Como configurar regras de sensor no OSSIM

1

recentemente mudamos a instalação do NIDS do StrataGuard para o novo release do OSSIM 2.1 para aproveitar os recursos adicionais (Nagios, ntop, Nessus / OpenVas, etc) fornece além de apenas Snort. Até agora, estou muito impressionado com o OSSIM, mas também estou um pouco sobrecarregado com a complexidade e a quantidade de informações fornecidas.

Onde o StrataGuard tornou muito fácil ajustar e configurar regras, por exemplo, para excluir ou especificar combinações de endereços e portas de origem / destino para uma determinada regra, estou tendo dificuldade em descobrir como ajustar regras no OSSIM a partir de diferentes origens de eventos (Snort, rrd, arpwatch, directive_alert, etc.) . A documentação é bastante esparsa no momento e não parece dizer muito sobre isso.

Minha pergunta é: estou faltando alguma coisa, ou seja, deveria estar me aproximando em um nível diferente? Devo estar configurando apenas os elementos Política e Correlação e deixar que os eventos apareçam, mesmo que eu saiba que são falsos positivos? Ou existe uma maneira simples de ajustar regras para cada sensor?

Obrigado pela sua ajuda.

Atualização: Um belo artigo de revisão do Linux Journal foi disponibilizado através do site AlienVault , que explica o processo de correlação com mais profundidade do que eu vi, e fornece uma boa revisão geral do sistema OSSIM.

Atualização de novembro de 2012: Experimentamos outras soluções de log e / ou monitoramento de código aberto nos últimos 3 anos desde que publiquei essa pergunta (Icinga, ZenOSS e Splunk nessa ordem) sem grande satisfação , então eu recentemente voltei a brincar com o OSSIM. Atualmente, ele está na versão 4.0, e as ferramentas em geral parecem muito melhor e mais integradas do que as versões anteriores, especialmente no final do logging. Eu achei os webinars 'OSSIM Made Simple' disponibilizados pela Alienvault muito úteis, pelo menos em configurá-lo como um repositório syslog / OSSEC. Ainda tentando controlar as regras e a correlação de eventos / alertas para o Snort / ntop no tráfego espelhado, acho que algumas das ferramentas da versão paga / não "comunitária" podem facilitar isso, mas isso não está em nosso orçamento.

    
por nedm 03.09.2009 / 22:06

3 respostas

1

Estou lutando com o mesmo problema agora. O mais próximo que encontrei para documentos oficiais sobre o ajuste é:

Existem pelo menos três maneiras de fazer isso:
a. Filtrando na origem (desabilitando uma regra de snort, configurando um filtro no estilo tcpdump em p0f, etc ...)
b. Política
c. Consolidação de Agentes (não documentada)

Comecei a trabalhar na remoção dos falsos positivos por meio de políticas - veremos como isso ocorre.

Josh

    
por 03.10.2009 / 03:51
0

Encontrei isso por meio de uma pesquisa rápida.

link

Espero que isso possa orientá-lo em uma resolução.

Atenciosamente,

David.

    
por 04.09.2009 / 03:53
0

De acordo com o artigo mencionado na atualização, definir a prioridade de uma regra como 0 faz com que o OSSIM ignore a regra. Embora essa seja a resposta curta à minha pergunta, a configuração de eventos e correlações é muito mais complexa (embora também mais poderosa) do que o ajuste de regras individuais.

O site AlientVault afirma que a versão 2.2 do OSSIM será lançada muito em breve, e depois de analisar os slides on-line sobre o que há de novo, parece que há algumas atualizações ótimas (particularmente feliz em ver que a interface web será https por padrão). Espero que alguma boa documentação venha a seguir.

    
por 15.02.2010 / 20:57