|
|
51CTO旗下网站
|
|
移动端

1.6 OSSIM工作流程

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍OSSIM工作流程。

作者:李晨光来源:清华大学出版社|2016-01-14 16:55

1.6 OSSIM工作流程

介绍完OSSIM系统组件之后,下面讲解其工作流程,主要包括以下9个方面的内容:

(1)作为整个系统的安全插件的探测器(Sensor)执行各自的任务,当发现问题时会给予报警;

(2)各探测器的报警信息将被集中采集;

(3)将各个报警记录解析并存入事件数据库(EDB);

(4)根据设置的策略(Policy)给每个事件赋予一个优先级(Priority),优先级在OSSIM系统中为事件管理重要的要素,事件的优先级决定了处理事件顺序和所需要的资源,也就是越紧急的事件优先级越高,需要系统响应时间越短。

(5)对事件进行风险评估,为每个警报计算出风险值;

(6)将设置优先级的事件发送至关联引擎,关联引擎将对事件进行关联,关联引擎就是在入侵检测传感器上报的告警事件基础上,经过关联分析形成入侵行为判定,并将关联分析结果报送控制台;

(7)对一个或多个事件进行关联分析后,关联引擎生成新的报警记录,将其赋予优先级,并进行风险评估,存入数据库;

(8)用户监视器将根据每个事件产生实时的风险图;

(9)在控制面板中给出最近的关联报警记录,在底层控制台中提供全部的事件记录。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

点石成金:访客至上的网页设计秘笈(原书第2版)

有些网站看起来很清爽; 有些网站看起来很杂乱; 有些网站能让你轻松地找到资料; 有些网站让你犹如置身迷宫…… ...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊