اجزا و ابزارهای OSSIM
بخشهای مختلف OSSIM
-
سرور (Server): بخش سرور به عنوان مرکز اصلی مدیریت و پردازش داده های امنیتی عمل می کند. این بخش داده ها را از سنسورها دریافت می کند، ارتباط میان رویدادها را مشخص کرده و بر اساس رخدادهای امنیتی هشدار ایجاد می کند.
-
سنسور (Sensor): بخش سنسور وظیفه شناسایی هاست ها و سرویس ها را از طریق نظارت غیرفعال بر ترافیک شبکه بر عهده داشته و به کشف و جمع آوری اطلاعات مربوط به دارایی ها و فعالیت های شبکه کمک می کند.
-
لاگر(Logger): این بخش وظیفه جمع آوری، تجمیع و تجزیه و تحلیل لاگها از منابع مختلف در سازمان را بر عهده دارد و یکی از مهمترین بخش ها است.
اجزا و ابزارهای نرم افزاری OSSIM
-
PRADS: این ابزار برای شناسایی داراییها مثل هاست ها و سرویس ها از طریق مانیتورینگ غیرفعال (Passive) ترافیک شبکه استفاده می شود.
-
NMAP: این ابزار برای شناسایی داراییها به طور فعال (Active) مورد استفاده قرار میگیرد.
-
Suricata: این ابزار به عنوان سیستم تشخیص نفوذ تحت شبکه (NIDS) در OSSIM استفاده می شود.
-
OSSEC: این ابزار به عنوان سیستم تشخیص نفوذ تحت میزبان (HIDS) در OSSIM استفاده میشود.
-
Nagios: این ابزار برای پایش در دسترس بودن منابع روی سیستمهای میزبان و پورت های مشخص شده و همچنین مانیتورینگ کامل سیستم کاربرد دارد.
-
OpenVAS: این ابزار برای ارزیابی آسیب پذیری و مرتبط کردن آن با دارایی ها استفاده می شود.