OSSIMでセンサールールを構成する方法
最近、NIDSのインストールをStrataGuardから 新しいOSSIM 2.1リリース に移動し、Snortだけでなく提供される追加機能(Nagios、ntop、Nessus/OpenVasなど)を利用しました。これまでのところ、私はOSSIMに非常に感銘を受けていますが、提供される情報の複雑さと膨大な量にも少し圧倒されています。
StrataGuardにより、ルールの調整と構成が非常に簡単になりました。特定のルールの送信元/宛先アドレスとポートの組み合わせを除外または指定するために、さまざまなイベントソース(Snort、rrd、arpwatch、directive_alertなど)からOSSIMのルールを調整する方法を理解するのに非常に苦労しています。 。ドキュメントは現在かなりまばらで、これについてはあまり述べていないようです。
私の質問は、何かが足りないのか、つまり、別のレベルでアプローチする必要があるのかということです。ポリシー要素と相関要素のみを構成し、誤検知であることがわかっている場合でも、イベントを注入する必要がありますか?または、各センサーのルールを調整する簡単な方法はありますか?
ご協力いただきありがとうございます。
更新:Linux Journalからの素晴らしい総説 AlienVault Webサイトから入手可能になりました 相関プロセスを詳しく説明しています私が見たよりも深みがあり、OSSIMシステムの全体的なレビューを提供します。
2012年11月の更新:この質問を投稿してから3年以上、他のオープンソースのロギングおよび/またはモニタリングソリューションを試しました(Icinga、ZenOSS、Splunkこの順序で)満足のいくものがないので、最近OSSIMで遊ぶことに戻りました。現在はバージョン4.0までであり、ツール全体は、特にロギング側で、以前のバージョンよりも大幅に改善され、より適切に統合されているようです。 Alienvaultが提供する「OSSIMMadeSimple」ウェビナーは、少なくともsyslog/OSSECリポジトリとして設定する際に、非常に役立つことがわかりました。ミラーリングされたトラフィックでSnort/ntopのルールとイベント/アラートの相関関係を処理しようとしています-有料/非「コミュニティ」バージョンのツールのいくつかはこれを簡単にするかもしれないと思いますが、それは私たちの予算にはありません。
私は今、同じ問題に取り組んでいます。チューニングに関する公式ドキュメントに最も近いものは次のとおりです。
これを行うには少なくとも3つの方法があります:
a。 Originでのフィルタリング(snortルールの無効化、p0fでのtcpdumpスタイルのフィルターの設定など)
b。ポリシー
c。エージェントの統合(文書化されていない)
ポリシーを介して誤検知を削除する作業を開始しました。これがどのようになるかを見ていきます。
ジョシュ
クイック検索でこれを見つけました。
https://www.ossim.net/forum/index.php?t=msg&goto=435&S=835a0b9097e14e3b306ba1fae2a94de9#msg_435
これが解決策についてあなたを導くかもしれないことを願っています。
よろしく、
ダビデ。
アップデートで参照した記事によると、ルールの優先度を0に設定すると、OSSIMはルールを無視します。これは私の質問に対する短い答えですが、イベントと相関の構成は、個々のルールの調整よりもはるかに複雑です(ただし、より強力です)。
AlientVault Webサイト OSSIMバージョン2.2がまもなくリリースされると述べており、新機能に関するオンラインスライドを見ると、いくつかのすばらしい更新があるようです(特に、Webインターフェイスがデフォルトではhttpsになります)。うまくいけば、いくつかの良いドキュメントが続くでしょう。