|
|
|
|
移动端

1.2.10 关联引擎

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍关联引擎。

作者:李晨光来源:清华大学出版社|2016-01-14 16:30

开发者盛宴来袭!7月28日51CTO首届开发者大赛决赛带来技术创新分享

1.2.10 关联引擎

关联引擎(Server)是OSSIM安全集成管理系统的核心部分,它支持分布式运行,负责将Agents传送来的归一化安全事件进行关联,并对网络资产进行风险评估。其工作流程见图1-24所示。

OSSIM服务器的核心组件功能包含:事件关联、风险评估和确定优先次序和身份管理、报警和调度、策略管理、IP信誉管理等,其配置文件在/etc/ossim/server目录中,文件分别为:

  1. alienvault-attacks.xml  
  2. alienvault-bruteforce.xml  
  3. alienvault-dos.xml  
  4. alienvault-malware.xml  
  5. alienvault-network.xml  
  6. alienvault-scan.xml  
  7. alienvault-policy.xml  

以上这些文件由开源OSSIM免费提供,策略为84条,在USM中则具有2千多条。它们采用XML编写易于理解,维护简单。

关联引擎结构如图1-25所示,其工作过程由下面6个步骤组成:

40001/tcp:Server首先监听 40001/tcp 端口,接收Agent 连接和Framework请求。该端口大小由OSSIM系统在配置文件/etc/ossim/ossim_setup.conf中定义。

我们在OSSIM系统中通过以下命令可以清晰查看到其工作端口。

  1. #lsof -Pnl +M -i4 |grep ossim-ser 

Connect:当连接到端口为40002指定的Agent时,连接到端口为40001的其他Server 对采集事件进行分配和传递。该端口大小在/etc/ossim/agent/config.cfg文件的[output-idm]项配置,不建议更改。

Listener:接收各个Agent的连接数据,并细分为Forwarding Server连接、Framework连接。

DB Connect:主要是OSSIM DB连接、Snort DB连接和OSSEC  DB连接

Agent Connect:启动Agent连接,Forwarding Server连接。

Engine:事件的授权、关联、分类。

在OSSIM系统关联引擎的状态可在Configuration→Deployment→Components→Servers中查看,如图1-26所示。

关联引擎启动

OSSIM系统会启动关联引擎,有时系统调试也需要用到手工启动方式,命令如下:

  1. #ossim-server -d -c /etc/ossim/server/config.xml 

查看Ossim Server版本

  1. #ossim-server -v 


喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

网管员必读—-网络安全

本书共10章,介绍的内容包括恶意软件(包括病毒、木马和蠕虫等)的深度防御方法,黑客的主要类型和防御方法,企业网络内、外部网络防火墙系...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊