1. Sim Server
1.1. Présentation
OSSIM-serveur est un démon (écrit en langage C) qui permet le traitement des événements reçus par les agents/framework. Il peut aussi envoyer des ordres aux sondes (agent ou framework). Il stocke les informations dans la base de données, il gère la corrélation (cross, directive, policy). Par défaut, OSSIM-serveur écoute sur le port 40001/tcp.
Son but principal est de :
- Collecter toutes les données des agents ou d'autres serveurs.
- Prioriser les événements reçus.
- Corréler les événements provenant de différentes sources.
- Réaliser l'évaluation des risques en générant des alarmes.
- Stocker les événements dans la base.
1.1.1. Les fichiers essentiels
Tous les fichiers de configurations (configuration globale, directives, base de réputation, etc.) sont stockés sous le répertoire /etc/ossim/server/.
1.2. Corrélation par « directive »
1.2.1. Composition d'une directive
L'analyse se fait soit sur la remontée d'événements passifs...
