OSSIM系列_9_USM Appliance 事件处理流程

USM Appliance 事件处理流程
USM Appliance安装完成以后,事件开始在USM Appliance系统中flowing,这时候可以对正在发生的正常的活动,可能发生的攻击都有所了解。USM Appliance同事开始从网络和各种设备,如防火墙,路由器,交换机,服务器,应用程序中收集数据。除此以外,它还能发现和确定环境中可能存在的漏洞和威胁。

下面的图详细的描述出USM Appliance Sensor在网络环境中收集、生成事件的流程,以及Sensor发送数据到Server的处理过程

Alt text
Sensor把资产发现、漏洞评估、威胁检测和行为监测结合起来,提供全面的感知场景。Sensor是USM Appliance平台的前线安全组件,在网络环境、漏洞,攻击目标,攻击载体,服务这些问题上实现可视化。
Sensor把来自设备的原始日志数据和其他活动、状态信息按照USM Appliance事件格式归一化处理,处理后的事件被发送到Server
Server通过web界面提供统一的管理接口,接口可以实现自动化,OTX 和AlienVault Labs 威胁情报来关联数据,发现异常现象,降低风险,提高运营效率
Server从Sensor接收数据,并执行策略评估。策略中规定了事件的操作。默认情况下,事件会从风险评估模块发送到关联引擎,然后存储在内置的SQL 数据库。如果有需要,Events也可以来自其他Server。数据流是可以通过USM Appliacn策略配置的
Correlation(即关联性)可以通过逻辑或和and、逻辑或or与patterns和多个条件的比较,在逻辑上处理事件。Correlation可以使用事件和漏洞数据的互相关性来计算。Events处理和correlated之后,Server执行风险分析,如果事件的风险值足够高,就会触发一个报警。
Logger是USM Appliance的安全数据归档组件。用来存储所有的event data,为后续的调查和取证的数据检索、合规报告做准备。

Add a Comment

电子邮件地址不会被公开。 必填项已用*标注