Ossim 简介:
OSSIM(OPEN Source Sevurity InformatiionSystem):开源安全信息管理系统,是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成,从而提供一种能够实现安全监控的功能的基础平台。它的目的是能够提供一种集中式,有组织,能够更好的进行监测和显示的框架型系统。
- 开放的框架
- 集成解决方案
- 开源软件:
OSSIM并不是一个SIM,因为它不具备大规模日志采集和存储能力,而是一个SEM,更偏重于实时的安全监控,实时风险评估,报警与处理。
OSSIM主体采用B/S结构。web服务器采用Apache,数据库采用MySQL;开发语言采用PHP,Perl,C。
OSSIM的检测流程包含三个完整的阶段:
- 预处理:各个探头将检测或获取到的信息做归一化处理。
- 收集:管理中心统一收集各个探头发来的信息或者告警。
- 后期处理:对集中收集到的管理中心的数据进行关联分析等操作。
OSSIM系统的价值主要体现在后期处理上,预处理和收集是由开源组件完成,当所有的信息集中收集后,OSSIM系统通过这样的后期处理,主要是关联分析,提高检测的灵敏度和实时性,减少误报,漏报。
OSSIM页面讲解:
OSSIM主体采用了B/S结构,想要了解OSSIM,SIEM控制台分析是基础,SIEM控制台是基于事件数据库的搜索引擎,能够让管理人员用更加集中的方式,针对整个系统的安全状态进行分析。
在OSSIM的SIEM控制台可以显示大量日志和报警,在整体数量上看占据前三甲的包括OSSEC,SysLog收集的各类事件以及Snort事件(网络数据包深度分析),其它事件的过滤可以通过选择Data Source 实现。
下图中有三个重要的参数需要大家理解:
- Priority threshold:优先级阈值。
- Activity eventWindows(days):事件被存储到指定的空间,称为活动时间窗口,表示你可以在SIEM控制台里面查询到的时间,一般是5天。
- Active event windows:在上一条中定义了查询的时间,这里定义了窗口中事件的数量为4M,就是4*10^6条。
SIEM合并冗余的报警信息主要从三个方面来考虑。
(1)合并基于主机的监控OSSEC产生的冗余报警数据。
(2)合并基于网络的监控Snort产生的冗余报警时间。
(3)合并来自Directive的告警。
接着我们来看一下数据源中的分类:
报警日志过滤实质是保留或者抛弃所关心的日志,将原始日志消息解析为统一格式,以便分析数据。接下来看一下如何快速过滤出有用的数据,下面我们认识下SIEM日志的基本格式:
- Signature:日志特征
- Date: 时间
- Sersor:传感器,表示从哪个探测器获取的日志。
- Source:源地址,攻击的发源地(可能为伪造)。
- Destination:目的地址。
- Asset:资产。
- Risk:风险值。
在SIEM中有很多过滤开关,如下图所示:
首先是Search,他可以输入日志的关键字,在单击"Signature"按钮,系统就会列出与之匹配的日志。然后在进一步过滤,输入IP地址。
其次,我们可以使用“Sensor+数据源”组合过滤模式,我们可以输入探测器的IP地址,然后输入数据源种类来进行过滤。
还可以使用分类里面的产品类型,或者事件种类来进行过滤,还可以通过IP的恶意活动或者恶意活动的等级来进行搜索。
通过过滤器来进行搜索,如下图:
点击Advanced Search,显示如下,可以在这里选择传感器以及事件时间,优先级,IP条件等等:
对日志进行归一化处理后如下图所示:
参考书目:开源安全运维平台Ossim最佳实战,李晨光著。