我们最近将 NIDS 安装从 StrataGuard 移至新 OSSIM 2.1 版本充分利用 Snort 之外的其他功能(Nagios、ntop、Nessus/OpenVas 等)。到目前为止,OSSIM 给我留下了深刻的印象,但同时也让我对其复杂性和所提供的大量信息感到有些不知所措。
StrataGuard 使规则的调整和配置变得非常容易,例如,排除或指定给定规则的源/目标地址和端口组合,而我却很难弄清楚如何从不同的事件源(Snort、rrd、arpwatch、directive_alert 等)调整 OSSIM 中的规则。目前的文档非常稀少,似乎没有太多关于此内容的内容。
我的问题是,我是否遗漏了什么,即我应该从不同的层面着手吗?我是否应该只配置策略和关联元素,并让事件涌入,即使我知道它们是误报?或者有没有一种直接的方法来调整每个传感器的规则?
感谢您的帮助。
更新:Linux Journal 上的一篇很好的评论文章已通过 AlienVault 网站提供它比我所见过的更深入地解释了关联过程,并对 OSSIM 系统提供了良好的整体回顾。
2012 年 11 月更新:自从我提出这个问题以来,我们已经尝试了其他开源日志记录和/或监控解决方案(顺序为 Icinga、ZenOSS 和 Splunk),但都没有取得很好的效果,所以我最近又开始使用 OSSIM。目前它已经更新到 4.0 版,总体而言,这些工具似乎比以前的版本有了很大的改进和更好的集成,尤其是在日志记录方面。我发现 Alienvault 提供的“OSSIM Made Simple”网络研讨会非常有帮助,至少在将其设置为 syslog/OSSEC 存储库方面。仍在尝试掌握镜像流量中 Snort/ntop 的规则和事件/警报关联——我认为付费/非“社区”版本中的某些工具可能会使这更容易,但这不在我们的预算之内。
答案1
我现在正在努力解决同样的问题。我找到的最接近官方调优文档的是:
至少有三种方法可以做到这一点:
a. 在原点进行过滤(禁用 snort 规则、在 p0f 设置 tcpdump 样式过滤器等...)
b. 策略
c. 代理整合(未记录)
我已经开始着手通过政策消除误报——我们将看看进展如何。
乔什
答案2
我通过快速搜索找到了这一点。
https://www.ossim.net/forum/index.php?t=msg&goto=435&S=835a0b9097e14e3b306ba1fae2a94de9#msg_435
希望这可以指导您找到解决方案。
问候,
大卫。
答案3
根据我在更新中引用的文章,将规则的优先级设置为 0 会导致 OSSIM 忽略该规则。虽然这是对我的问题的简短回答,但事实证明,配置事件和相关性比调整单个规则要复杂得多(尽管也更强大)。
AlientVault 网站声明 OSSIM 2.2 版将很快发布,在查看了有关新功能的在线幻灯片后,似乎有一些很棒的更新(特别高兴看到 Web 界面默认为 https)。希望随后会有一些好的文档。