Numerical             Facility
             Code

              0             kernel messages
              1             user-level messages
              2             mail system
              3             system daemons
              4             security/authorization messages
              5             messages generated internally by syslogd
              6             line printer subsystem
              7             network news subsystem
              8             UUCP subsystem
              9             clock daemon
             10             security/authorization messages
             11             FTP daemon
             12             NTP subsystem
             13             log audit
             14             log alert
             15             clock daemon (note 2)
             16             local use 0  (local0)
             17             local use 1  (local1)
             18             local use 2  (local2)
             19             local use 3  (local3)
             20             local use 4  (local4)
             21             local use 5  (local5)
             22             local use 6  (local6)
             23             local use 7  (local7)

SYSLOG

SYSLOG-MSG      = HEADER SP STRUCTURED-DATA [SP MSG]
HEADER          = PRI VERSION SP TIMESTAMP SP HOSTNAME
SP APP-NAME SP PROCID SP MSGID
= 1*3DIGIT ; range 0 .. 
PRI             = "<" PRIVAL ">"
PRIVAL    
VERSION         = NONZERO-DIGIT 0*2DIGIT
HOSTNAME        = NILVALUE / 1*255PRINTUSASCII
APP-NAME        = NILVALUE / 1*48PRINTUSASCII
MSGID           = NILVALUE / 1*32PRINTUSASCII
PROCID          = NILVALUE / 1*128PRINTUSASCII-TIME
FULL-DATE       = DATE-FULLYEAR "-" DATE-MONTH
TIMESTAMP       = NILVALUE / FULL-DATE "T" FULL "-" DATE-MDAY
      DATE-FULLYEAR   = 4DIGIT
      DATE-MONTH      = 2DIGIT  ; 01-12; month/year
FULL-TIME       = PARTIAL-TIME TIME
DATE-MDAY       = 2DIGIT  ; 01-28, 01-29, 01-30, 01-31 based on-OFFSET
      PARTIAL-TIME    = TIME-HOUR ":" TIME-MINUTE ":" TIME-SECOND
                        [TIME-SECFRAC]
      TIME-HOUR       = 2DIGIT  ; 00-23MOFFSET
TIME-NUMOFFSET  = ("+" / 
TIME-MINUTE     = 2DIGIT  ; 00-59
      TIME-SECOND     = 2DIGIT  ; 00-59
      TIME-SECFRAC    = "." 1*6DIGIT
      TIME-OFFSET     = "Z" / TIME-NU"-") TIME-HOUR ":" TIME-MINUTE


      STRUCTURED-DATA = NILVALUE / 1*SD-ELEMENT
      SD-ELEMENT      = "[" SD-ID *(SP SD-PARAM) "]"M-VALUE     = UTF-8-STRINcharacters '"', '\' and
SD-PARAM        = PARAM-NAME "=" %d34 PARAM-VALUE %d34
      SD-ID           = SD-NAME
      PARAM-NAME      = SD-NAME
      PARA                              ; ']' MUST be escaped.
      SD-NAME         = 1*32PRINTUSASCII
                        ; except '=', SP, ']', %d34 (")

      MSG             = MSG-ANY / MSG-UTF8
MSG-ANY         = *OCTET ; not starting with BOM
      MSG-UTF8        = BOM UTF-8-STRING
      BOM             = %xEF.BB.BF


UTF-8-STRING    = *OCTET ; UTF-8 string as specified

                         ; in RFC 3629
OCTET           = %d00-255
SP              = %d32
26
      NONZERO-DIGIT   = %d49-
PRINTUSASCII    = %d33-
157
  DIGIT           = %d48 / NONZERO-DIGIT
 NILVALUE        = "-"

http://books.tr200.ru/v.php?id=358879

http://www.darkreading.com/security-monitoring/167901086/security/security-management/227701138/index.html

http://www.darkreading.com/security-monitoring/167901086/security/security-management/229218914/practitioners-detail-evolution-of-siem-deployments.html?ticket=ST-346545-xcm3eqJf5RaIZCulldhB-login.techweb.com

Tasks

1. 
   

my question about OSSIM in SIEM group in LINKEDIN

http://www.linkedin.com/groupAnswers?viewQuestionAndAnswers=&discussionID=41192418&gid=1594747

my SIEM forum QUESTION about hardware requirements

https://www.alienvault.com/forum/index.php?t=msg&th=2832&start=0&S=3b48eb5cb8dc033cfad373ba85698dd5

OPEN SIEM

Типичная система на OSSIM состоит из:

• сервера - производит управление корреляционным движком, нормализацию данных, оценку риска и приоритета событий;
• демона контроля framework, работающего на сервере и связывающего отдельные части вместе;
• базы данных – обеспечивает занесение информации в реляционную базу данных и корреляцию данных (основные компоненты - MySQL, OSSIM, Snort/ACID и Phpgacl);
• агентов – призваны объединить и обеспечить занесение в базу данных информации, снятой с различных сенсоров: Snort, Pads, Ntop, Tcptrack, p0f, Arpwatch, Nessus и пр. (список плагинов доступен на страничке www.alienvault.com/home.php?id=plugins);
• веб-консоль управления – управление работой всей системы, анализ и выдача данных, оценка риска (Apache, PHP c ADOdb, Phpgacl, Rrdtool, Mrtg, ACID, Nessus, Nmap, Ntop, FPDF и пр.)

http://www.sans.org/reading_room/whitepapers/logging/practical-application-sim-sem-siem-automating-threat-identification_1781

מה זה SIEM

 - מערכות לניהול אבטחת מידע

תפקידן של מערכות ה-SIEM (ר"ת של Security Information and Event Management) הוא ללקט מידע מהלוגים שמיוצרים במערכות האבטחה ובציוד הרשת הרב בארגון. המערכות אוספות מידע זה, מתעדפות אותו, מנתחות אותו (זיהוי תבניות, סטטיסטיקה וכדומה), מצליבות אותו ומאפשרות לראות אותו בצורה בעלת ערך מוסף רב. למשל, ניתן לזהות פרצות אבטחה או אירועי אבטחה, שמתרחשים כמעט בזמן אמת. באמצעות ה-SIEM ניתן להשתמש בלוגים רבים על-מנת לקבל תמונת אבטחה כוללת ומדויקת. פעמים רבות, לוג בודד הוא חסר משמעות ורק התמונה הגדולה מאפשרת לזהות כשלים ופרצות.

שני שמות נרדפים ל-SIEM הם SIM (או Security Information Management) ו-SEM (או Security Events Management). בפועל, לא קיים כיום הבדל בין 3 מושגים אלה ולשם הכלליות מקובל לקרוא להן (במיוחד בארץ) - מערכות SIEM.