Tasks

1. 
   

my question about OSSIM in SIEM group in LINKEDIN

http://www.linkedin.com/groupAnswers?viewQuestionAndAnswers=&discussionID=41192418&gid=1594747

my SIEM forum QUESTION about hardware requirements

https://www.alienvault.com/forum/index.php?t=msg&th=2832&start=0&S=3b48eb5cb8dc033cfad373ba85698dd5

OPEN SIEM

Типичная система на OSSIM состоит из:

• сервера - производит управление корреляционным движком, нормализацию данных, оценку риска и приоритета событий;
• демона контроля framework, работающего на сервере и связывающего отдельные части вместе;
• базы данных – обеспечивает занесение информации в реляционную базу данных и корреляцию данных (основные компоненты - MySQL, OSSIM, Snort/ACID и Phpgacl);
• агентов – призваны объединить и обеспечить занесение в базу данных информации, снятой с различных сенсоров: Snort, Pads, Ntop, Tcptrack, p0f, Arpwatch, Nessus и пр. (список плагинов доступен на страничке www.alienvault.com/home.php?id=plugins);
• веб-консоль управления – управление работой всей системы, анализ и выдача данных, оценка риска (Apache, PHP c ADOdb, Phpgacl, Rrdtool, Mrtg, ACID, Nessus, Nmap, Ntop, FPDF и пр.)

http://www.sans.org/reading_room/whitepapers/logging/practical-application-sim-sem-siem-automating-threat-identification_1781

מה זה SIEM

 - מערכות לניהול אבטחת מידע

תפקידן של מערכות ה-SIEM (ר"ת של Security Information and Event Management) הוא ללקט מידע מהלוגים שמיוצרים במערכות האבטחה ובציוד הרשת הרב בארגון. המערכות אוספות מידע זה, מתעדפות אותו, מנתחות אותו (זיהוי תבניות, סטטיסטיקה וכדומה), מצליבות אותו ומאפשרות לראות אותו בצורה בעלת ערך מוסף רב. למשל, ניתן לזהות פרצות אבטחה או אירועי אבטחה, שמתרחשים כמעט בזמן אמת. באמצעות ה-SIEM ניתן להשתמש בלוגים רבים על-מנת לקבל תמונת אבטחה כוללת ומדויקת. פעמים רבות, לוג בודד הוא חסר משמעות ורק התמונה הגדולה מאפשרת לזהות כשלים ופרצות.

שני שמות נרדפים ל-SIEM הם SIM (או Security Information Management) ו-SEM (או Security Events Management). בפועל, לא קיים כיום הבדל בין 3 מושגים אלה ולשם הכלליות מקובל לקרוא להן (במיוחד בארץ) - מערכות SIEM.