OSSIM5.0 重要日志加入到知识库

水深无声 2021-09-22 10:00 182阅读 0赞

OSSIM系统中采用了共享信息的接口，称之为知识库（KBD），知识库是具有一定智能的信息安全管理软件，在开源领域中目前只有OSSIM系统具有基于知识的系统。在此 之前进行安全评估和漏洞分析时，经常会碰到对于海量信息查找缓慢，查找效率底下等问题，如今在Ossim中使用了知识库提高了我们分析问题的速度。知识库往往通过关联分析引擎联动，为应急响应提供了知识保障。

![SouthEast][]

应用之一是可以将漏洞扫描的结果作为IDS系统的数据源。我们打开SIEM控制台查看事件信息就能发现。如下图，

![SouthEast 1][]

我们单击第一条可以看到

![SouthEast 2][]

图中原始日志是日志规范化过程中的一部分，原始日志是必须保留的。下面我们看看它提供了哪些信息，事件的下方知识库信息，这些信息可以由用户自己添加。

首先，通过选择日志左侧方框选项，在单击右键就能加入到相应的知识库中，如下图所示。

![SouthEast 3][]

进入到Configuration下面的threat Intelligence，点击最后面的Knowledge Base，点击下面的New Document,向知识库中添加新的条目。如下图：

![SouthEast 4][]

点击new Document之后的效果：

![SouthEast 5][]

在新增的知识库中的条目还可以上传图片，可以是系统的故障图。

通过收集这些日志信息，并放到OSSIM的知识库中，长期积累，是一笔宝贵财富，也为今后网络故障诊断和取证留下重要的判断依据。

参考书目：开源安全运维平台Ossim最佳实战，李晨光著。

[SouthEast]: /images/20210920/a7297d1e48ec4289a6f370ff7cdc3e49.png
[SouthEast 1]: /images/20210920/cab0f0180fc74b56ae4c55524f1496e7.png
[SouthEast 2]: /images/20210920/80b5b1e5a5144df684845da3eb82c626.png
[SouthEast 3]: /images/20210920/07e580c763af46598c29b7923e906653.png
[SouthEast 4]: /images/20210920/bc5178aebe584043b7bf4334da94c191.png
[SouthEast 5]: /images/20210920/718482baa56e41a8b257f6659d141b33.png

发表评论取消回复

表情：

评论列表（有 0 条评论，182人围观）

还没有评论，来说两句吧...

相关阅读

相关 [ 红队知识库 ] 各种重要文件路径

[ 红队知识库 ] 各种重要文件路径

刺骨的言语ヽ痛彻心扉/ 2024年04月29日 02:22/ 0 赞/ 77 阅读

相关将redis加入到elk日志系统里

之前在[http://blog.51cto.com/chenx1242/2048014][http_blog.51cto.com_chenx1242_2048014] 里面，我

港控/mmm°/ 2023年10月18日 12:01/ 0 赞/ 27 阅读

相关 ResNeXt50、ResNest50、ResNet50、从EfficentNet到AutoML

ResNeXt50、ResNest50、ResNet50、EfficentNet对比 ResNet50和ResNeXt50 附一张ResNet的结构图：(图片

小灰灰/ 2023年01月06日 01:40/ 0 赞/ 844 阅读

相关 Android知识库

![1240][] QQ截图20170707151035.png 更友好的阅读体验点击 [Android知识库][Android] 本文来自简书，原文地址:[

ゞ浴缸里的玫瑰/ 2022年06月12日 00:25/ 0 赞/ 319 阅读

相关 elasticsearch知识库

[http://lib.csdn.net/wojiushiwo987/structure/deep\_elasticsearch/node/17523540][http_lib

àì夳堔傛蜴生んèń/ 2022年05月13日 03:18/ 0 赞/ 157 阅读

相关知识库

shell 在计算机科学中，Shell俗称壳（用来区别于核），是指“为使用者提供操作界面”的软件（命令解析器）。它类似于DOS下的command. com和后

比眉伴天荒/ 2021年12月23日 01:23/ 0 赞/ 363 阅读

相关 java知识库

1、加载配置文件 classpath:spring/springmvc.xml classpath\:spring/springmvc.xml 两者的区别在于前

﹏ヽ暗。殇╰゛Y/ 2021年11月13日 23:12/ 0 赞/ 494 阅读

相关 OSSIM介绍

（一）OSSIM 介绍： ![SouthEast][] OSSIM (OPEN Source Sevurity Informatiion System)：

绝地灬酷狼/ 2021年09月22日 10:24/ 0 赞/ 514 阅读

相关 OSSIM5.0 重要日志加入到知识库

OSSIM系统中采用了共享信息的接口，称之为知识库（KBD），知识库是具有一定智能的信息安全管理软件，在开源领域中目前只有OSSIM系统具有基于知识的系统。在此之前进

水深无声/ 2021年09月22日 10:00/ 0 赞/ 183 阅读

相关 OSSIM 介绍

（一）介绍 OSSIM (Open Source Security Information Management)翻译为开源安全信息管理系统，它是一个开源安全信息和事

待我称王封你为后i/ 2021年09月22日 09:48/ 0 赞/ 545 阅读