OSSIM Alarm 控制台讲解

  （一）Alarm控制台，在Syslog的日志级别中，有一种叫做Alert（警报）的日志，出现Alert意味着马上采取行动的事件。  

  Alert是可视化网络攻击报警Alarm分析。图形化Alarm报警由关联指令经关联分析（交叉关联，序列关联）引擎生成，根据来源于Snort以及OSSEC等数据源进行报警。

  

（二）Alarm生成步骤：

（1）       日志收集到OSSIM

（2）       将日志统一进行归一化处理后生成事件

（3）       事件导入关联引擎

（4）       根据关联规则匹配出新的事件

  （三）点击Search and Filter这里可以看到不同的搜索和过滤条件，传感器，IP，日期等等。显示如下：

  

（四）报警事件分类：

看这里有不同种类的报警事件，一共分为5类：

系统损坏或者破坏：属于系统危害类安全事件。（感染性化学标志）

漏洞利用和安装：属于恶意代码类安全事件。（警铃）

攻击：表示正在发生入侵，攻击类安全事件。（瞄准镜）

侦查和探测：属于扫描类安全事件，使用嗅探或模拟业务的方式获得系统以及完了信息的各类事件。（雷达扫描图标）

环境意识：这类行为的告警优先级最低，通常是软件升级或者电驴BT等P2P软件下载报警，包含易受攻击的软件和可疑通信。

点击蓝色圆点可以看到攻击的列表，便于管理人员对该攻击进行分析。

点击后面的放大镜可以看到具体详细的事件信息。

参考文献：开源安全运维平台Ossim最佳实战，李晨光著。