OSSIM初窥

OSSIM初窥

没有企业会反对企业级的安全解决方案。威胁来自四面八方,集中式安全平台为管理员提供了应得的抵御恶意攻击的机会。

背景

    SIEM(Security Information and Event Management,安全信息与事件管理)系统被认为是行业的黄金标准。虽然有效,但是知道如何使用SIEM解决方案来获取有价值的见解可能会很棘手。因此,许多人对使用SIEM感到沮丧或失望。由此,我们以OSSIM为例,为大家做一些简单的分享,希望能够让大家对SIEM有一些初步的了解。

定义

        SIEM(Security Information and Event Management,安全信息与事件管理)系统是指对企业所有资源(包含网络,系统和应用)产生的安全信息(包括日志,报警等)进行统一、实时的监控,并进行历史分析,对外部的入侵、内部的违规、误操作等进行监控、审计分析、调查取证,出具各种报告。

        SIEM实现了资源合规性管理的目标,同时也提高了企业的安全运营、威胁管理和应急响应能力。

        SIEM技术能够对系统中的安全设施实现统一化管理,同时能从其产生的大量安全信息与事件中找出安全威胁,方便安全管理人员能够更快速地对安全状况进行全方面的把握。

        而OSSIM (OPEN Source Sevurity Informatiion System)是开源安全信息管理系统,由美国的Alien Vault公司开发,是一个目前非常流行和完整的开源安全架构体系。OSSIM将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台,能够实现收集分类日志识别并解决重大安全事件(优先级、标识出有问题的日志),满足在安全监控和日志存储方面的审计和合规需求

工作流程

      对于SIEM来说,可以大致分为三个阶段:信息采集、事件处理、安全评估,如下图所示:

OSSIM初窥

SIEM处理流程

      SIEM收集的数据主要包括安全信息安全事件,具体包括当前目标网络中受控主机信息和网络信息,以及部署在目标网络上的安全设备的日志和报警信息

使用实例(日志和日志管理)

        通过主动资产扫描来添加资产并进行监听或者对设备通过部署AGENT进行主动监听,是SIEM获取数据的方式之一。SIEM也可以接收其它安全运营产品的日志进行分析。这里,我们使用的是SIEM工具中为较为代表性的OSSIM。

OSSIM初窥

      在OSSIM中,我们可以很清晰地找到如上图中所示的SIEM标签,点击进入就可以查看自己想要查看的日志信息。

        当然,我们也可以根据如下图红色区域所示的区域,选择日志源或者在Search中写入自己的需求进行日志搜索。

OSSIM初窥

      除了主动扫描监听的资产,SIEM也可以通过部署AGENT的方式对设备进行主动监听,下图就是对设备进行部署后的画面,可以在STATUS清晰地看到资产的当前状态,红色方框标记出了当前主动监听设备的所有日志源。

OSSIM初窥

      当然我们也可以直接去查看日志,下图向我们展示了关于监听资产的日志信息。

OSSIM初窥

      安全人员可以根据需要使用这些数据。SIEM获取日志的方式有很多,常用的NXLOG,windows sysmon都是可以接收并分析的。包括一些常用的安全运营产品和设备,也都是可以接入SIEM进行数据分析的。

可视化操作

OSSIM初窥

        如上图所示,用户可以通过红色标记的图标进行定制操作,让想要迅速了解情况的信息更直接方便的得到展现。

总结

      综上,针对SIEM中OSSIM这一标志性平台,我们已经掌握了日志处理可视化,解决了大部分SIEM使用过程中的疑难杂症。希望大家会喜欢我们的分享,也希望大家可以在后台和我们多多沟通交流呀~❤️

关于我们

        云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”,高效整合人、技术和流程,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7*24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

Xu

评论已关闭。
Translate »