ossim的核心工作在于负责集成和关联各种产品提供的信息,同时进行先关功能的整合。从而打造一个从运维监控-->事前预警-->事后报警-->SIEM日志分析故障的一个快速解决问题的网络系统。 Alar
ossim的核心工作在于负责集成和关联各种产品提供的信息,同时进行先关功能的整合。从而打造一个从运维监控-->事前预警-->事后报警-->SIEM日志分析故障的一个快速解决问题的网络系统。
Alarms:
0x01. System Compromise (risk > 3 系统危害类安全事件)出现此类报警说明攻击者已经攻击成功,造成系统中的信息被篡改、泄露或未授权访问等敏感操作。0x02. Exploitation & Installation(恶意代码类安全事件)出现此类报警说明攻击者在进行渗透、提权等恶意攻击操作。attackers恶意制造、传播恶意代码、包括木马、网马、xss、僵尸软件等。0x03. Delivery & Attack(攻击类安全事件)出现此类报警说明正在发生攻击事件,包括sql注入、口令暴力破解、域名劫持、Dos等操作。0x04. Reconnaissance & Probing(扫描探测类安全事件)利用嗅探或模拟业务通信的方式获得系统及其网络信息的各类事件,如目标存活主机、端口服务开放信息、os指纹等。0x05. Environmental Awareness(risk<=1)出现此类报警通常是软件升级或者p2p类下载产生的报警,包含易受攻击的软件和可疑的通信。
文章归档:http://secscorpio.top/?p=57
