Q trình kết nối được diễn ra như sau:
• Bản ghi được gửi từ thiết bị đến các cảm biến (Sensor):
Các thiết bị hỗ trợ giao thức Syslog được cấu hình để truyền các log events của chúng tới AlienVault Sensor qua cổng UDP/TCP 514.
Rsyslog trên AlienVault Sensor nhận được những sự kiện này, và bộ đệm cục bộ của chúng vào các tập tin log theo cấu hình.
• Logs file được phân tích bởi Agent sử dụng Plugins.
OSSIM có một tiến trình gọi là agent được cài đặt trên tất cả các Sensor OSSIM.Agent có một số plugin cho phép phân tích tất cả các sự kiện cụ thể cho một hệ thống như Windows, Checkpoint Firewall hoặc Cisco. Security Events được trích xuất từ các Logs và được gửi tới AlienVault Server.
• Các SID chuẩn hóa được truyền tới AlienVault Server.
Các Event Messages được gán Security ID và được phân loại trong các fields của quá trình Normalized.Các Agent chuyển giao các bản ghi đã được xử lý đến AlienVault Server trên Port TCP/40001.
Các bản ghi được chia thành các loại message,và các thông tin sử dụng từ chúng được lưu trữ trong các trường khác nhau.
• Server gửi các Event tới Database.
Một Event Database thường được tổ chức trên cùng một AlienVault Server, nhưng khi triển khai hệ thống lớn, Database có thể nên được triển khai trên một server riêng để tăng hiệu suất hoạt động.
Mặc dù các Event hiện tại đang được lưu trữ vào ổ đĩa, máy chủ vẫn có nhiều hơn các hoạt động thực hiện trên chúng trước khi chúng đã sẵn sàng để được truy vấn, Database được truy cập thông qua TCP port 3306.
• Server phân tích các Event tính tốn giá trị rủi ro đối với hệ thống.
Mỗi loại sự kiện có một SID(Trong event Agent của Ossim), được chỉ định một “giá trị” ưu tiên và độ tin cậy khi các plugin được tạo ra.
Server checks Assets để gán Risk Score. Server duy trì đánh giá giá trị của các thiết bị được biết đến trên mạng, với giá trị tài sản liên quan cho mỗi định tầm quan trọng của chúng với hệ thống.
Các giá trị sau khi được gán sẽ tính được giá trị rủi ro theo cơng thức:
Risk = asset * ( reliability * priority / 25 )
Trong đó:
+ Các tài sản ( Asset): Chúng ta sẽ phải xác định các nguồn tài nguyên có giá trị như thế nào, chúng có tầm quan trọng như thế nào đối với hệ thống. Đó có thể là máy chủ lưu trữ cơ sở dữ liệu khách hàng có giá trị. Hoặc có thể đó là cụm mạng hoặc vùng DMZ?. Chúng ta sẽ phải chỉ định một giá trị tương đối đối với các thiết bị. Giá trị này được đo từ 0 – 5. Tất cả các tài sản trong việc kiểm kê AlienVault sử dụng một số cây, trong đó tài sản được phân nhóm dựa trên một số đặc tính của tài sản như tác hệ thống, dịch vụ, và phần cứng được cài đặt trong tài sản. Có thể phân loại tài sản theo loại địa chỉ host, network, services, hệ điều hành...
+ Độ ưu tiên (Priority): Ưu tiên được định nghĩa là: Mức độ quan trọng của các cuộc tấn cơng nếu như nó thành cơng. Giá trị ưu tiên phân tích bao nhiêu tổn hại một cuộc tấn cơng thành cơng có thể gây ra. Một cuộc tấn cơng DDOS có mức độ nguy hiểm đố với cả hệ thống mạng thường có độ ưu tiên cao. Độ ưu tiên có giá trị từ 0 – 5, mặc định độ ưu tiên là 1.
+ Độ tin cậy (Reliability). Đây là chỉ số đánh giá khả năng xảy ra của các đe dọa đối với hệ thống. Nếu một host kết nối với 5 máy chủ khác nhau trên subnet riêng của họ sử dụng cổng 445 thì đây có thể là một hành vi bình thường,tuy nhiên nếu có hành động đăng nhập nhiều lần thì mức độ tin cậy - sự kiện là một cuộc tấn công xâm nhập – được đẩy lên mức cao hơn. Độ tin cậy có giá trị từ 0 – 10, mặc định độ tin cậy là 1.
Giá trị rủi ro là các sản phẩm có quy mơ về độ tin cậy, ưu tiên và tài sản, và báo động được tạo ra nếu rủi ro là lớn hơn hoặc bằng một, như có thể thấy trong đoạn mã sau đây từ các tập tin sim-organizer.c trong mã nguồn OSSIM:
• Server thiết lập cơng cụ tương quan khởi tạo cơ chế báo động.
Khi sự kiện tiếp tục được đưa vào công cụ tương quan, các điều kiện được đáp ứng bắt đầu một chế báo động.
Báo động có thể kích hoạt trên một sự kiện duy nhất phù hợp với điều kiện nhất định, hoặc có thể cần một trình tự cụ thể của các sự kiện để kích hoạt.
3.4.2Xây dựng mơ hình thiết lập riêng biệt