我已经安装了OSSIM服务器,我想要检索由远程Nagios服务器生成的警报,以分析它们并执行安全事件的关联。
在实施之前,我想知道正确的做法是什么。
谢谢!
更新:
它“几乎”起作用,我可以看到NAGIOS警报通过rsyslog正确转发,但是OSSIM将它们视为系统日志的正常日志,因此不会使用NAGIOS插件进行处理。 由于我必须创buildOSSIM规则来关联NAGIOS警报,所以我绝对需要使用NAGIOS插件来对待NAGIOS警报。
下面是我提出的几种可能的解决scheme:开发一种插件来读取系统日志日志,提取来自远程NAGIOS的日志并将它们发送到OSSIM。 为OSSIM开发插件有多复杂? configurationOSSIM并将“embedded”NAGIOSreplace为远程的。 那可能吗? 如果是这样,怎么样? configurationOSSIM,使其可以使用两个NAGIOS,本地和远程。 那可能吗? 如果是这样,怎么样? 通过NSCA协议将远程NAGIOS的警报推送到本地。 这会工作吗? 创build分布式(DNX)NAGIOS系统,并将本地NAGIOSconfiguration为主,将远程configuration为从属。 这会工作吗? 你们有什么感想? 哪一个解决scheme可以工作? 你们有更好的主意吗?
谢谢。
您可以将Nagios设置为login到系统日志,然后configuration它(例如rsyslog)以将事件推送到OSSIM(其中rsyslog已启用以接收远程日志)。
无论如何,您可能想要在Nagios框中使用OSSEC,但仅仅为了将事件导入OSSIM才是必要的。