OSSIM چیست؟ معرفی Alien Vault OSSIM

OSSIM مجموعه اي از ابزارهاي كد باز (Open Source) مي باشد كه مديران شبكه را در امن كردن سيستم هاي كامپيوتري، تشخيص نفوذ و جلوگيري از نفوذ ياري ميدهد. هدف آن فراهم كردن مجموعه ي كاملي از ابزارها است تا بوسيله آن مدير شبكه از همه جنبه هاي مرتبط با امنيت در شبكه تحت نظرش آگاه شود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

قابليت هايي OSSIM عبارتند از: موتور همبستگي قوي، نمايش بصري اطلاعات در سه سطح پايين، متوسط و بالا، گزارش گيري و مديريت رخدادها كه براساس مجموعه اي از دارايي هاي تعريف شده مانند ميزبان ها، شبكه ها، گروهها و سرويسها فراهم ميشوند. همه اين اطلاعات ميتواند بوسيله شبكه يا حسگر فيلتر شود تا تنها اطلاعات مورد نياز براي كاربران خاصي فراهم شود. در شكل زیر نمايي از واسط وب AlienVault OSSIM نشان داده شده است:

همبستگي (Correlation) یکی از مهم ترین اجزا در OSSIM است زیرا به میزان زیادی هشدارها و مثبت کاذبها (False Positives) را کاهش می دهد. در همبستگي، تعداد رویدادها تنها برای برخی از هشدارها كه براي تحليل آسانتر هستند کاهش می یابد.همبستگي بسته به نوع رویدادی که توسط OSSIM دریافت میشود به روشهای گوناگونی انجام میشود. این روشها به نوع اطلاعاتی که OSSIM درباره ی مقصد حمله ذخیره میکند نیز وابسته است.

انواع همبستگي عبارتند از:

  1. همبستگي تقاطعی(Cross correlation): بین رویدادها و آسیب پذیریهای مقصد
  2. همبستگي موجودی(Inventory correlation): بین رویدادها و مشخصه های مقصد
  3. همبستگي منطقي(Logical correlation): بین رویدادهای منابع مختلف
وب سایت توسینسو

نظرات