Логи от snoopy в AlienVault/Ossim

Question

Логи от snoopy в AlienVault/Ossim

Я пытаюсь анализировать логи от snoopy. Например:

Dec  2 07:58:31 local.server snoopy[14165]: [uid:1660 sid:14056 tty:/dev/pts/1 cwd:/home/myuser filename:/usr/bin/ssh]: ssh root@remote.server

Я написал декодер:

<decoder name="snoopy-logger">
  <program_name>^snoopy</program_name>
</decoder>

а также:

<group name="snoopy-test">
    <rule id="100040" level="0">
      <decoded_as>snoopy-logger</decoded_as>
      <description>Ignore Snoopy logger events</description>
    </rule>
    <rule id="100041" level="15">
      <if_sid>100040</if_sid>
      <match>ssh root@</match>
      <description>snoopy root</description>
    </rule>
  </group>

И когда я протестировал через logtest, я получил:

**Phase 1: Completed pre-decoding.
       full event: 'Dec  2 07:58:31 local.server snoopy[14165]: [uid:1660 sid:14056 tty:/dev/pts/1 cwd:/home/myuser filename:/usr/bin/ssh]: ssh root@remote.server'
       hostname: 'local.server'
       program_name: 'snoopy'
       log: '[uid:1660 sid:14056 tty:/dev/pts/1 cwd:/home/myuser filename:/usr/bin/ssh]: ssh root@remote.server'

**Phase 2: Completed decoding.
       decoder: 'snoopy-logger'

**Phase 3: Completed filtering (rules).
       Rule id: '100041'
       Level: '15'
       Description: 'snoopy root'
**Alert to be generated.

Так что это работает, но в SIEM я получил событие с src_ip и dst_ip = 0.0.0.0. Что я пропустил? Мне нужны src_ip = local.server и dst_ip = remote.server.

Спасибо заранее за любые предложения:)

1

alienvault

Источник

user5649592 07 дек '15 в 10:46

1 ответ

Другие вопросы по тегам alienvault

user6126664 29 мар '16 в 18:00 2016-03-29 18:00 · Answer 1 · 2016-03-29 18:00

Похоже, мой ответ немного запоздал, но, к сожалению, правила OSSEC - это только половина проблемы синтаксического анализа в AlienVault.

Когда OSSEC анализирует событие и имеет достаточно высокий уровень для генерации оповещения OSSEC, оно записывается в /var/ossec/logs/alerts/alerts.log, где оно затем выбирается ossim-agent, который читает файл оповещений, ossim-agent - это сенсорный процесс, который отвечает за чтение необработанных текстовых журналов, а затем их синтаксический анализ с использованием регулярных выражений, определенных в плагине (в данном случае плагин ossec-single-line.cfg в /etc/ossim/agent/plugins/).

Возможно, вам понадобится добавить дополнительное правило к вашему плагину, создав файл ossec-single-line.cfg.local в / etc / ossim / agent / plugins /, чтобы добавить правила в исходный плагин для OSSEC.

Более подробную информацию о создании правил и файлов плагинов можно найти в документации AlienVault здесь: https://www.alienvault.com/doc-repo/usm/security-intelligence/AlienVault-USM-Plugins-Management-Guide.pdf

Проверьте раздел Настройка плагинов, начиная со стр. 35.

Удачного Тюнинга!