资产

ossim可以进行资产的统一管理,所以首要的任务是添加资产,分以下几种方式:

• 1.直接添加
• 2.导入csv
• 3.从SIME事件中导入
• 4.扫描导入

最常用的是通过扫描添加资产的方式,下面分别介绍:

直接添加

位置Environment > Assets & Groups > Add Host

如图,星号为必填项

1
2
3
4

Name:最好统一命名,格式统一即可
ip:需要添加资产的ip地址
sensors:选择所在的区域的sensor即可
其他的保持默认即可

导入csv

位置Environment > Assets & Groups > Import CSV

如图所示,根据模板制作好csv文件,直接导入即可.

从SIME事件中导入

位置Environment > Assets & Groups > Import From SIME

之后等待即可,系统会自动添加在SIME中的资产信息到assets中.

扫描导入

位置Environment > Assets & Groups > Scan For New Assets

这个方法是最常用的,添加扫描之前,先要确定要扫描的网段有哪些,比如我要添加192.168.1.0/24的所有存活的主机

添加网段

首先要在Environment > Assets & Groups >NETWORKS > ADD NETWORK中添加网段信息,如图所示:

1
2
3
4

NAME:最好统一命名,格式统一即可
CIDR:填入ip段信息
sensors:选择所在的区域的sensor即可
其他默认即可,点击SAVE即可

扫描任务

打开Environment > Assets & Groups > Scan For New Assets

如图,选择要扫描的网段:

这里有扫描类型可以选择以下几种方式

扫描类型:

1
2
3
4
5
6

Scan Type:(扫描类型)
Ping	向每个资产发送ping
Fast Scan	（默认）扫描最常用的100个端口
Normal	扫描最常用的1000个端口
Full Scan	扫描所有端口,速度会很慢
Custom	允许用户定义要扫描的端口

时间模板:

1
2
3
4
5
6
7

Timing Template	
Paranoid	扫描非常缓慢。它序列化所有扫描（无并行扫描），通常等待至少5分钟
Sneaky	与Paranoid模式类似，但它只在包传输之间等待15秒
Polite	减轻网络负载，降低系统故障的几率
Normal	（默认）以达到最快扫描吞吐量的速率扫描，而不会使网络过载或缺少主机和端口
Aggressive	添加5分钟。每个主机超时。探头响应间隔不超过1.25 s
Insane	 只适合非常快的网络，除非你不介意丢失一些信息,超时主机在75秒,单个探头的等待时间仅为0.3 s

自动检测服务和dns反向解析:

1
2
3
4
5

Autodetect Services and Operating System:
检测服务和操作系统版本。默认情况下启用。

Enable Reverse DNS Resolution:
确定与发现的IP地址关联的域名，通常仅与响应（在线）主机相关,默认情况下启用.

之后点击开始扫描即可,nmap扫描器即刻开始扫描,过一会就可以看扫描页面下有好多被扫描出来的主机信息,保存信息即可.

定期自动扫描

因为服务器可能随时有新添加或者关闭等情况的存在,时间长了ossim中的信息会不准确,所以可以采用定期自动扫描的方式来进行:

打开Environment > Assets & Groups > Schedule Scan> Schedule new scan

扫描频率,有以下几种,可根据实际情况自由选择

1
2

Frequency 
小时,天,星期,月

ossim安全交流群:46820390