萨达 发表于 2020-4-3 10:02:21

信息安全管理工具: OSSIM信息安全管理事件关联实战讲解

OSSIM信息安全管理事件关联是OSSIM关联分析为核心,批量处理能力相关的开发活动,主要是现在需要存储从设备日志收集和相关匹配和输出,然后通过Web界面显示。从时间上来看,不是整个过程的相关分析不连续,系统的实时性较高,而开发的系统是基于规则的,Ossim高转速发动机匹配和多套规则分析,相关分析结果调用模式。因此,关联引擎系统是一个典型的数据处理系统,我们必须依靠强大的数据库支持,在开源开发的系统采用的是基于MongoDB数据库的mysql5.6用于商业版。
    充分利用各种安全设备的检测能力,其致命的弱点,集中处理是用大量的数据分析,巨大的冗余,独立,安全事件显然不能直接作为反应的基础上,同时保护了网络的安全性也有实时性的要求,为解决上述问题基本方式是处理网络安全事件的相关性,相关性分析是什么,还有你需要知道的几个基本概念。
1)安全事件:本书开头提到安全事件,包括服务器安全日志、应用程序告警和日志。
2)数据源(DateSource),数据源是一个安全事故,包括防火墙,入侵检测系统,一个重要的主机、路由及交换设备。
3)数据关联:多个数据源组合(关联),(相关性)或组合(组合)分析,以获得高质量的信息。它结合了不同空间设备的日志,将不同时间序列的问题转化为特定的关联方法,最后确定了刀具分析方法。当然,这只是一个广泛的安全事件关联方法,后面章节还将专门为OSSIM解释的具体规则。
4)交叉相关数据关联:它是最常见的方式,可以关联,安全事件和网络拓扑,开放系统,服务设备的脆弱性,成功的可能性攻击分析。通过使用这种方法,一些威胁可以在OSSIM关联规则的系统检测和自动响应(如报警等)是可以实现的。
    现在很多安全管理人员抱怨,入侵检测、防火墙、防病毒系统、网络管理软件已经设置,为什么网络安全管理仍然很麻烦。当前网络安全管理人员面临以下挑战:
1)安全事件安全设备和网络应用号,IDS严重误报。一个入侵检测系统,安全事故的数量产生成千上万的一天,通常99%的安全事件都是假阳性,而少数真正威胁的事件淹没在信息的安全性,很难确定。DevOps
2)在安全事件(如不同来源的水平和垂直空间之间,时间序列之间的关系)没有得到全面的分析,所以情况严重,不能实现实时预测。攻击一次又一次的攻击后,前一次的攻击活动为后者提供了基本的条件;安全事件中攻击了多个安全设备;许多不同来源的安全事件是协同攻击,缺乏有效的综合分析。
3) 安全管理人员缺乏全局实时感知整个网络安全态势。

以下是一些例外:
    完整性,文件完整性监控工具来识别系统的ls,ps,netstat,su和主程序大小改变时,可以识别攻击;
    系统:用户帐户被修改和一些异常登录行为是不能解释的,在不可能的地方出现了一个新的文件目录,或丢失的文件、目录大小迅速增加,突然降低,MD5签名不匹配,这些迹象都明确表示系统已被入侵。日志中,系统日志减少,日志出现在未知条目中,异常的中断消息显示系统已被攻破。流量,大量节点增加流量可能遭受拒绝服务攻击。

東東 发表于 2020-11-25 16:18:55

超赞的资料,学习中
页: [1]
查看完整版本: 信息安全管理工具: OSSIM信息安全管理事件关联实战讲解