我们最近将我们的NIDS安装从StrataGuard移到了新的OSSIM 2.1版本 ,以便利用除了Snort之外的附加function(Nagios,ntop,Nessus / OpenVas等)。 到目前为止,OSSIM给我留下了非常深刻的印象,同时也让我们对所提供的信息的复杂性和绝对数量感到有些不知所措。
在StrataGuard中,调整和configuration规则非常容易,例如,为给定规则排除或指定源/目标地址和端口的组合,我很难搞清楚如何从不同事件中调整OSSIM中的规则来源(Snort,rrd,arpwatch,directive_alert等)。 目前这个文档相当稀less,似乎并没有多说这个。
我的问题是,我错过了什么,也就是说,我应该在不同的层面上接近吗? 我是否应该仅configuration策略和相关元素,让事件涌入,即使我知道它们是误报? 还是有一个简单的方法来调整每个传感器的规则?
谢谢你的帮助。
更新:来自Linux Journal的一篇很好的评论文章已经通过AlienVault网站提供 ,它比我所看到的更深入地解释了关联过程,并且提供了对OSSIM系统的全面评论。
2012年11月更新:自从我发布这个问题(Icinga,ZenOSS和Splunk依次)以来,我们在3年多的时间里尝试了其他的开源日志logging和/或监控解决scheme,所以我最近又回来玩了与OSSIM。 目前它的版本高达4.0,而整体上看,这些工具似乎比之前的版本有了很大的改进和更好的集成,尤其是在日志logging方面。 我发现由Alienvault提供的'OSSIM Made Simple'networking研讨会非常有帮助,至less在设置为系统日志/ OSSEC存储库时非常有帮助。 仍然试图在镜像stream量上处理Snort / ntop的规则和事件/警报相关性 – 我认为付费/非“社区”版本中的某些工具可能会使这更容易,但这不在我们的预算之内。
我现在正在同一个问题上搏斗。 我发现最接近官方文档的是:
至less有三种方法可以做到这一点:
一个。 在原始过滤(禁用snort规则,在p0f设置tcpdump风格的filter等)
湾 政策
C。 代理合并(无证)
我已经开始致力于通过政策消除误报,我们将看到它是如何发展的。
玩笑
我通过快速searchfind了这个。
https://www.ossim.net/forum/index.php?t=msg&goto=435&S=835a0b9097e14e3b306ba1fae2a94de9#msg_435
希望这可以引导你一个决议。
问候,
大卫。
根据我在更新中引用的文章,将规则的优先级设置为0会导致OSSIM忽略该规则。 虽然这是我的问题的简短答案,事实certificateconfiguration事件和关联比调整个别规则复杂得多(虽然也更强大)。
AlientVault网站指出,OSSIM 2.2版本很快就会发布,查看在线幻灯片的新function后,看起来好像有一些很棒的更新(特别高兴地看到web界面默认为https)。 希望一些好的文档将随之而来。