OSSIM5.0 重要日志加入到知识库
OSSIM系统中采用了共享信息的接口,称之为知识库(KBD),知识库是具有一定智能的信息安全管理软件,在开源领域中目前只有OSSIM系统具有基于知识的系统。在此 之前进行安全评估和漏洞分析时,经常会碰到对于海量信息查找缓慢,查找效率底下等问题,如今在Ossim中使用了知识库提高了我们分析问题的速度。知识库往往通过关联分析引擎联动,为应急响应提供了知识保障。
应用之一是可以将漏洞扫描的结果作为IDS系统的数据源。我们打开SIEM控制台查看事件信息就能发现。如下图,
我们单击第一条可以看到
图中原始日志是日志规范化过程中的一部分,原始日志是必须保留的。下面我们看看它提供了哪些信息,事件的下方知识库信息,这些信息可以由用户自己添加。
首先,通过选择日志左侧方框选项,在单击右键就能加入到相应的知识库中,如下图所示。
进入到Configuration下面的threat Intelligence,点击最后面的Knowledge Base,点击下面的New Document,向知识库中添加新的条目。如下图:
点击new Document之后的效果:
在新增的知识库中的条目还可以上传图片,可以是系统的故障图。
通过收集这些日志信息,并放到OSSIM的知识库中,长期积累,是一笔宝贵财富,也为今后网络故障诊断和取证留下重要的判断依据。
参考书目:开源安全运维平台Ossim最佳实战,李晨光著。
刺骨的言语ヽ痛彻心扉
港控/mmm°
小灰灰
比眉伴天荒
左手的ㄟ右手
还没有评论,来说两句吧...