OSSIM مجموعه اي از ابزارهاي كد باز (Open Source) مي باشد كه مديران شبكه را در امن كردن سيستم هاي كامپيوتري، تشخيص نفوذ و جلوگيري از نفوذ ياري ميدهد. هدف آن فراهم كردن مجموعه ي كاملي از ابزارها است تا بوسيله آن مدير شبكه از همه جنبه هاي مرتبط با امنيت در شبكه تحت نظرش آگاه شود.
قابليت هايي OSSIM عبارتند از: موتور همبستگي قوي، نمايش بصري اطلاعات در سه سطح پايين، متوسط و بالا، گزارش گيري و مديريت رخدادها كه براساس مجموعه اي از دارايي هاي تعريف شده مانند ميزبان ها، شبكه ها، گروهها و سرويسها فراهم ميشوند. همه اين اطلاعات ميتواند بوسيله شبكه يا حسگر فيلتر شود تا تنها اطلاعات مورد نياز براي كاربران خاصي فراهم شود. در شكل زیر نمايي از واسط وب AlienVault OSSIM نشان داده شده است:
همبستگي (Correlation) یکی از مهم ترین اجزا در OSSIM است زیرا به میزان زیادی هشدارها و مثبت کاذبها (False Positives) را کاهش می دهد. در همبستگي، تعداد رویدادها تنها برای برخی از هشدارها كه براي تحليل آسانتر هستند کاهش می یابد.همبستگي بسته به نوع رویدادی که توسط OSSIM دریافت میشود به روشهای گوناگونی انجام میشود. این روشها به نوع اطلاعاتی که OSSIM درباره ی مقصد حمله ذخیره میکند نیز وابسته است.
انواع همبستگي عبارتند از:
- همبستگي تقاطعی(Cross correlation): بین رویدادها و آسیب پذیریهای مقصد
- همبستگي موجودی(Inventory correlation): بین رویدادها و مشخصه های مقصد
- همبستگي منطقي(Logical correlation): بین رویدادهای منابع مختلف
با سلام
ممنون از مهندس طالبی عزیز بابت مقاله عالیتون .فقط اگه امکان داره برای راه اندازی ossim راهنمایی کنیید ممنون میشم .
با تشکر
@helma
سلام
میدونم قدیمه تاپیک ، اما ممکنه بعدها کسی به این مشکل بربخوره
تعاریفی که در این تاپیک در مورد اورده شده تقریبا نمیتونه بازم وجود یک سیستم SIEM رو توجیح کنه، دید عمیق تری لازمه و اینکه درک فرایند SOC خیلی نیازمند واکاویه
بهرحال ،
بهترین راه حل برای این نسخه OPen-source همونه که فایل خودش رو دانلود کنید (که روی توزیع Debian راه میندازه)
پیشنهاد میکنم رم رو بنابه میزان کارتون بهش بدید و پیشفرض دو برابر چیزی که گفته بهش بدید.
سلام.
یه سوال داشتم ، من میخوام ossimرا روی لینوکس فدورا 20 نصب کنم.ولی نمیدونم چجوری و چه دستوری باید توی ترمینال ان وارد کنم .ممکنه کمکم کنید؟