我们最近将 NIDS 安装从 StrataGuard 移至新的 OSSIM 2.1 版本,以利用它提供的除 Snort 之外的附加功能(Nagios、ntop、Nessus/OpenVas 等)。到目前为止,我对 OSSIM 印象深刻,但也对所提供的复杂性和大量信息感到有些不知所措。
StrataGuard 使调整和配置规则变得非常容易,例如为给定规则排除或指定源/目标地址和端口的组合,我很难弄清楚如何从不同的事件中调整 OSSIM 中的规则源(Snort、rrd、arpwatch、directive_alert 等)。目前该文档非常稀少,似乎对此并没有多说。
我的问题是,我是否遗漏了什么,即我应该接近不同的水平吗?我是否应该只配置 Policy 和 Correlation 元素,让事件涌入,即使我知道它们是误报?或者是否有一种直接的方法来调整每个传感器的规则?
谢谢你的帮助。
更新: Linux Journal 上的一篇不错的评论文章已通过 AlienVault 网站提供,它比我看到的更深入地解释了关联过程,并对 OSSIM 系统进行了很好的整体评论。
2012 年 11 月更新:自从我发布这个问题(Icinga、ZenOSS 和 Splunk 按此顺序)以来,我们在 3 年多的时间里尝试了其他开源日志记录和/或监控解决方案,但没有得到任何满意,所以我最近又回来玩了与 OSSIM。它目前达到了 4.0 版,与以前的版本相比,这些工具总体上似乎有了很大的改进和更好的集成,尤其是在日志记录端。我发现 Alienvault 提供的“OSSIM Made Simple”网络研讨会非常有用,至少在将其设置为 syslog/OSSEC 存储库方面。仍在尝试处理镜像流量上 Snort/ntop 的规则和事件/警报相关性——我认为付费/非“社区”版本中的一些工具可能会使这更容易,但这不在我们的预算之内。
