OSSIM est un gestionnaire d'informations de sécurité basé sur des technologies open source. Son objectif est de centraliser et d’analyser ces contenus issus de divers outils, et de prendre les décisions adéquates tout en gardant un suivi.Il possède un ensemble d'outils intégrés permettant une multitude de possibilités de traitement de l'information. L'analyse et la corrélation des événements fiabilisent les alertes, évitent quantités de faux positifs. Elles permettent une levée d'alarme très fine.Voici la suite du précédent article qui présentait OSSIM et le fonctionnement de l'agent. Cette partie concernera le serveur et le framework, en particulier le fonctionnement des différents types de corrélations et leurs écritures.
1. Sim Server
1.1. Présentation
OSSIM-serveur est un démon (écrit en langage C) qui permet le traitement des événements reçus par les agents/framework. Il peut aussi envoyer des ordres aux sondes (agent ou framework). Il stocke les informations dans la base de données, il gère la corrélation (cross, directive, policy). Par défaut, OSSIM-serveur écoute sur le port 40001/tcp.
Son but principal est de :
- Collecter toutes les données des agents ou d'autres serveurs.
- Prioriser les événements reçus.
- Corréler les événements provenant de différentes sources.
- Réaliser l'évaluation des risques en générant des alarmes.
- Stocker les événements dans la base.
1.1.1. Les fichiers essentiels
Tous les fichiers de configurations (configuration globale, directives, base de réputation, etc.) sont stockés sous le répertoire /etc/ossim/server/.
1.2. Corrélation par « directive »
1.2.1. Composition d'une directive
L'analyse se...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
