本文主要是介绍OSSIM Alarm 控制台讲解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
(一)Alarm控制台,在Syslog的日志级别中,有一种叫做Alert(警报)的日志,出现Alert意味着马上采取行动的事件。Alert是可视化网络攻击报警Alarm分析。图形化Alarm报警由关联指令经关联分析(交叉关联,序列关联)引擎生成,根据来源于Snort以及OSSEC等数据源进行报警。
(二)Alarm生成步骤:
(1) 日志收集到OSSIM
(2) 将日志统一进行归一化处理后生成事件
(3) 事件导入关联引擎
(4) 根据关联规则匹配出新的事件
(三)点击Search and Filter
(四)报警事件分类:
看这里有不同种类的报警事件,一共分为5类:
系统损坏或者破坏:属于系统危害类安全事件。(感染性化学标志)
漏洞利用和安装:属于恶意代码类安全事件。(警铃)
攻击:表示正在发生入侵,攻击类安全事件。(瞄准镜)
侦查和探测:属于扫描类安全事件,使用嗅探或模拟业务的方式获得系统以及完了信息的各类事件。(雷达扫描图标)
环境意识:这类行为的告警优先级最低,通常是软件升级或者电驴BT等P2P软件下载报警,包含易受攻击的软件和可疑通信。
点击蓝色圆点可以看到攻击的列表,便于管理人员对该攻击进行分析。
点击后面的放大镜
参考文献:开源安全运维平台Ossim最佳实战,李晨光著。
这篇关于OSSIM Alarm 控制台讲解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
