我们最近将 NIDS 安装从 StrataGuard 移至新的 OSSIM 2.1 版本,以利用它提供的除 Snort 之外的附加功能(Nagios、ntop、Nessus/OpenVas 等)。到目前为止,我对 OSSIM 印象深刻,但也对所提供的复杂性和大量信息感到有些不知所措。
StrataGuard 使调整和配置规则变得非常容易,例如为给定规则排除或指定源/目标地址和端口的组合,我很难弄清楚如何从不同的事件中调整 OSSIM 中的规则源(Snort、rrd、arpwatch、directive_alert 等)。目前该文档非常稀少,似乎对此并没有多说。
我的问题是,我是否遗漏了什么,即我应该接近不同的水平吗?我是否应该只配置 Policy 和 Correlation 元素,让事件涌入,即使我知道它们是误报?或者是否有一种直接的方法来调整每个传感器的规则?
谢谢你的帮助。
更新: Linux Journal 上的一篇不错的评论文章已通过 AlienVault 网站提供,它比我看到的更深入地解释了关联过程,并对 OSSIM 系统进行了很好的整体评论。
2012 年 11 月更新:自从我发布这个问题(Icinga、ZenOSS 和 Splunk 按此顺序)以来,我们在 3 年多的时间里尝试了其他开源日志记录和/或监控解决方案,但没有得到任何满意,所以我最近又回来玩了与 OSSIM。它目前达到了 4.0 版,与以前的版本相比,这些工具总体上似乎有了很大的改进和更好的集成,尤其是在日志记录端。我发现 Alienvault 提供的“OSSIM Made Simple”网络研讨会非常有用,至少在将其设置为 syslog/OSSEC 存储库方面。仍在尝试处理镜像流量上 Snort/ntop 的规则和事件/警报相关性——我认为付费/非“社区”版本中的一些工具可能会使这更容易,但这不在我们的预算之内。
我现在正在努力解决同样的问题。我发现的最接近官方调优文档的是:
至少有三种方法可以做到这一点
:在源头过滤(禁用 snort 规则,在 p0f 处设置 tcpdump 样式的过滤器等)
b.政策
C. 代理合并(未记录)
我已经开始致力于通过政策消除误报——我们将看看它是如何进行的。
乔什
我通过快速搜索找到了这个。
https://www.ossim.net/forum/index.php?t=msg&goto=435&S=835a0b9097e14e3b306ba1fae2a94de9#msg_435
希望这可以指导您解决问题。
问候,
大卫。
根据我在更新中引用的文章,将规则的优先级设置为 0 会导致 OSSIM 忽略该规则。虽然这是对我的问题的简短回答,但事实证明,配置事件和相关性比调整单个规则要复杂得多(尽管也更强大)。
AlientVault 网站表示 OSSIM 2.2 版将很快发布,在查看了有关新功能的在线幻灯片后,似乎有一些很棒的更新(特别高兴看到默认情况下 Web 界面将是 https)。希望接下来会有一些好的文档。