本文主要是介绍OSSIM5.0 SIEM 要素,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
这节课主要讲解OSSIMSIEM要素:
1 元数据:元数据是一种定义性数据,这些数据提供了有关Snort收集的入侵检测的数据信息。
2 传感器:对于分布式的OSSIM系统而言有两个以上的Sersor,这些传感器部署在不同的网段,可以方便的查询到不同传感器所收集的数据。
3 报警组:报警组的作用是形成报警组的集合。允许报警分类显示出来,多用于集中报警。可以把系统中一些试探性攻击,零碎的问题报警集中在一起。通过这个报警组功能,可以很快搜索到黑客攻击的信息。下两个图给出了未分组和分组后的效果比较。
分组前:
分组后:
4 分类:这种分类报警显示,在重新发现同一类攻击的早期行为方面特别有用。
事件分类的详细分类,我们可以在Web UI的Configuration-->Threat Intelligence-->Taxonomy菜单中查看,并能快速筛选内容:
5 特征:特征码的作用是用来查询与特征值匹配的报警。
6 报警时间:该功能是为了查询特定时间内的报警,在各个时间段都会有大量的报警产生,可以通过时间选项,进一步缩小查询的范围。如下图:
7 IP头数据:我们时常需要分析IP头数据,包含IP数据报的头部数据。从包头我们可以得到以下的信息:
8 传输层协议:该部分包含了TCP和UDP协议的信息,信息如下:
9 有效负载:有效载荷包含了应用程序要是用的数据,所有的报警中搜索存储在有效载荷中的数据串。
10 通过逻辑运算符查询:SIEM控制台使用了一套扩展的逻辑运算符来建立查询。如下图:
参考书目:开源安全运维平台Ossim最佳实战,李晨光著。
这篇关于OSSIM5.0 SIEM 要素的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
