OSSIM memiliki 3 metode korelasi:
- Korelasi terhadap event yang berbeda (Logical Correlation)
- Korelasi antara event dengan vulnerability (Cross Corelation)
- Korelasi antara event dan service-service pada sistem operasi (Inventory Correlation)
Logical Correlation
Tujuan utama dari Logical Correlation adalah untuk mencari bukti-bukti apakah sebuah event security merupakan benar atau hanya false positif. Hal ini menjadi subject utama dari sistem security. Kita bisa saja mendapatkan ribuan event tiap hari, tapi hampir semua dari event tersebut merupakan false positif, kita membutuhkan sebuah sistem otomatis yang memeriksa apakah serangan benar-benar terjadi.
Logical Correlation dari OSSIM memiliki fitur-fitur:
- Hybrid source, menerima input berupa pola dari detektor dan input indikator dari monitor.
- Arsitektur yang rekursiv, event hasil korelasi, bisa dikorelasikan lagi oleh Correlation Directive lain.
- arsitektur hierarki yang terdistribusi, sehingga kita dapat membuat korelasi sebanyak n tingkat dan dengan topology yang terdistribusi.
- Definisi object dan range waktu yang fleksibel untuk setiap tingkatan.
Logical Correlation dilakukan oleh Correlation Directive yang mana akan mengimplementasikan tree dari node-node kondisi logical. Tree semacam ini biasa disebut tree AND/OR, dan biasanya digunakan dalam sistem kecerdasan buatan.
Ketika sebuah node logical cocok, correlation engine akan menuju ke anak pertama, jika tidak ci=ocok, makan akan menuju ke "saudara" berikutnya (node berikutnya, namun masih satu induk). Metode ini diperoleh dengan menerapkan operasi AND pada sumbu Y dan operasi OR pada sumbu X.
Nilai reliabilitas bergantung pada banyaknya node yang cocok dengan syarat yang sudah ditentukan. Semakin banyak bukti yang dimiliki, kemungkinan serangan yang terjadi adalah nyata juga meningkat.
Setiap directive mendefinisikan sebuah event tipe baru (nama event diturunkan dari directive) dan memiliki prioritas tertentu, sering kali directive mendefinisikan pola yang lebih lebar jika dibandingkan dengan event yang mentrigger directive tersebut. Event yang dihasilkan dari directive dianggap sebagai sebuah event OSSIM (mungkin dengan reliability yang lebih tinggi) yang kemudian dikirimkan ke collector seperti halnya apabila datang dari agent external, sehingga menciptakan jalur recursive dimana tingkatan korelasi yang berbeda bisa diterapkan.
Cross Corelation
Dengan menggunakan cross correlation, kita bisa mengurangi atau menambah nilai prioritas sebuah event karena kita mengetahui bahwa kita memiliki (atau tidak memiliki) vulnerability dengan mengkorelasikan informasi dari detektor dan vulnerability scanner. Cross Corelation milik OSSIM bergantung pada Vulnerability Database tertentu dan table cross corelation dari setiap detektor. OSSIM menggunakan database vulnerability dari OSVDB dan juga mencakup table Cross Corelation IDS Snort-Nessus.
Inventory Correlation
Serangan yang terjdi biasanya selalu ditargetkan secara spesific ke service atau OS tertentu. Inventory Correlation akan memeriksa jika mesin yang diserang memang menggunakan OS atau service yang menjadi target serangan. Jika memang menggunakan, kita akan yakin bahwa memang ada serangan, tapi jika tidak, kita bisa yakin bahwa event tersebut merupakan false positif.
Materi diambil dari http://www.alienvault.com/wiki/doku.php?id=documentation:correlate
Tweet
Tidak ada komentar:
Posting Komentar