SIEM5.0 中显示不同类别日志

最新推荐文章于 2021-09-15 10:54:56 发布
最新推荐文章于 2021-09-15 10:54:56 发布
阅读量1.2k 收藏
点赞数
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaigexiaobo/article/details/78830446
版权

  在OSSIM系统SIEM事件收集中,常会收到重复日志,例如,攻击者对网络上的某主机进行端口扫描,在每次探测中,系统会创建单独的事件,每扫描一次IDS很可能会创建单独的日志,而这些大量重复事件的源IP和源端口在每个事件中不同,而目标IP地址(被攻击的服务器)在每个事件中基本相同,这些重复的数据对安全人员意义不大,管理员需要看到具有不同特征的事件序列。更重要的是对某个事件重复了多少次,频率是多少,路径为Dashboaards-->Overview-->Security,如下图所示


OSSIM系统会根据日志的特征码进行自动分类,还可以统计源地址和目标地址的数量,值得注意的是,源IP地址不足以确保唯一性,很可能是伪造的,而目标地址通常在攻击期间保持不变,这有助于安全人员结合特征码来分析故障。如下图所示,截图列举了OSSIM系统中的SIEM消除重复事件的结果,默认按特征码分组。


  在SIEM控制台中具有强大的筛选功能,可以按照不同事件,不同的地址(源地址,目的地址),不同的国家显示,如下图。注意在选择grouped时,系统会对alienvault_siem库中acid_event表进行select操作,当某类事件数量达到千万级别时,等待时间比较长。

  

  我们可以举一个简单的例子:时间通过IP和目的端进行分组,显示如下,并右击IP地址,可以看到很多的选项,例如:来自这个主机的所有事件,流量信息等等。


点击来自这个主机的所有事件,显示如下:


  我们选取131的IP,鼠标左键点击,显示结果如下:

  这里显示了非常详细的信息,这些信息当中主要是针对检测公网地址才起作用。在这张图中,我们可以看到有一个External栏目,在这个栏目中,我们可以找到很多关于IP的背景资料,这些资料来自于不同的组织对这个IP检测的测评结果,对我们判断一个陌生IP的信誉度,有非常重要的帮助。


关于SIEM中显示不同类别日志小编就讲解到这里了。

参考书目:开源安全运维平台Ossim最佳实战,李晨光著。

树上骑个猴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
日志标准化的分类
ducc20180301的博客
07-27 1110
引言 在企业内承担整体安全分析的产品一般是SIEM类产品,这类产品主要的作用是收集网络所有的安全日志并进行分析。在《运维必看:日志标准化必须面对的4类问题》介绍了日志标准化的一些原则和方法。有了原则和方法后就需要做更细致的分析。在细致分析,对日志进行标记统一的类别就非常重要。使用分类法创建日志分类的好处主要有: 厂商独立性,不同设备对同一个事物的描述往往不一样,通过统一的分类来屏蔽不同厂商的差异。 分析人员不需要记住环境所有设备的特定名称,只需要了解分类名称就好。对其他分析更容易、
SIEM浅析
weixin_43047908的博客
01-06 6096
目录前言作用工作原理日志管理流程SOAR 前言 SIEM ( Security Information Event Management,安全信息与事件管理) Gartner的定义:安全信息和事件管理(SIEM)技术通过对来自各种事件和上下文数据源的安全事件的实时收集和历史分析来支持威胁检测和安全事件响应。它还通过分析来自这些来源的历史数据来支持合规报告和事件调查。SIEM技术的核心功能是广泛的事件收集,以及跨不同来源关联和分析事件的能力。 SIEM技术已经存在了十多年,是从日志管理学科发展而来的。最初是基
浅析SIEM、态势感知平台、安全运营
热门推荐
学而思(xiejava的blog)
03-02 2万+
近年来SIEM、态势感知平台、安全运营心等概念炒的火热,有的人认为这都是安全管理产品,这些产品就是一回事,有人认为还是有所区分。那么到底什么是SIEM、什么是态势感知平台、什么是安全运营心,他们之间有什么联系和区别呢? 一、SIEM SIEM英文是security information and event managemen安全信息和事件管理 SIEM是一个由多个监视和分析组件组成的安全系统...
「小邓观点」如何选择一款性价比高的SIEM日志分析系统?
运维有小邓
08-19 343
今天小邓和您聊聊SIEM。随着网络攻击事件的不断增加,以及国家对企业在安全合规方面的监管力度越来越大,使得越来越多的企业开始或已经采用SIEM(安全信息和事件管理)系统。 一.什么是SIEM? 安全信息和事件管理(SIEM)系统能够为企业的安全人员提供对IT环境活动的洞察和跟踪记录。 SIEM技术已经存在了十多年,最初是从日志管理学科发展而来的。它结合了安全事件管理(SEM)和安全信息管理(SIM)技术。它可以对事件进行统一收集、关联、响应,以及用可视化的报表进行呈现,并对威胁进行监控。 二.
日志服务与SIEM(如Splunk)集成方案实战
weixin_34281477的博客
01-02 521
背景信息 目标 本文主要介绍如何让阿里云日志服务与您的SIEM方案(如Splunk)对接, 以便确保阿里云上的所有法规、审计、与其他相关日志能够导入到您的安全运维心(SOC)。 名词解释 LOG(SLS) - 阿里云日志服务,简写SLS表示(Simple Log Service)。SIEM - 安全信息与事件管理系统(Security Inform...
SIEM 买方指南-Splunk.pdf
06-25
SIEM 买方指南-Splunk.pdf
ManageEngine_EventLogAnalyzer_日志管理工具
05-14
EventLog Analyzer,日志审计管理可以对系统日志,网络设备日志,应用程序日志,安全软件等进行日志分析,有700多种内置日志源报表。
SIEM UBA Better Together.pdf
04-24
SIEM UBA Cybersecurity is business-critical and 58% of organizations reported that they planned to increase their cybersecurity spending throughout 2019.1 Unfortunately, a lot of this spending will go...
SIEM:SIEM的策略,技巧和程序
04-29
SIEM和其他安全工具开发用于内容创建(和淘汰)的工作流。 ...说明提供的检测覆盖率,并突出显示覆盖率差距作为要填补的目标。 ...根据组织需求消除或增加其他覆盖范围。 确保生成并记录正确的日志,以进行...
siem解决方案
10-15
 ArcSight 提供了一款可扩展、侵入程度最低的日志分析平台,能够出色地解决电信行业特有的很多监控挑战。电信企业如果能够满足新消费者和业务服务的需求,并规避网络安全威胁的相关风险,将可以建立更加强大的品牌,形成更加出色的竞争优势。全球范围内的电信企业正在使用 ArcSight 平台实现这一平衡,并提供安全的下一代服务。
SIEM之基于Splunk的日志监控
信息安全-企业安全-数据安全
09-15 374
0x0 概述 Splunk是什么? Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等。另一方面来说,Splunk是一个时间序列索引器,因为Splunk索引数据的时候,是基于数据时间戳把数据拆分成事件。 Splunk支持从任何IT设备和应用(服务器、路由交换、应用程序、数据库等)收集日志,支持对日志进行高效搜索、索引和可视化。可应用于:IT运营、安全合规、商业分析等。 Splunk功能概述 数据获取:Splunk支持各种格式(如XML、JSO
Gartner:2018年SIEM(安全信息与事件管理)市场分析
weixin_34353714的博客
12-17 1324
2018年12月3日,Gartner正式对外发布了2018年SIEM市场魔力象限分析报告。新的市场竞争格局基本成型,SIEM产品越来越注重威胁检测和响应,尤其是新型的检测方法和响应方式。所谓新型检测方法特指UEBA,及其他高级安全分析方法(如NTA、EDR、欺骗、威胁捕猎等);所谓响应方式特指Gartner提出的SOAR(Security Orchestration, Automation and...
日志服务与SIEM集成方案实战(二):syslog篇
weixin_34186950的博客
01-21 772
背景信息 背景 在日志服务与SIEM(如Splunk)集成方案(一),我们介绍了如何使用消费组的技术,实现稳定、高性能与可扩展的数据传输,并使用了SIEM的接口(例如Splunk的HEC)来对接。在现实,syslog也是一个常见的日志通道,大部分物理设备、交换机路由器以及服务器等,都支持通过syslog来发送日志,因此几乎所有的SIEM(如IBM ...
网路游侠:日志审计系统与SOC的区别
weixin_33904756的博客
04-14 449
日志审计系统是“我要什么” 主要收集各类设备的日志:路由器、防火墙、交换机、数据库等的日志 主要基于agent、syslog、snmp trap等 主要面向合规“审计”部分的要求 收集上来的一般是原始日志 相对而言,soc偏重运营、工单处理 是收集日志上来之后“我要怎么办” 如筛选日志审计系统报警级别“高”以上的日志 一线监控提交给二线监控,做分析,或...
​OSSIM事件分类/子类总结表
weixin_34127717的博客
06-24 74
OSSIM事件类/子类 CATEGORY/ SUBCATEGORY 总结表在数据源里可以查看详情,因为类和子类会显示SIEM。事件 类/子类数据源分类子类备注AccessACL DenyACL PermitConnectionClosedConnectionOpenedFile AccessFile BlockedFirewall DenyFirewall Misc EventFirewall...
Fortinet SIEM 设备被曝存在硬编码 SSH 公钥
smellycat000的专栏
01-21 315
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Fortinet 安全信息和事件管理器 FortiSIEM 的硬编码 SSH 公钥可被滥用于访问 FortiSIEM Sup...
AlienVault Ossim各版本镜像下载地址
ubggze6t的专栏
08-30 3353
AlienVault Ossim各版本镜像下载地址 下面将Ossim几个常见版本的实验环境提供给大家。 Alienvault ossim 4.10.0已开放下载 AlienVault-USM_trial_4.3.1.zip AlienVault_OSSIM_64Bits_4.3.iso AlienVault-USM_trial_4.9.0.zip AlienVault-USM_tria
SIEM关于数据安全规则有哪些
最新发布
03-28
SIEM(安全信息和事件管理系统)是一种安全技术,用于监控和管理网络和计算机系统的安全事件。以下是SIEM关于数据安全规则的一些示例: 1. 记录所有成功和失败的登录尝试,以及用户、计算机、时间和位置等信息。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值