走近OSSIM傳感器(Sensor)插件-創(chuàng)新互聯(lián)

走近OSSIM傳感器(Sensor)插件

在陸豐等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局,加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力,以專注、極致的服務(wù)理念,為客戶提供網(wǎng)站設(shè)計(jì)制作、網(wǎng)站建設(shè) 網(wǎng)站設(shè)計(jì)制作按需制作網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站設(shè)計(jì),網(wǎng)絡(luò)營(yíng)銷推廣,外貿(mào)營(yíng)銷網(wǎng)站建設(shè),陸豐網(wǎng)站建設(shè)費(fèi)用合理。

走近OSSIM傳感器(Sensor)插件

在上一篇博文介紹完OSSIM架構(gòu)何組成,接著要介紹它“神秘”的插件,閱讀插件前提示您熟練掌握正則表達(dá)式。

Sensor啟用插件列表,管理它們非常簡(jiǎn)單:

走近OSSIM傳感器(Sensor)插件

下面看看插件全局配置文件

[plugins]

apache=/etc/ossim/agent/plugins/apache.cfg

nmap-monitor=/etc/ossim/agent/plugins/nmap-monitor.cfg

ossec-single-line=/etc/ossim/agent/plugins/ossec-single-line.cfg

ossim-monitor=/etc/ossim/agent/plugins/ossim-monitor.cfg

pam_unix=/etc/ossim/agent/plugins/pam_unix.cfg

ping-monitor=/etc/ossim/agent/plugins/ping-monitor.cfg

prads_eth0=/etc/ossim/agent/plugins/prads_eth0.cfg

ssh=/etc/ossim/agent/plugins/ssh.cfg

sudo=/etc/ossim/agent/plugins/sudo.cfg

suricata=/etc/ossim/agent/plugins/suricata.cfg

whois-monitor=/etc/ossim/agent/plugins/whois-monitor.cfg

wmi-monitor=/etc/ossim/agent/plugins/wmi-monitor.cfg

Sensor插件將預(yù)處理數(shù)據(jù)發(fā)往Server,定義如下

[output-server]

enable=True

ip=192.168.91.228

port=40001

send_events=True

1. Apache日志處理插件

下面已Apache插件為例,看看插件中的正則表達(dá)式:

[0001 - apache-access] 訪問日志

event_type=event

regexp=((?P\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(:(?P\d{1,5}))? )?(?P\S+) (?P\S+) (?P\S+) \[(?P\d{2}\/\w{3}\/\d{4}:\d{2}:\d{2}:\d{2})\s+[+-]\d{4}\] \"(?P[^\"]*)\" (?P\d{3}) ((?P\d+)|-)( \"(?P[^\"]*)\" \"(?P[^\"]*)\")?$

src_ip={resolv($src)}

dst_ip={resolv($dst)}

dst_port={$port}

date={normalize_date($date)}

plugin_sid={$code}

username={$user}

userdata1={$request}

userdata2={$size}

userdata3={$referer_uri}

userdata4={$useragent}

filename={$id}

[0002 - apache-error] 錯(cuò)誤日志

event_type=event

regexp=\[(?P\w{3} \w{3} \d{2} \d{2}:\d{2}:\d{2} \d{4})\] \[(?P(emerg|alert|crit|error|warn|notice|info|debug))\] (\[client (?P\S+)\] )?(?P.*)

date={normalize_date($date)}

plugin_sid={translate($type)}

src_ip={resolv($src)}

userdata1={$data}

如果您對(duì)Apache日志基本格式不太了解請(qǐng)參看《Unix/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控》一書。

如果您是通過syslog轉(zhuǎn)發(fā)apache日志,那么正則該這樣寫:

[0001 - apache-syslog-access]
event_type=event
regexp=^\w{3}\s+\d{1,2} \d\d:\d\d:\d\d (?P\S+) \S+: ((?P\S+)(:(?P\d{1,5}))? )?(?P\S+) (?P\S+) (?P\S+) \[(?P\d{2}\/\w{3}\/\d{4}:\d{2}:\d{2}:\d{2})\s+[+-]\d{4}\] \"(?P.*)\" (?P\d{3}) ((?P\d+)|-)( \"(?P.*)\" \"(?P.*)\")?$
src_ip={resolv($src)}
dst_ip={resolv($dst)}
dst_port={$port}
device={resolv($device)}
date={normalize_date($date)}
plugin_sid={$code}
username={$user}
userdata1={$request}
userdata2={$size}
userdata3={$referer_uri}
userdata4={$useragent}
filename={$id}

[0002 - apache-syslog-error]
event_type=event
regexp=^(?P\w{3}\s+\d{1,2} \d\d:\d\d:\d\d) (?P\S+) \S+: \[(?P(emerg|alert|crit|error|warn|notice|info|debug))\] (\[client (?P\S+)\] )?(?P.*)
date={normalize_date($date)}
dst_ip={resolv($device)}
device={resolv($device)}
date={normalize_date($date)}
plugin_sid={translate($type)}
src_ip={resolv($src)}
userdata1={$data}

下面看看Apache插件有啥能耐?

走近OSSIM傳感器(Sensor)插件

這就是對(duì)Apache日志的歸一化處理的效果,每類插件對(duì)應(yīng)了一個(gè)插件ID,大家在使用SIEM事件分析時(shí)要牢記該ID號(hào)(看多了就懂了)。

2. SSH日志處理插件

Apache日志比較簡(jiǎn)單,下面介紹的SSH日志就復(fù)雜多啦

走近OSSIM傳感器(Sensor)插件

由上面第一條正則處理的歸一化事件如下圖所示。

走近OSSIM傳感器(Sensor)插件

接著我們看看第二條正則在處理“無(wú)效用戶”是如何生成歸一化事件的

走近OSSIM傳感器(Sensor)插件

接著看一條SSH日志插件正則表達(dá)式

走近OSSIM傳感器(Sensor)插件

經(jīng)過處理后生成對(duì)應(yīng)的歸一化事件,如下圖所示。

走近OSSIM傳感器(Sensor)插件

走近OSSIM傳感器(Sensor)插件

走近OSSIM傳感器(Sensor)插件

當(dāng)使用SSH或SFTP連接某個(gè)host時(shí),會(huì)有一系列的檢查以保證你能夠連接到你想連接的機(jī)器。其中一項(xiàng)是 “reverse lookup on the IP address”檢查機(jī)器名稱和你要連接的機(jī)器名稱一致。否則,你會(huì)得到這樣一個(gè)錯(cuò)誤信息:”reverse mapping checking getaddrinfo for … POSSIBLE BREAK-IN ATTEMPT!”.這是告訴我們,盡管我們?cè)谶B接example.com ,但是實(shí)際上該server的IP 地址對(duì)應(yīng)到a.b.c.d.adsl-pool.jx.chinaunicom.com 。但這個(gè)發(fā)生的時(shí)候,就是因?yàn)閟erver 上的reverse DNS 沒有設(shè)置好。

下回有時(shí)間再講講Cisco-ASA插件。

 走近OSSIM傳感器(Sensor)插件

 看完這些事例,有人感覺到一個(gè)問題,歸一化之后的事件內(nèi)容,比原始日志富含的信息多了,為什么?若大家想詳細(xì)了解這種基于插件的日志采集處理方式,請(qǐng)參考《開源安全運(yùn)維平臺(tái)-OSSIM最佳實(shí)踐》一書。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無(wú)理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前標(biāo)題:走近OSSIM傳感器(Sensor)插件-創(chuàng)新互聯(lián)
文章分享:http://www.muchs.cn/article2/dhogic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供App設(shè)計(jì)面包屑導(dǎo)航、服務(wù)器托管網(wǎng)站排名、虛擬主機(jī)、品牌網(wǎng)站制作

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

手機(jī)網(wǎng)站建設(shè)