OSSIM5.0 重要日志加入到知识库

最新推荐文章于 2022-04-25 17:08:47 发布
最新推荐文章于 2022-04-25 17:08:47 发布
阅读量1.3k 收藏
点赞数
分类专栏: 计算机网络 文章标签: OSSIM 日志 KDB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaigexiaobo/article/details/78810677
版权

    OSSIM系统中采用了共享信息的接口,称之为知识库(KBD),知识库是具有一定智能的信息安全管理软件,在开源领域中目前只有OSSIM系统具有基于知识的系统。在此 之前进行安全评估和漏洞分析时,经常会碰到对于海量信息查找缓慢,查找效率底下等问题,如今在Ossim中使用了知识库提高了我们分析问题的速度。知识库往往通过关联分析引擎联动,为应急响应提供了知识保障。


  应用之一是可以将漏洞扫描的结果作为IDS系统的数据源。我们打开SIEM控制台查看事件信息就能发现。如下图,


  我们单击第一条可以看到


    图中原始日志是日志规范化过程中的一部分,原始日志是必须保留的。下面我们看看它提供了哪些信息,事件的下方知识库信息,这些信息可以由用户自己添加。

  首先,通过选择日志左侧方框选项,在单击右键就能加入到相应的知识库中,如下图所示。

   

  

进入到Configuration下面的threat Intelligence,点击最后面的Knowledge Base,点击下面的New Document,向知识库中添加新的条目。如下图:


点击new Document之后的效果:


在新增的知识库中的条目还可以上传图片,可以是系统的故障图。

通过收集这些日志信息,并放到OSSIM的知识库中,长期积累,是一笔宝贵财富,也为今后网络故障诊断和取证留下重要的判断依据。

参考书目:开源安全运维平台Ossim最佳实战,李晨光著。

树上骑个猴
关注
专栏目录
ossim5.0安装
blubird的专栏
03-22 1980
1、下载镜像文件 下载最新的OSSIM版本:http://downloads.alienvault.com/c/download?version=current_ossim_iso 2、虚机配置 为OSSIM环境创建虚机时,将安装光盘镜像文件的路径设置为下载好的镜像文件即可,启动虚拟机 3、启动虚拟机, OSSIM配置 创建虚机的过程中,OSSIM的配置流程如下:
OSSIM5.0 深入使用SIEM控制台
Alan Zhuang的博客
01-03 1721
用于分析和处理Snort收集的入侵数据并以图形化方式展示出来的主要工具就是SIEM控制台,SIEM控制台以一种比Snort输出的原始数据更加容易理解的方式给出报警和入侵数据,如下图所示:        数据按事先排列好的逻辑方式排列,这样有助于安全人员快速决策。数据包以易于理解的方式展示出来,这样可以很清楚的记录了包中承载的信息。除此之外,还能够清晰展示数据包头信息,如下图所示,这相当于运行了
利用OSSIM收集分析远程apache日志(视频教程)
weixin_34272308的博客
06-20 128
利用OSSIM收集分析远程apache日志(视频教程)环境:OSSIM Server : 192.168.11.228 日志搜集器Http Server   : 192.168.11.15     日志发生器 实验拓扑: 功能:通过设置192.168.11.15机器上的rsyslog转发到192.168.11.228实现日志收集,利用apache 插件归一化处理并入库分析。时长: 约14分钟浏览地...
最新-开源可视化安全管理平台Ossim5.0使用「预览」
weixin_33860147的博客
04-22 517
最新-开源可视化安全管理平台Ossim5.0使用「预览」                       你还在为安装日志分析系统而苦恼吗?你还费尽力气尝试各种流量监控系统吗?你还在花重金购买漏洞扫描系统吗?你的领导还在不停地催促你索要各种监控分析报表吗?当你真正用上OSSIM平台之后,才发现经过多年努力,建设的这些系统无非是一个个安全孤岛,过眼云烟而已,数据既不能自动共享,更无法做到关联分析。下面为...
开源OSSIM系统具备日志采集和分析的能力吗?
李晨光原创IT博客
11-12 517
首次安装完OSSIM系统之后,进入WebUI界面发现RAWLogs菜单下没有内容,不免会心存疑虑,开源OSSIM是否具备日志采集和分析的能力。 RAW LOGS是一个原始日志可视化展示的模块,在商业版的OSSIM提供,开源版不提供此功能。开源版OSSIM具备完整的日志采集处理和分析的能力。 下面我们以收集分析Linux下的SSH日志为例进行说明。以下是一台以 All IN ONE 模式安装的开源OSSIM 5.0为例。 Linux下SSH远程登录服务器失败的日志记录在/var/log/aut
OSSIM5.0 Wizard
Alan Zhuang的博客
12-13 559
小编今天分享一些关于安装OSSIM的经验,首先使用的Dell 740 R的服务器,在上面安装了VMware ESXi虚拟机,在这个虚拟机上安装OSSIM5.0.0。安装后结果如图。  我在服务器上接入了三根网线,配置3块网卡,之后在进入Ossim wizard 过程如下,首先是配置网络接口,第一个接口是管理口,第二个接口作为检测口,第三个接口作为日志口,如下: 接下来配
OSSIM中文汉化版
03-06
2. **实时警报**:通过对收集到的日志数据进行实时分析OSSIM能及时发现异常行为,生成警报,提醒管理员采取行动。 3. **网络测绘**:使用Nmap等工具进行网络扫描,绘制网络拓扑图,以便了解网络结构和设备状态。 ...
【网络安全】OSSIM平台网络日志关联分析实战
HBohan的博客
04-25 5093
一、网络安全管理中面临的挑战 目前很多组织都已经拥有了防火墙、入侵检测、防病毒系统、网管软件,但是网络管理者在安全追根溯源及安全管理面临如下挑战: 1 .安全设备和网络应用产生的安全事件数量巨大,误报严重。一台IDS系统一天产生的安全事件数量近成千上万。通常99%的安全事件都是误报。真正有威胁的安全事件淹没于海量信息中难于识别。 安全事件之间存在的横向和纵向方面(如不同空间来源、时间序列等)的关系未能得到综合分析,因此漏报严重,不能实现实时预测。一个攻击活动之后常常接着另一个攻击活动,前一个攻击活动为后
OSSIM技术研究
12-01
OSSIM Server负责处理数据的聚合、分析和报告,而Sensor则负责收集原始数据,并将其发送到OSSIM Server。 在部署OSSIM时,需要考虑几个方面: - 部署OSSIM后的安全收益:OSSIM提供包括资产管理、漏洞扫描、入侵检测...
Ossim java_日志收集关于OSSIM和ELK?
weixin_29985807的博客
02-19 224
如果要用开源,自己动手,就用ELK。如果想省事,追求更多功能,又不缺钱,用Splunk。(如果日数据量低于500M,Splunk可免费用)具体参考 :增加一些初步感受:关于开源:OSSIM的code在 ossimlabs/ossim 早期的代码好像还在sourceforge上也就是说,这个项目相对比较老,当然你也可以说它更成熟。关于UI这个UI看上去离现代的WebUI差距比较大,至少在这个开源版本...
知识库管理系统解决方案
02-11
知识库系统方案ppt. 主要是对企业的文档和知识的管理系统
实现ossim中文化文档
05-23
ossim系统的中文化文档说明,,ossim系统的中文化文档说明
VMware下OSSIM 5.0安装和使用小结
热门推荐
崔炳华
05-04 1万+
1. 概述 OSSIM即开源安全信息管理系统(Open Source Security Information Management),是目前一个非常流行和完整的开源安全架构体系。 OSSIM通过将开源产品进行集成,从而提供一个能够实现安全监控功能的、集中式、有组织的基础框架平台。 2. 下载镜像文件 AlienVault公司发布的OSSIM镜像文件使用的是裁减过后的Debian 6 64
OSSIM5.0 SIEM 要素
Alan Zhuang的博客
01-03 614
这节课主要讲解OSSIMSIEM要素:   1 元数据:元数据是一种定义性数据,这些数据提供了有关Snort收集的入侵检测的数据信息。   2 传感器:对于分布式的OSSIM系统而言有两个以上的Sersor,这些传感器部署在不同的网段,可以方便的查询到不同传感器所收集的数据。    3 报警组:报警组的作用是形成报警组的集合。允许报警分类显示出来,多用于集中报警。可以把系统中一些试探
利用OSSIM收集分析远程apache日志
weixin_34128534的博客
11-10 261
利用OSSIM收集分析远程apache日志(视频教程) 环境: OSSIM Server : 192.168.11.228 日志搜集器 Http Server : 192.168.11.15 日志发生器 实验拓扑: 功能: 通过设置192.168.11.15机器上的rsyslog转发到192.168.11.228实现日志收集,利用...
ossim收集linux日志,ossim日志处理流程
weixin_42510768的博客
05-03 446
设备把日志信息以syslog的形式发给agent,日志存储在agent上面的/var/log/xxx.log下面,agent调用/etc/ossim/agent/plugins下面对应的xxx插件来/var/log/xxx.log下面取对应的日志,然后根据插件里面写的正则表达式来提取日志的关键字段发给server,server再将日志分析之后在ossim上面呈现出来/etc/ossim/agent...
ossim agent的插件和日志格式化过程
anzhuangguai的专栏
10-13 2129
主要流程: 1 设备把日志信息以syslog的形式发给agent, 2 日志存储在agent上面的/var/log/xxx.log下面, 3 agent调用/etc/ossim/agent/plugins下面对应的xxx插件来/var/log/xxx.log下面取对应的日志, 4 然后根据插件里面写的正则表达式来提取日志的关键字段发给server,server再将日志
OSSIM 介绍
Alan Zhuang的博客
12-06 5705
(一)介绍    OSSIM (Open Source Security Information Management)翻译为开源安全信息管理系统,它是一个开源安全信息和事件的管理系统,集成了一系列的能够帮助管理员更好的进行计算机安全,入侵检测和预防的工具。   该项目开始于2003 Dominique Kar,Julio Casa,以及后来的Alberto Román之间的合作。2008成为
数据结构 栈与队列(二) 栈的基本操作
胡乱写点什么
02-12 1099
数据结构(五) 学习数据结构与算法过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— 栈的基本操作 —— 1.题目描述 栈是一种重要的数据结构,它具有push k和pop操作。push k是将数字k加入到栈中,pop则是从栈中取一个数出来。 栈是后进先出的:把栈也看成横向的一个通道,则push k是将k放到栈的最右边,而pop也是从栈的最右边取出一个数。 假设栈当...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值