走近OSSIM传感器（Sensor）插件

时间 2019-11-21

标签走近 ossim 传感器 sensor 插件繁體版

原文原文链接

走近OSSIM传感器（Sensor）插件 正则表达式

在上一篇博文介绍完OSSIM架构何组成，接着要介绍它“神秘”的插件，阅读插件前提示您熟练掌握正则表达式。 apache

Sensor启用插件列表,管理它们很是简单： api

下面看看插件全局配置文件安全

[plugins] 网络

apache=/etc/ossim/agent/plugins/apache.cfg 架构

nmap-monitor=/etc/ossim/agent/plugins/nmap-monitor.cfg app

ossec-single-line=/etc/ossim/agent/plugins/ossec-single-line.cfg 运维

ossim-monitor=/etc/ossim/agent/plugins/ossim-monitor.cfg ssh

pam_unix=/etc/ossim/agent/plugins/pam_unix.cfg spa

ping-monitor=/etc/ossim/agent/plugins/ping-monitor.cfg

prads_eth0=/etc/ossim/agent/plugins/prads_eth0.cfg

ssh=/etc/ossim/agent/plugins/ssh.cfg

sudo=/etc/ossim/agent/plugins/sudo.cfg

suricata=/etc/ossim/agent/plugins/suricata.cfg

whois-monitor=/etc/ossim/agent/plugins/whois-monitor.cfg

wmi-monitor=/etc/ossim/agent/plugins/wmi-monitor.cfg

Sensor插件将预处理数据发往Server，定义以下

[output-server]

enable=True

ip=192.168.91.228

port=40001

send_events=True

1. Apache日志处理插件

下面已Apache插件为例，看看插件中的正则表达式：

[0001 - apache-access] 访问日志

event_type=event

regexp=((?P\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(:(?P\d{1,5}))? )?(?P\S+) (?P\S+) (?P\S+) \[(?P\d{2}\/\w{3}\/\d{4}:\d{2}:\d{2}:\d{2})\s+[+-]\d{4}\] \"(?P[^\"]*)\" (?P\d{3}) ((?P\d+)|-)( \"(?P[^\"]*)\" \"(?P[^\"]*)\")?$

src_ip={resolv($src)}

dst_ip={resolv($dst)}

dst_port={$port}

date={normalize_date($date)}

plugin_sid={$code}

username={$user}

userdata1={$request}

userdata2={$size}

userdata3={$referer_uri}

userdata4={$useragent}

filename={$id}

[0002 - apache-error] 错误日志

event_type=event

regexp=\[(?P\w{3} \w{3} \d{2} \d{2}:\d{2}:\d{2} \d{4})\] \[(?P(emerg|alert|crit|error|warn|notice|info|debug))\] (\[client (?P\S+)\] )?(?P.*)

date={normalize_date($date)}

plugin_sid={translate($type)}

src_ip={resolv($src)}

userdata1={$data}

若是您对Apache日志基本格式不太了解请参看《Unix/Linux网络日志分析与流量监控》一书。

若是您是经过syslog转发apache日志，那么正则该这样写：

[0001 - apache-syslog-access]
event_type=event
regexp=^\w{3}\s+\d{1,2} \d\d:\d\d:\d\d (?P\S+) \S+: ((?P\S+)(:(?P\d{1,5}))? )?(?P\S+) (?P\S+) (?P\S+) \[(?P\d{2}\/\w{3}\/\d{4}:\d{2}:\d{2}:\d{2})\s+[+-]\d{4}\] \"(?P.*)\" (?P\d{3}) ((?P\d+)|-)( \"(?P.*)\" \"(?P.*)\")?$
src_ip={resolv($src)}
dst_ip={resolv($dst)}
dst_port={$port}
device={resolv($device)}
date={normalize_date($date)}
plugin_sid={$code}
username={$user}
userdata1={$request}
userdata2={$size}
userdata3={$referer_uri}
userdata4={$useragent}
filename={$id}

[0002 - apache-syslog-error]
event_type=event
regexp=^(?P\w{3}\s+\d{1,2} \d\d:\d\d:\d\d) (?P\S+) \S+: \[(?P(emerg|alert|crit|error|warn|notice|info|debug))\] (\[client (?P\S+)\] )?(?P.*)
date={normalize_date($date)}
dst_ip={resolv($device)}
device={resolv($device)}
date={normalize_date($date)}
plugin_sid={translate($type)}
src_ip={resolv($src)}
userdata1={$data}

下面看看Apache插件有啥能耐？

这就是对Apache日志的归一化处理的效果，每类插件对应了一个插件ID，你们在使用SIEM事件分析时要牢记该ID号（看多了就懂了）。

2. SSH日志处理插件

Apache日志比较简单，下面介绍的SSH日志就复杂多啦

由上面第一条正则处理的归一化事件以下图所示。

接着咱们看看第二条正则在处理“无效用户”是如何生成归一化事件的

接着看一条SSH日志插件正则表达式

通过处理后生成对应的归一化事件，以下图所示。

当使用SSH或SFTP链接某个host时，会有一系列的检查以保证你可以链接到你想链接的机器。其中一项是 “reverse lookup on the IP address”检查机器名称和你要链接的机器名称一致。不然，你会获得这样一个错误信息：”reverse mapping checking getaddrinfo for … POSSIBLE BREAK-IN ATTEMPT!”.这是告诉咱们，尽管咱们在链接example.com ，可是实际上该server的IP 地址对应到a.b.c.d.adsl-pool.jx.chinaunicom.com 。但这个发生的时候，就是由于server 上的reverse DNS 没有设置好。

下回有时间再讲讲Cisco-ASA插件。

看完这些事例，有人感受到一个问题，归一化以后的事件内容，比原始日志富含的信息多了，为何？若你们想详细了解这种基于插件的日志采集处理方式，请参考《开源安全运维平台-OSSIM最佳实践》一书。