Cybersecurity به LevelBlue تغییر نام پیدا کرد و اکنون این محصول رسما LevelBlue OSSIM نام دارد.

مهمترین امکانات OSSIM

• شناسایی دارایی‌ها: شناسایی دستگاه ها و سیستم های موجود در شبکه شما.
• ارزیابی آسیب پذیری: اسکن برای یافتن آسیب پذیری های امنیتی.
• تشخیص نفوذ: شناسایی تلاش های دسترسی غیرمجاز.
• پایش رفتار: تجزیه و تحلیل الگوهای رفتاری غیرعادی.
• تطابق رویدادی SIEM: ایجاد ارتباط بین رویدادهای امنیتی برای شناسایی تهدیدات.

اجزا مختلف OSSIM

• PRADS: این ابزار برای شناسایی دارایی‌ها مثل هاست ها و سرویس ها از طریق مانیتورینگ غیرفعال (Passive) ترافیک شبکه استفاده می شود.

• NMAP: این ابزار برای شناسایی دارایی‌ها به طور فعال (Active) مورد استفاده قرار می‌گیرد.

• Suricata: این ابزار به عنوان سیستم تشخیص نفوذ تحت شبکه (NIDS) در OSSIM استفاده می شود.

• OSSEC: این ابزار به عنوان سیستم تشخیص نفوذ تحت میزبان (HIDS) در OSSIM استفاده می‌شود.

• Nagios: این ابزار برای پایش در دسترس بودن منابع روی سیستم‌های میزبان و پورت های مشخص شده و همچنین مانیتورینگ کامل سیستم کاربرد دارد.

• OpenVAS: این ابزار برای ارزیابی آسیب پذیری و مرتبط کردن آن با دارایی ها استفاده می شود.

نصب، راه اندازی و پیکربندی OSSIM

به دلیل نبود منابع مناسب در رابطه با OSSIM، آموزش کاملی را به صورت طبقه بندی شده نوشته و در زیردامنه ossim همین سایت یعنی https://ossim.infosecjournal.dev ، در دسترس قرار داده ام. شما می توانید با مراجعه به این آموزش، با نحوه راه اندازی و پیکربندی ossim آشنا شوید.