Правила OSSEC, правила OSSIM, WTF ???

Знакомясь с интерфейсом OSSIM (USM), можно натолкнуться на некоторые его особенности, которые по-началу вводят в ступор и создают недопонимание пользователя. Об одной из таких вещей хочу поговорить отдельно, а именно правилах OSSEC и правилах (точнее, директивах, OSSIM) и о том как они связаны.

Первые (правила OSSEC) можно найти в меню Environment -> Detection –> Edit rules.

Вторые – в меню Configuration -> Threat Intelligence -> Directives.

Возникает резонный вопрос – где же правила корреляции, которые являются неотъемлемой частью SIEM системы?

Чтобы ответить на этот вопрос рассмотрим устройство OSSIM.

Как заявляет сам производитель, в составе OSSIM/USM несколько отдельных продуктов, среди которых есть HIDS система OSSEC. У OSSEC есть правила выявления вредоносной активности, которые как раз настраиваются через меню Environment -> Detection –> Edit rules. Эти правила могут быть в том числе и правилами корреляции, например, для выявления брутфорса. Важно понимать, что эти правила действуют только на события, собранные OSSEC, но никак не на весь поток событий, поступающих в OSSIM.

OSSEC собирает события из логов источников, на которые установлены его агенты. Кроме этого OSSEC генерирует события (в контексте OSSEC называемые Alert), при срабатывании упомянутых выше правил.

Все эти события – и сырые логи, и Alert’ы OSSEC записывает в файл, который потом читает plugin OSSIM. Таким образом, для OSSIM весь поток данных от OSSEC – и просто логи и Alert’ы предстают просто событиями, которые обрабатываются правилами (Directive’ами) OSSIM.

А правила самого OSSIM находятся в меню Configuration -> Threat Intelligence -> Directives. Как материал для обработки они используют весь объем событий, поступающий в OSSIM: события от OSSEC (логи и Alert’ы), события поступающие по Syslog, WMI, из баз данных и т.д.

Для наглядности всего вышесказанного привожу рисунок.