Alert是可視化網絡攻擊報警Alarm分析。圖形化Alarm報警由關聯指令經關聯分析(交叉關聯,序列關聯)引擎生成,根據來源於Snort以及OSSEC等數據源進行報警。
(二)Alarm生成步驟:
(1) 日誌收集到OSSIM
(2) 將日誌統一進行歸一化處理後生成事件
(3) 事件導入關聯引擎
(4) 根據關聯規則匹配出新的事件
(三)點擊Search and Filter這裏可以看到不同的搜索和過濾條件,傳感器,IP,日期等等。顯示如下:
(四)報警事件分類:
看這裏有不同種類的報警事件,一共分爲5類:
系統損壞或者破壞:屬於系統危害類安全事件。(感染性化學標誌)
漏洞利用和安裝:屬於惡意代碼類安全事件。(警鈴)
攻擊:表示正在發生入侵,攻擊類安全事件。(瞄準鏡)
偵查和探測:屬於掃描類安全事件,使用嗅探或模擬業務的方式獲得系統以及完了信息的各類事件。(雷達掃描圖標)
環境意識:這類行爲的告警優先級最低,通常是軟件升級或者電驢BT等P2P軟件下載報警,包含易受攻擊的軟件和可疑通信。
點擊藍色圓點可以看到攻擊的列表,便於管理人員對該攻擊進行分析。
點擊後面的放大鏡可以看到具體詳細的事件信息。
參考文獻:開源安全運維平臺Ossim最佳實戰,李晨光著。