OSSIM web SIEM 页面了解

Ossim 简介：

  OSSIM(OPEN Source Sevurity InformatiionSystem)：开源安全信息管理系统，是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成，从而提供一种能够实现安全监控的功能的基础平台。它的目的是能够提供一种集中式，有组织，能够更好的进行监测和显示的框架型系统。

• 开放的框架
• 集成解决方案
  
• 开源软件：

  OSSIM并不是一个SIM，因为它不具备大规模日志采集和存储能力，而是一个SEM，更偏重于实时的安全监控，实时风险评估，报警与处理。

  OSSIM主体采用B/S结构。web服务器采用Apache，数据库采用MySQL；开发语言采用PHP,Perl,C。

  OSSIM的检测流程包含三个完整的阶段：

• 预处理：各个探头将检测或获取到的信息做归一化处理。
• 收集：管理中心统一收集各个探头发来的信息或者告警。
  
• 后期处理：对集中收集到的管理中心的数据进行关联分析等操作。

  OSSIM系统的价值主要体现在后期处理上，预处理和收集是由开源组件完成，当所有的信息集中收集后，OSSIM系统通过这样的后期处理，主要是关联分析，提高检测的灵敏度和实时性，减少误报，漏报。

OSSIM页面讲解：

    OSSIM主体采用了B/S结构，想要了解OSSIM，SIEM控制台分析是基础，SIEM控制台是基于事件数据库的搜索引擎，能够让管理人员用更加集中的方式，针对整个系统的安全状态进行分析。

    在OSSIM的SIEM控制台可以显示大量日志和报警，在整体数量上看占据前三甲的包括OSSEC，SysLog收集的各类事件以及Snort事件（网络数据包深度分析），其它事件的过滤可以通过选择Data Source 实现。

    下图中有三个重要的参数需要大家理解：

    

• Priority threshold:优先级阈值。
• Activity eventWindows(days):事件被存储到指定的空间，称为活动时间窗口，表示你可以在SIEM控制台里面查询到的时间，一般是5天。
• Active event windows:在上一条中定义了查询的时间，这里定义了窗口中事件的数量为4M，就是4*10^6条。

    SIEM合并冗余的报警信息主要从三个方面来考虑。

    （1）合并基于主机的监控OSSEC产生的冗余报警数据。

    （2）合并基于网络的监控Snort产生的冗余报警时间。

    （3）合并来自Directive的告警。

    接着我们来看一下数据源中的分类：

  报警日志过滤实质是保留或者抛弃所关心的日志，将原始日志消息解析为统一格式，以便分析数据。接下来看一下如何快速过滤出有用的数据，下面我们认识下SIEM日志的基本格式:

• Signature:日志特征
• Date:  时间
• Sersor:传感器，表示从哪个探测器获取的日志。
• Source：源地址，攻击的发源地（可能为伪造）。
• Destination：目的地址。
• Asset：资产。
• Risk：风险值。

    在SIEM中有很多过滤开关，如下图所示：

    首先是Search,他可以输入日志的关键字，在单击"Signature"按钮,系统就会列出与之匹配的日志。然后在进一步过滤，输入IP地址。

    其次，我们可以使用“Sensor+数据源”组合过滤模式，我们可以输入探测器的IP地址，然后输入数据源种类来进行过滤。

    还可以使用分类里面的产品类型，或者事件种类来进行过滤，还可以通过IP的恶意活动或者恶意活动的等级来进行搜索。

    通过过滤器来进行搜索，如下图：

    点击Advanced Search，显示如下，可以在这里选择传感器以及事件时间，优先级，IP条件等等：

对日志进行归一化处理后如下图所示：

参考书目：开源安全运维平台Ossim最佳实战，李晨光著。