недавно мы переместили нашу установку NIDS из StrataGuard в новый выпуск OSSIM 2.1 чтобы воспользоваться дополнительными функциями (Nagios, ntop, Nessus / OpenVas и т. д.), которые он предоставляет в дополнение к простому Snort. Пока что я очень впечатлен OSSIM, но также немного потрясен сложностью и огромным количеством предоставленной информации.
StrataGuard упростил настройку и настройку правил, например чтобы исключить или указать комбинации адресов источника / назначения и портов для данного правила, мне очень трудно понять, как настроить правила в OSSIM из различных источников событий (Snort, rrd, arpwatch, directive_alert и т. д.) . Документация в настоящее время довольно скудна и, кажется, мало что говорит об этом.
У меня вопрос: я чего-то упускаю, т.е. следует ли мне подходить на другом уровне? Должен ли я настраивать только элементы политики и корреляции и позволять событиям вливаться, даже если я знаю, что это ложные срабатывания? Или есть простой способ настроить правила для каждого датчика?
Спасибо за вашу помощь.
Обновить: Хорошая обзорная статья из Linux Journal был доступен через веб-сайт AlienVault это объясняет процесс корреляции более подробно, чем я видел, и дает хороший общий обзор системы OSSIM.
Обновление ноябрь 2012 г .: Мы пробовали другие решения для ведения журналов и / или мониторинга с открытым исходным кодом за 3+ года с тех пор, как я опубликовал этот вопрос (Icinga, ZenOSS и Splunk в указанном порядке), без особого удовлетворения, поэтому я недавно вернулся к игре с OSSIM. В настоящее время он обновлен до версии 4.0, и в целом инструменты, похоже, намного улучшены и лучше интегрированы, чем предыдущие версии, особенно в части ведения журнала. Я нашел вебинары «OSSIM Made Simple», предоставленные Alienvault, очень полезными, по крайней мере, при настройке его в качестве репозитория системного журнала / OSSEC. Все еще пытаюсь справиться с правилами и корреляцией событий / предупреждений для Snort / ntop в зеркалированном трафике - я думаю, что некоторые инструменты в платной / некоммунизационной версии могут сделать это проще, но это не входит в наш бюджет.
Я сейчас борюсь с той же проблемой. Ближе всего к официальным документам по настройке я нашел:
Для этого есть как минимум три способа:
а. Фильтрация в источнике (отключение правила snort, установка фильтра в стиле tcpdump в p0f и т. Д.)
б. Политика
c. Консолидация агентов (недокументированная)
Я начал работать над удалением ложных срабатываний с помощью политик - посмотрим, как пойдет.
Джош
Согласно статье, на которую я ссылался в обновлении, установка приоритета правила на 0 заставляет OSSIM игнорировать правило. Хотя это краткий ответ на мой вопрос, оказывается, что настройка событий и корреляций намного сложнее (хотя и более мощная), чем настройка индивидуальных правил.
Веб-сайт AlientVault заявляет, что OSSIM версия 2.2 будет выпущена очень скоро, и после просмотра онлайн-слайдов о том, что нового, похоже, есть несколько отличных обновлений (особенно приятно, что веб-интерфейс по умолчанию будет https). Надеюсь, что последует хорошая документация.
Я нашел это быстрым поиском.
https://www.ossim.net/forum/index.php?t=msg&goto=435&S=835a0b9097e14e3b306ba1fae2a94de9#msg_435
Надеюсь, это поможет вам принять решение.
С Уважением,
Дэвид.