开发者社区> 技术小胖子> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

安全事件标准化

简介:
+关注继续查看

安全事件标准化

 

      一般的日志系统,为了接收日志的效率,不去做日志的标准化工作,收集大量冗余日志在数据库,而庞大的数据库在检索时导致效率越来越低,更别提自动扫选出故障。当故障发生后很长时间,依然被动的在数据库中,人工查找可疑故障日志,效率低下。

      然而,在OSSIM系统中不仅需要统一格式,而且要专门的属性,这为系统中的关联分析引擎的数据源奠定了良好的基础,我们先看几个典型字段及说明:

  • Alarm 报警名称

  •  Event id 安全事件编号

  • Sensor id: 发出事件的传感器编号

  • Source IP :src_ip 安全事件源IP地址

  • Source Port :src_port 安全事件源端口

  • Type 类型分为两类一类是detector,另一类是monitor

  • Signature 触发安全事件的特征值

  • Reliability 安全事件的可信度(描述了一个检测到的攻击是否真的成功可能性,侧面反映了安全事件的严重性质)

为了更好的学习第2章介绍的SIEM控制台,下面先看几个统一格式安全事件的实例,

在Redis服务器中处理大量的非结构化数据,但最终经过一系列规则检测发出的报警,再经过聚合后产生的聚合报警具有统一格式,并集中存储在MySQL数据库中。下面给出典型的记录格式。

1)Raw Log典型记录格式如图1所示。

clip_image002

图1 Raw Log记录格式

2) SIEM事件归一化记录格式如图2、图3所示。

clip_image004

图2 事件归一化处理格式

clip_image006

clip_image008

图3 SIEM记录格式

在OSSIM中的事件是如何实现存储呢?传感器从各种网络设备和服务器上通过Rsyslog收集原始日志,存储在Sensor所在服务器的硬盘等待处理,当收到日志后,安装在探针服务器上的代理开始工作,利用事先设定好的安全插件开始对日志进行预处理(也就是进行归一化处理),流程如图4所示。

clip_image010 clip_image012

图4传感器日志采集流程

Agent将插件收到的日志送往Server再进行深度加工,将字段按照类别重新组合,成下面的格式(这样就从RAW Log变成了归一化处理的日志,归一化处理格式如表1所示。

表1 归一化处理日志格式

Date

Src_port

Sensor

Dst_ip

Interface

Dst_port

Plugin_id

username

Plugin_sid

password

Prority

filename

Protocol

Userdata1~Userdata5

Src_ip

Userdata6~Userdata9

 

 

归一化处理,重要字段含义如下:

  • 源和目标地址:在关联分析中属于很重要的内容。

  • 源和目标端口:可以分析访问和试图访问的那些服务端口。

  • 消息分类: 根据用户登录成功或失败或者尝试的消息分类。

  • 时间戳: 这里包括日志消息在设备上产生的时间和系统接收消息的时间(因为有各种延迟存在,时间不同)。

  • 优先级: 例如网络设备(交换机)的日志包含了优先级(设备供应商制定)。作为规范化的一部分也需要日志包含优先级。

  • 接口: 通过那个网络接口接收到的日志消息。

原始日志是规范化过程的一个重要环节,OSSIM在归一化处理日志的同时也保留了原始日志,可用于日志归档,提供了一种从规范化事件中提取原始日志的手段。

经过归一化处理的日志,再通过TCP 3306端口存储到MySQL数据库中,接着就由关联引擎根据规则、优先级、可靠性等参数进行交叉关联分析,得出风险值并发出各种报警提示信息(详情在后续章节再分析)。

clip_image014

图5 日志存储

接下来,我们再看个实例,下面是一段Apache的原始日志,如图6所示。

clip_image016

图6原始日志

先经过OSSIM系统收集加工后,再通过Web前端展现给大家,方便阅读的格式如图7所示。归一化处理后的事件和原始日志的对比方法我们在后面还会讲解。

clip_image018

图7 归一化处理以后的Apache访问日志

在图7所示的例子当中,仅使用了Userdata1和Userdata2,并没有用到Userdata3~Userdata9这些是扩展位,主要是为了预留给其他设备或服务使用。

clip_image020

图8 SIEM控制台下的主机标识形式

经过归一化处理之后,目标地址会标记成Host-IP地址的形式,例如:Host-192-168-0-1。实际上归一化处理这种操作发生在系统采集和存储事件之后,关联和数据分析之前,在SIEM工具中把采集过程中把数据转换成易读懂的格式,如同图7显示的那样,采用格式化的数据我们能更容易理解。如果您希望继续学习有关安全事件标准化的技术请参考《开源安全运维平台-OSSIM最佳实践》一书。



 本文转自 李晨光 51CTO博客,原文链接:http://blog.51cto.com/chenguang/1747362,如需转载请自行联系原作者



版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云硬核安全方案携手天猫“喵住”新标准发布 打造智能锁安全新定义
9月17日杭州,天猫智能锁行业x国潮来了,携手德施曼、鹿客、果加、凯迪仕等15个国内知名新国货品牌,在杭州亲橙里举行了一场“天猫智能锁安全升级发布会”,就消费者最为关注的智能锁安全顾虑给出了答案。针对消费者的安全顾虑,发布会进行了“喵住”智能锁安全升级标准发布。
1564 0
input单选框多选框时可用的事件
change(): 当元素的值发生改变时,会发生 change 事件。 该事件仅适用于文本域(text field),以及 textarea 和 select 元素。 change() 函数触发 change 事件,或规定当发生 change 事件时运行的函数。
824 0
关于异步信号安全
关于异步信号安全 线程安全与重入以及异步信号安全的区别. 可重入一定是线程安全的,但是线程安全不一定是可重入的. 引用别人的博客中的话吧.如下: http://blog.csdn.net/xiaofei0859/article/details/5818511  线程安全:       线程安全函数:在C语言中局部变量是在栈中分配的,任何未使用静态数据或其他共享资源的函数都是线程安全的。
1027 0
鼠标 事件
引用:http://www.java3z.com/cwbwebhome/article/article9/ht43.html 鼠标事件的种类: click:用户单击左键时发生(单击右键不会发生)。如果焦点在一个按钮上,并按下回车键,也会触发该事件。
818 0
信息安全标准大全
http://www.moe.gov.cn/dengbao/list_xgbz.htm
507 0
文章
问答
文章排行榜
最热
最新
相关电子书
更多
攻击过程的威胁情报应对体系
立即下载
掌控企业安全威胁 企业安全2.0与威胁情报
立即下载
安全,可信和韧性的全球数据合规流动体系
立即下载