OSSIM web SIEM 页面了解

左手的ㄟ右手 2021-09-22 09:58 391阅读 0赞

Ossim 简介：

OSSIM(OPEN Source Sevurity InformatiionSystem)：开源安全信息管理系统，是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成，从而提供一种能够实现安全监控的功能的基础平台。它的目的是能够提供一种集中式，有组织，能够更好的进行监测和显示的框架型系统。

*  开放的框架
 *  集成解决方案  
    
 *  开源软件：

OSSIM并不是一个SIM，因为它不具备大规模日志采集和存储能力，而是一个SEM，更偏重于实时的安全监控，实时风险评估，报警与处理。

OSSIM主体采用B/S结构。web服务器采用Apache，数据库采用MySQL；开发语言采用PHP,Perl,C。

OSSIM的检测流程包含三个完整的阶段：

*  预处理：各个探头将检测或获取到的信息做归一化处理。
 *  收集：管理中心统一收集各个探头发来的信息或者告警。  
    
 *  后期处理：对集中收集到的管理中心的数据进行关联分析等操作。

OSSIM系统的价值主要体现在后期处理上，预处理和收集是由开源组件完成，当所有的信息集中收集后，OSSIM系统通过这样的后期处理，主要是关联分析，提高检测的灵敏度和实时性，减少误报，漏报。

OSSIM页面讲解：

OSSIM主体采用了B/S结构，想要了解OSSIM，SIEM控制台分析是基础，SIEM控制台是基于事件数据库的搜索引擎，能够让管理人员用更加集中的方式，针对整个系统的安全状态进行分析。

![SouthEast][]

在OSSIM的SIEM控制台可以显示大量日志和报警，在整体数量上看占据前三甲的包括OSSEC，SysLog收集的各类事件以及Snort事件（网络数据包深度分析），其它事件的过滤可以通过选择Data Source 实现。

下图中有三个重要的参数需要大家理解：

![SouthEast 1][]

*  Priority threshold:优先级阈值。
 *  Activity eventWindows(days):事件被存储到指定的空间，称为活动时间窗口，表示你可以在SIEM控制台里面查询到的时间，一般是5天。
 *  Active event windows:在上一条中定义了查询的时间，这里定义了窗口中事件的数量为4M，就是4\*10^6条。

SIEM合并冗余的报警信息主要从三个方面来考虑。

（1）合并基于主机的监控OSSEC产生的冗余报警数据。

（2）合并基于网络的监控Snort产生的冗余报警时间。

（3）合并来自Directive的告警。

接着我们来看一下数据源中的分类：

![SouthEast 2][]

报警日志过滤实质是保留或者抛弃所关心的日志，将原始日志消息解析为统一格式，以便分析数据。接下来看一下如何快速过滤出有用的数据，下面我们认识下SIEM日志的基本格式:

*  Signature:日志特征
 *  Date:  时间
 *  Sersor:传感器，表示从哪个探测器获取的日志。
 *  Source：源地址，攻击的发源地（可能为伪造）。
 *  Destination：目的地址。
 *  Asset：资产。
 *  Risk：风险值。

在SIEM中有很多过滤开关，如下图所示：

![SouthEast 3][]

首先是Search,他可以输入日志的关键字，在单击"Signature"按钮,系统就会列出与之匹配的日志。然后在进一步过滤，输入IP地址。

其次，我们可以使用“Sensor+数据源”组合过滤模式，我们可以输入探测器的IP地址，然后输入数据源种类来进行过滤。

还可以使用分类里面的产品类型，或者事件种类来进行过滤，还可以通过IP的恶意活动或者恶意活动的等级来进行搜索。

通过过滤器来进行搜索，如下图：

![SouthEast 4][]

点击Advanced Search，显示如下，可以在这里选择传感器以及事件时间，优先级，IP条件等等：

![SouthEast 5][]

对日志进行归一化处理后如下图所示：

![SouthEast 6][]

参考书目：开源安全运维平台Ossim最佳实战，李晨光著。

[SouthEast]: /images/20210920/ea5bb2f69af74d20a38062b4e179ad7a.png
[SouthEast 1]: /images/20210920/9b8fa06eed3a424381549be8f48653f6.png
[SouthEast 2]: /images/20210920/11475606346e45009ecfe4144418b5de.png
[SouthEast 3]: /images/20210920/4e3c7bddd6ba4068892e034d4b4c59be.png
[SouthEast 4]: /images/20210920/a26baa73165c4bd192b1a61facbecaf2.png
[SouthEast 5]: /images/20210920/f545c3db22504c94b7a383053473d623.png
[SouthEast 6]: /images/20210920/b3ff6ac5bf23445fb63539346a3f2cda.png