|
|
|
|
移动端

1.2.15 标准的安全事件格式

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍标准的安全事件格式。

作者:李晨光来源:清华大学出版社|2016-01-14 16:38

开发者盛宴来袭!7月28日51CTO首届开发者大赛决赛带来技术创新分享

1.2.15 标准的安全事件格式

归一化处理的事件不仅需要统一格式,而且需要专门的属性,我们看几个典型字段及说明:

Alarm                 报警名称

Event id               安全事件编号

Sensor  id:            发出事件的传感器编号

Source IP :src_ip        安全事件源IP地址

Source Port :src_port     安全事件源端口

Type                  类型分为两类一类是detector,另一类是monitor

Signature              触发安全事件的特征值

Reliability             安全事件的可信度(描述了一个检测到的攻击是否真的成功可能性,侧面反映了安全事件的严重性质)

为了更好的学习第2章介绍的SIEM控制台,下面先看几个统一格式安全事件的实例,

在Redis服务器中处理大量的非结构化数据,但最终经过一系列规则检测发出的报警,再经过聚合后产生的聚合报警具有统一格式,并集中存储在MySQL数据库中。下面给出典型的记录格式。

1)Raw Log典型记录格式如图1-30所示。

2) SIEM事件归一化记录格式如图1-31、图1-32所示。

在OSSIM中的事件是如何实现存储呢?传感器从各种网络设备和服务器上通过Rsyslog收集原始日志,存储在Sensor所在服务器的硬盘等待处理,当收到日志后,安装在探针服务器上的代理开始工作,利用事先设定好的安全插件开始对日志进行预处理(也就是进行归一化处理),流程如图1-33所示。

Agent将插件收到的日志送往Server再进行深度加工,将字段按照类别重新组合,成下面的格式(这样就从RAW Log变成了归一化处理的日志,归一化处理格式如表1-5所示。

表1-5归一化处理日志格式

Date

Src_port

Sensor

Dst_ip

Interface

Dst_port

Plugin_id

username

Plugin_sid

password

Prority

filename

Protocol

Userdata1Userdata5

Src_ip

Userdata6Userdata9

归一化处理,重要字段含义如下:

源和目标地址:在关联分析中属于很重要的内容。

源和目标端口:可以分析访问和试图访问的那些服务端口。

消息分类:根据用户登录成功或失败或者尝试的消息分类。

时间戳:这里包括日志消息在设备上产生的时间和系统接收消息的时间(因为有各种延迟存在,时间不同)。

优先级:例如网络设备(交换机)的日志包含了优先级(设备供应商制定)。作为规范化的一部分也需要日志包含优先级。

接口:通过那个网络接口接收到的日志消息。

原始日志是规范化过程的一个重要环节,OSSIM在归一化处理日志的同时也保留了原始日志,可用于日志归档,提供了一种从规范化事件中提取原始日志的手段。

经过归一化处理的日志,再通过TCP 3306端口存储到MySQL数据库中,接着就由关联引擎根据规则、优先级、可靠性等参数进行交叉关联分析,得出风险值并发出各种报警提示信息(详情在后续章节再分析)。

接下来,我们再看个实例,下面是一段Apache的原始日志,如图1-35所示。

先经过OSSIM系统收集加工后,再通过Web前端展现给大家,方便阅读的格式如图1-36所示。归一化处理后的事件和原始日志的对比方法我们在后面还会讲解。

在图1-36所示的例子当中,仅使用了Userdata1和Userdata2,并没有用到Userdata3~Userdata9这些是扩展位,主要是为了预留给其他设备或服务使用。

经过归一化处理之后,目标地址会标记成Host-IP地址的形式,例如:Host-192-168-0-1。实际上归一化处理这种操作发生在系统采集和存储事件之后,关联和数据分析之前,在SIEM工具中把采集过程中把数据转换成易读懂的格式,如同图1-37显示的那样,采用格式化的数据我们能更容易理解。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

J2ME手机游戏设计技术与实战

本书主要介绍了在手机上开发J2ME游戏的方法,作者在介绍了J2ME游戏开发相关知识背景的基础上,以大富翁手机游戏的设计开发为例,详细讲述了...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊