Ossim 简介:
OSSIM(OPEN Source Sevurity InformatiionSystem):开源安全信息管理系统,是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成,从而提供一种能够实现安全监控的功能的基础平台。它的目的是能够提供一种集中式,有组织,能够更好的进行监测和显示的框架型系统。
- 开放的框架
- 集成解决方案
- 开源软件:
OSSIM并不是一个SIM,因为它不具备大规模日志采集和存储能力,而是一个SEM,更偏重于实时的安全监控,实时风险评估, 警与处理。
OSSIM主体采用B/S结构。web服务器采用Apache,数据库采用MySQL;开发语言采用PHP,Perl,C。
OSSIM的检测流程包含三个完整的阶段:
- 预处理:各个探头将检测或获取到的信息做归一化处理。
- 收集:管理中心统一收集各个探头发来的信息或者告警。
- 后期处理:对集中收集到的管理中心的数据进行关联分析等操作。
OSSIM系统的价值主要体现在后期处理上,预处理和收集是由开源组件完成,当所有的信息集中收集后,OSSIM系统通过这样的后期处理,主要是关联分析,提高检测的灵敏度和实时性,减少误 ,漏 。
OSSIM页面讲解:
OSSIM主体采用了B/S结构,想要了解OSSIM,SIEM控制台分析是基础,SIEM控制台是基于事件数据库的搜索引擎,能够让管理人员用更加集中的方式,针对整个系统的安全状态进行分析。
- Priority threshold:优先级阈值。
- Activity eventWindows(days):事件被存储到指定的空间,称为活动时间窗口,表示你可以在SIEM控制台里面查询到的时间,一般是5天。
- Active event windows:在上一条中定义了查询的时间,这里定义了窗口中事件的数量为4M,就是4*10^6条。
SIEM合并冗余的 警信息主要从三个方面来考虑。 (1)合并基于主机的监控OSSEC产生的冗余 警数据。 (2)合并基于 络的监控Snort产生的冗余 警时间。 (3)合并来自Directive的告警。 接着我们来看一下数据源中的分类:
对日志进行归一化处理后如下图所示:
参考书目:开源安全运维平台Ossim最佳实战,李晨光著。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!