OSSIM5.0 SIEM 要素

  这节课主要讲解OSSIMSIEM要素：

  1 元数据：元数据是一种定义性数据，这些数据提供了有关Snort收集的入侵检测的数据信息。

  2 传感器：对于分布式的OSSIM系统而言有两个以上的Sersor，这些传感器部署在不同的网段，可以方便的查询到不同传感器所收集的数据。 

  3 报警组：报警组的作用是形成报警组的集合。允许报警分类显示出来，多用于集中报警。可以把系统中一些试探性攻击，零碎的问题报警集中在一起。通过这个报警组功能，可以很快搜索到黑客攻击的信息。下两个图给出了未分组和分组后的效果比较。

分组前：

  

   分组后：

  4 分类：这种分类报警显示，在重新发现同一类攻击的早期行为方面特别有用。

  事件分类的详细分类，我们可以在Web UI的Configuration-->Threat Intelligence-->Taxonomy菜单中查看，并能快速筛选内容：

   

  5 特征：特征码的作用是用来查询与特征值匹配的报警。

  6 报警时间：该功能是为了查询特定时间内的报警，在各个时间段都会有大量的报警产生，可以通过时间选项，进一步缩小查询的范围。如下图：

  7 IP头数据：我们时常需要分析IP头数据，包含IP数据报的头部数据。从包头我们可以得到以下的信息：

    

  8 传输层协议：该部分包含了TCP和UDP协议的信息，信息如下：

  9 有效负载：有效载荷包含了应用程序要是用的数据，所有的报警中搜索存储在有效载荷中的数据串。

  10 通过逻辑运算符查询：SIEM控制台使用了一套扩展的逻辑运算符来建立查询。如下图：

  参考书目：开源安全运维平台Ossim最佳实战，李晨光著。