用于分析和处理Snort收集的入侵数据并以图形化方式展示出来的主要工具就是SIEM控制台,SIEM控制台以一种比Snort输出的原始数据更加容易理解的方式给出报警和入侵数据,如下图所示:
数据按事先排列好的逻辑方式排列,这样有助于安全人员快速决策。数据包以易于理解的方式展示出来,这样可以很清楚的记录了包中承载的信息。除此之外,还能够清晰展示数据包头信息,如下图所示,这相当于运行了WireShark抓包工具。
由于性能的原因,不可能将含有过多特征的文件信息存储到数据库里,在OSSIM控制台中每次显示警报时,把特征相对应的外部链接也显示出来。如果希望详细了解某个报警,则可以到专门的URL链接上查询。
可以看到最前面深蓝色的图表
这些地址是如何定义的呢?我们可以在WebUI的Configuratin-->Threat Intelligence-->Date Source下方的"Manage Reference"按钮中找到答案,显示如下:
参考书目:开源安全运维平台Ossim最佳实战,李晨光著。
