在OSSIM系統SIEM事件收集中,常會收到重複日誌,例如,攻擊者對網絡上的某主機進行端口掃描,在每次探測中,系統會創建單獨的事件,每掃描一次IDS很可能會創建單獨的日誌,而這些大量重複事件的源IP和源端口在每個事件中不同,而目標IP地址(被攻擊的服務器)在每個事件中基本相同,這些重複的數據對安全人員意義不大,管理員需要看到具有不同特徵的事件序列。更重要的是對某個事件重複了多少次,頻率是多少,路徑爲Dashboaards-->Overview-->Security,如下圖所示
OSSIM系統會根據日誌的特徵碼進行自動分類,還可以統計源地址和目標地址的數量,值得注意的是,源IP地址不足以確保唯一性,很可能是僞造的,而目標地址通常在攻擊期間保持不變,這有助於安全人員結合特徵碼來分析故障。如下圖所示,截圖列舉了OSSIM系統中的SIEM消除重複事件的結果,默認按特徵碼分組。
在SIEM控制檯中具有強大的篩選功能,可以按照不同事件,不同的地址(源地址,目的地址),不同的國家顯示,如下圖。注意在選擇grouped時,系統會對alienvault_siem庫中acid_event表進行select操作,當某類事件數量達到千萬級別時,等待時間比較長。
我們可以舉一個簡單的例子:時間通過IP和目的端進行分組,顯示如下,並右擊IP地址,可以看到很多的選項,例如:來自這個主機的所有事件,流量信息等等。
點擊來自這個主機的所有事件,顯示如下:
我們選取131的IP,鼠標左鍵點擊,顯示結果如下:
這裏顯示了非常詳細的信息,這些信息當中主要是針對檢測公網地址才起作用。在這張圖中,我們可以看到有一個External欄目,在這個欄目中,我們可以找到很多關於IP的背景資料,這些資料來自於不同的組織對這個IP檢測的測評結果,對我們判斷一個陌生IP的信譽度,有非常重要的幫助。
關於SIEM中顯示不同類別日誌小編就講解到這裏了。
參考書目:開源安全運維平臺Ossim最佳實戰,李晨光著。
