如何在OSSIM中配置传感器规则

我们最近将 NIDS 安装从 StrataGuard 移至新 OSSIM 2.1 版本充分利用 Snort 之外的其他功能（Nagios、ntop、Nessus/OpenVas 等）。到目前为止，OSSIM 给我留下了深刻的印象，但同时也让我对其复杂性和所提供的大量信息感到有些不知所措。

StrataGuard 使规则的调整和配置变得非常容易，例如，排除或指定给定规则的源/目标地址和端口组合，而我却很难弄清楚如何从不同的事件源（Snort、rrd、arpwatch、directive_alert 等）调整 OSSIM 中的规则。目前的文档非常稀少，似乎没有太多关于此内容的内容。

我的问题是，我是否遗漏了什么，即我应该从不同的层面着手吗？我是否应该只配置策略和关联元素，并让事件涌入，即使我知道它们是误报？或者有没有一种直接的方法来调整每个传感器的规则？

感谢您的帮助。

更新：Linux Journal 上的一篇很好的评论文章已通过 AlienVault 网站提供它比我所见过的更深入地解释了关联过程，并对 OSSIM 系统提供了良好的整体回顾。

2012 年 11 月更新：自从我提出这个问题以来，我们已经尝试了其他开源日志记录和/或监控解决方案（顺序为 Icinga、ZenOSS 和 Splunk），但都没有取得很好的效果，所以我最近又开始使用 OSSIM。目前它已经更新到 4.0 版，总体而言，这些工具似乎比以前的版本有了很大的改进和更好的集成，尤其是在日志记录方面。我发现 Alienvault 提供的“OSSIM Made Simple”网络研讨会非常有帮助，至少在将其设置为 syslog/OSSEC 存储库方面。仍在尝试掌握镜像流量中 Snort/ntop 的规则和事件/警报关联——我认为付费/非“社区”​​版本中的某些工具可能会使这更容易，但这不在我们的预算之内。