Как настроить сенсорные правила в OSSIM

Question

Как настроить сенсорные правила в OSSIM

Недавно мы переместили нашу установку NIDS из StrataGuard в новую версию OSSIM 2.1, чтобы воспользоваться дополнительными функциями (Nagios, ntop, Nessus/OpenVas и т. д.), которые она предоставляет в дополнение только к Snort. До сих пор я очень впечатлен OSSIM, но также немного поражен сложностью и огромным количеством предоставляемой информации.

В то время как StrataGuard позволяет очень легко настраивать и настраивать правила, например, исключать или указывать комбинации адресов источника / назначения и портов для данного правила, мне очень трудно понять, как настроить правила в OSSIM из другого события. источники (Snort, rrd, arpwatch, directive_alert и т. д.). Документация довольно скудная в настоящее время и, кажется, не говорит об этом много.

У меня вопрос, я что-то упускаю, то есть должен ли я подойти на другой уровень? Должен ли я настраивать только элементы "Политика" и "Корреляция" и позволять событиям появляться, даже если я знаю, что они являются ложными срабатываниями? Или есть простой способ настройки правил для каждого датчика?

Спасибо за вашу помощь.

Обновление: на веб-сайте AlienVault появилась хорошая обзорная статья из Linux Journal, которая более подробно объясняет процесс корреляции, чем я видел, и предоставляет хороший общий обзор системы OSSIM.

Обновление от ноября 2012 года. Мы пробовали другие решения для ведения журналов и / или мониторинга с открытым исходным кодом в течение 3+ лет, с тех пор как я разместил этот вопрос (Icinga, ZenOSS и Splunk в таком порядке) без особого удовлетворения, поэтому недавно я вернулся к игре. с OSSIM. В настоящее время он до версии 4.0, и в целом инструменты, кажется, значительно улучшены и лучше интегрированы, чем предыдущие версии, особенно в конце ведения журнала. Я считаю, что вебинары "OSSIM Made Simple", предоставляемые Alienvault, очень полезны, по крайней мере, при настройке их в качестве репозитория syslog/OSSEC. Все еще пытаюсь разобраться в правилах и корреляции событий / предупреждений для Snort/ntop для зеркального трафика - я думаю, что некоторые инструменты в платной / не "общественной" версии могли бы сделать это проще, но это не в нашем бюджете.

1

snort intrusion-detection ossim

Источник

nedm 03 сен '09 в 20:06

3 ответа

Другие вопросы по тегам snort intrusion-detection ossim

Josh Brower 03 окт '09 в 01:51 2009-10-03 01:51 · Answer 1 · 2009-10-03 01:51

Я борюсь с той же проблемой прямо сейчас. Ближайшие официальные документы по тюнингу, которые я нашел, это:

Есть как минимум три способа сделать это:
а. Фильтрация в источнике (отключение правила snort, установка фильтра в стиле tcpdump на p0f и т. Д.)
б. политика
с. Консолидация агента (недокументированная)

Я начал работать над устранением ложных срабатываний с помощью политик - посмотрим, как все пойдет.

мистифицировать

r0ca 04 сен '09 в 01:53 2009-09-04 01:53 · Answer 2 · 2009-09-04 01:53

Я нашел это с помощью быстрого поиска.

https://www.ossim.net/forum/index.php?t=msg&goto=435&S=835a0b9097e14e3b306ba1fae2a94de9

Надеюсь, что это может помочь вам в решении.

С Уважением,

Дэвид.

0

Источник

r0ca 04 сен '09 в 01:53

nedm 15 фев '10 в 19:57 2010-02-15 19:57 · Answer 3 · 2010-02-15 19:57

Согласно статье, на которую я ссылался в обновлении, установка приоритета правила в 0 заставляет OSSIM игнорировать правило. Хотя это краткий ответ на мой вопрос, оказывается, что настройка событий и корреляций гораздо сложнее (хотя и более мощная), чем настройка индивидуальных правил.

На веб-сайте AlientVault указывается, что версия 2.2 OSSIM будет выпущена очень скоро, и после просмотра онлайн-слайдов о том, что нового, похоже, что есть несколько замечательных обновлений (особенно приятно видеть, что веб-интерфейс по умолчанию будет https). Надеюсь, что будет хорошая документация.