OSSIM web SIEM 页面了解

Ossim 简介：

  OSSIM(OPEN Source Sevurity InformatiionSystem)：开源安全信息管理系统，是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成，从而提供一种能够实现安全监控的功能的基础平台。它的目的是能够提供一种集中式，有组织，能够更好的进行监测和显示的框架型系统。

• 开放的框架
• 集成解决方案
  
• 开源软件：

  OSSIM并不是一个SIM，因为它不具备大规模日志采集和存储能力，而是一个SEM，更偏重于实时的安全监控，实时风险评估，报警与处理。

  OSSIM主体采用B/S结构。web服务器采用Apache，数据库采用MySQL；开发语言采用PHP,Perl,C。

  OSSIM的检测流程包含三个完整的阶段：

• 预处理：各个探头将检测或获取到的信息做归一化处理。
• 收集：管理中心统一收集各个探头发来的信息或者告警。
  
• 后期处理：对集中收集到的管理中心的数据进行关联分析等操作。

  OSSIM系统的价值主要体现在后期处理上，预处理和收集是由开源组件完成，当所有的信息集中收集后，OSSIM系统通过这样的后期处理，主要是关联分析，提高检测的灵敏度和实时性，减少误报，漏报。

OSSIM页面讲解：

    OSSIM主体采用了B/S结构，想要了解OSSIM，SIEM控制台分析是基础，SIEM控制台是基于事件数据库的搜索引擎，能够让管理人员用更加集中的方式，针对整个系统的安全状态进行分析。

    在OSSIM的SIEM控制台可以显示大量日志和报警，在整体数量上看占据前三甲的包括OSSEC，SysLog收集的各类事件以及Snort事件（网络数据包深度分析），其它事件的过滤可以通过选择Data Source 实现。

    下图中有三个重要的参数需要大家理解：

• Priority threshold:优先级阈值。
• Activity eventWindows(days):事件被存储到指定的空间，称为活动时间窗口，表示你可以在SIEM控制台里面查询到的时间，一般是5天。
• Active event windows:在上一条中定义了查询的时间，这里定义了窗口中事件的数量为4M，就是4*10^6条。

参考书目：开源安全运维平台Ossim最佳实战，李晨光著。