Di dalam sistem pengumpulan data, terjadi proses penyeragaman event-event security, mulai dari semua titik critical pada sistem hingga ke organisasi. Event-event tersebut diragamkan dalam satu format dan hanya berada pada satu konsol. Dengan event-event yang sudah diseragamkan kita bisa mengamati seluruh status security yang berkaitan dalam waktu-waktu tertentu. Seluruh data yang berasal dari berbagai sumber (misalnya router, firewall, IDS, atau server UNIX), kemudian ditampilkan dalam satu layar dan diperlihatkan dengan satu format yang seragam. Pengumpulan data pada sisi sensor bisa dilakukan dengan dua cara:
- Mengirimkan data dari host yang dianalisa ke sensor terdekat, yang mana sensor tersebut bekerja untuk mengkonsentrasikan data.
- Menginstall agent pada host yang akan dianalisa, yang kemudian agent akan mengirimkan data ke sensor.
Agent dan Plugin OSSIM
OSSIM memiliki sebuah proses yang disebut Agent, yang diinstall pada semua sensor OSSIM. Agent tersebut memiliki sejumlah plugin sehingga kita dapat menguraikan semua event-event khusus untuk sebuah sistem. Beberapa contoh plugin antara lain
| Apache | Arpwatch | Cisco IDS | Cisco PIX |
| Cisco Router | Cisco VPN | Cluster Manager | Exchange |
| Fortigate | Firewall-1 NG | GFI | Heartbeat |
| IIS | McAfee | Nagios | Nessus |
| Netscreen Firewall | Nmap Monitor | Ntop Monitor | Osiris |
| SSH | Sudo | Symantec | dll... |
Kebijakan pengumpulan, normalisasi, dan prioritas
Plugin akan menguraikan log, dan Agent kemudian mengirimkan event tersebut melalui network ke server OSSIM. Ketika event tiba di server, akan dilakukan normalisasi terhadap nilai prioritas. Normalisasi ini diperlukan karena setiap detektor memiliki kategori prioritas dan threat yang berbeda-beda. Misalnya Snort memiliki prioritas maksimum 3, sedangkan Unix memiliki 8 tingkatan. Semua event dinormalisasikan dengan menggunakan nilai prioritas antara 0 sampai 5. Table normalisasi memiliki nilai default yang bisa diubah untuk setiap event. Terdapat juga panel kebijakan dimana prioritas atau ancaman disesuaikan dengan konteksnya pada topology jaringan, memberikan nilai prioritas yang lebih tinggi pada serangan eksternal dibanding serangan internal, dan menurunkan prioritas untuk false positive yang sudah diketahui.
Mengimplementasikan kebijakan pengumpulan data
Kita dapat menginstall kebijakan prioritas dan correlation directives pada setiap sensor untuk menyaring event tipe-tipe tertentu yang ingin dikumpulkan. Kita dapat menggabungkan event-event yang sama dan hanya mengirimkan satu event yang unik. Kita juga dapat mengevaluasi resiko secara langsung dan hanya mengirimkan event-event yang dirasa penting. Kebijakan prioritas bisa didownload dari sebuah server induk sehingga sensor tidak membutuhkan akses database, dan kebijakan-kebijakan tertentu bisa diterapkan secara global pada seluruh sensor.
Materi diambil dari: http://www.alienvault.com/wiki/doku.php?id=documentation:collect
Tweet
Tidak ada komentar:
Posting Komentar