用於分析和處理Snort收集的入侵數據並以圖形化方式展示出來的主要工具就是SIEM控制檯,SIEM控制檯以一種比Snort輸出的原始數據更加容易理解的方式給出報警和入侵數據,如下圖所示:
數據按事先排列好的邏輯方式排列,這樣有助於安全人員快速決策。數據包以易於理解的方式展示出來,這樣可以很清楚的記錄了包中承載的信息。除此之外,還能夠清晰展示數據包頭信息,如下圖所示,這相當於運行了WireShark抓包工具。
由於性能的原因,不可能將含有過多特徵的文件信息存儲到數據庫裏,在OSSIM控制檯中每次顯示警報時,把特徵相對應的外部鏈接也顯示出來。如果希望詳細瞭解某個報警,則可以到專門的URL鏈接上查詢。
可以看到最前面深藍色的圖表
這些地址是如何定義的呢?我們可以在WebUI的Configuratin-->Threat Intelligence-->Date Source下方的"Manage Reference"按鈕中找到答案,顯示如下:
參考書目:開源安全運維平臺Ossim最佳實戰,李晨光著。
