recentemente mudamos a instalação do NIDS do StrataGuard para o novo release do OSSIM 2.1 para aproveitar os recursos adicionais (Nagios, ntop, Nessus / OpenVas, etc) fornece além de apenas Snort. Até agora, estou muito impressionado com o OSSIM, mas também estou um pouco sobrecarregado com a complexidade e a quantidade de informações fornecidas.
Onde o StrataGuard tornou muito fácil ajustar e configurar regras, por exemplo, para excluir ou especificar combinações de endereços e portas de origem / destino para uma determinada regra, estou tendo dificuldade em descobrir como ajustar regras no OSSIM a partir de diferentes origens de eventos (Snort, rrd, arpwatch, directive_alert, etc.) . A documentação é bastante esparsa no momento e não parece dizer muito sobre isso.
Minha pergunta é: estou faltando alguma coisa, ou seja, deveria estar me aproximando em um nível diferente? Devo estar configurando apenas os elementos Política e Correlação e deixar que os eventos apareçam, mesmo que eu saiba que são falsos positivos? Ou existe uma maneira simples de ajustar regras para cada sensor?
Obrigado pela sua ajuda.
Atualização: Um belo artigo de revisão do Linux Journal foi disponibilizado através do site AlienVault , que explica o processo de correlação com mais profundidade do que eu vi, e fornece uma boa revisão geral do sistema OSSIM.
Atualização de novembro de 2012: Experimentamos outras soluções de log e / ou monitoramento de código aberto nos últimos 3 anos desde que publiquei essa pergunta (Icinga, ZenOSS e Splunk nessa ordem) sem grande satisfação , então eu recentemente voltei a brincar com o OSSIM. Atualmente, ele está na versão 4.0, e as ferramentas em geral parecem muito melhor e mais integradas do que as versões anteriores, especialmente no final do logging. Eu achei os webinars 'OSSIM Made Simple' disponibilizados pela Alienvault muito úteis, pelo menos em configurá-lo como um repositório syslog / OSSEC. Ainda tentando controlar as regras e a correlação de eventos / alertas para o Snort / ntop no tráfego espelhado, acho que algumas das ferramentas da versão paga / não "comunitária" podem facilitar isso, mas isso não está em nosso orçamento.