我的 Debian(OSSIM)出现问题,三天后我无法创建或编辑任何文件,原因是: root@ossim:~$ mkdir test mkdir: cannot create directory `test': Read-only file system 因此我使用 ubuntu 以实时模式启动操作系统并运行fsck.ext3命令,但该命令并未修复分区。 分区类型是EXT3,这些日志位于kern.log [612904.370362] [<ffffffff8106c8e4>] ? __local_bh_enable_ip+0x84/0...
我已经在虚拟盒中设置了 OSSIM,并且它运行良好。 我尝试在 AWS 云中设置 OSSIM,但 Alienvault 停止了对新客户的 AMI。 作为中小企业,您如何针对 PCI-DSS 执行此操作,倾向于使用开源进行日志和文件完整性监控。 ...
我在虚拟机上安装了 OSSIM 服务器,并尝试将 OSSEC 代理链接到它。我已能够在客户端上链接和安装 HIDS,并使其与 OSSIM 服务器正常通信。 但是,在“环境”->“检测”部分,我无法让代理显示为活动状态。我尝试使用 Ubuntu 和 CentOS 客户端,但两者都遇到了同样的问题。 关于如何使代理状态变为活跃状态的任何建议。 参考:https://www.youtube.com/watch?v=JVmvgLS81wk ...
我知道“风险”的计算,但我不明白计算中的变量是什么意思是 风险计算如下((asset * priority * reliability)/25) 不过,我不太明白这个等式中的各个变量应该是什么,而且它们似乎没有详细记录或解释。 例如,“可靠性”应该表示什么?是否有任何文章或文档描述此计算的各个部分以及它们的实际含义?类似于“此事件非常可靠”——但这到底是什么意思,特别是如果我不知道某个特定事件是否可靠地属于安全事件。例如,我该使用什么指标/标准来确定事件是否更“可靠”? 还有“资产”:我认为有些资产显然比其他资产更重要,但我如何确定它们的重要性呢?例...
我有以下拓扑: rsyslog 客户端 -> logstash 服务器 -> elasticsearch & 另一个 logstash & alienvault & 本地文件 问题是 alienvault 只需要原始消息,不需要任何 json 字段。我怎样才能只向 alienvault 发送“消息”字段的值? 到目前为止我已经做了类似的事情: - 在 logstash 中,在过滤器中我配置了 clone { clones => ["alien"] }。 - 所有剩余的过滤都在此行之上 - 在所有其他过滤之后我有...
我的一台 Web 服务器被大量请求淹没,而这些请求指向的资源已不存在,从而生成相应的 404 错误。由于我使用的是 OSSEC 和 OSSIM,因此这些错误会发送到 OSSEC 服务器 (OSSIM),从而也淹没它。 我想过滤掉这些错误,以便只报告与不存在的 php 文件有关的错误,但我一直在使用 OSSIM 的策略,却没能实现这一点。 我该如何做呢? ...
我已经安装了 OSSIM 服务器,并且我想要检索远程 Nagios 服务器生成的警报,以便分析它们并执行安全事件的关联。 在开始之前,我想知道正确的方法是什么。 我是否需要配置 Nagios 以便它将警报转发到 OSSIM 服务器?这可能吗? 我需要在运行 Nagios 的机器上安装 OSSEC 代理吗?如果需要,我该如何配置 OSSEC 和 Nagios? 还有其他解决办法吗? 谢谢! 更新: 它“几乎”可以正常工作,我可以看到 NAGIOS 警报通过 rsyslog 正确转发,但 OSSIM 将它们视为 syslog 的正常日志,因此它们不...
我是 OSSIM 的新手。 我的需求是使用 snort 检测可执行文件 (.exe)。我找到了一条 snort 规则: alert tcp any any -> any any (msg: "DLL Windows file download"; flow: established; content:"MZ";isdataat: 76,relative;content:"This program cannot be run in DOS mode."; distance: 0; isdataat: 10,relative; content:"PE...
我们最近将 NIDS 安装从 StrataGuard 移至新 OSSIM 2.1 版本充分利用 Snort 之外的其他功能(Nagios、ntop、Nessus/OpenVas 等)。到目前为止,OSSIM 给我留下了深刻的印象,但同时也让我对其复杂性和所提供的大量信息感到有些不知所措。 StrataGuard 使规则的调整和配置变得非常容易,例如,排除或指定给定规则的源/目标地址和端口组合,而我却很难弄清楚如何从不同的事件源(Snort、rrd、arpwatch、directive_alert 等)调整 OSSIM 中的规则。目前的文档非常稀少,似乎没有...
快速新手 OSSIM 问题。我四处寻找,但还没有找到我正在寻找的东西。我目前有 Nagios、OSSEC、Nessus 和 Snort 服务器,我想让这些服务器保持活动状态,但只需将日志发送到 OSSIM 服务器并让其进行关联和绘图。可以这样做吗?我看到的一切都将各种软件功能实际放在 OSSIM 框上,但我不想这样做。我在所有系统上运行 CentOS。谢谢。 ...
我正在尝试获取一些现实世界的反馈操作系统集成。 您在生产中使用 OSSIM 吗? 如果是,您的总体经历如何? 您的环境中有多少个节点? 最后,您监控什么样的带宽? 谢谢! 阿纳波洛杰托斯 ...