CS-MARS thu thập các sự liên quan với nhau, kết quả của sự liên quan các sự kiện này tạo ra một session.
Một session được tạo khi các sự kiện được xác định bởi thời gian, IP nguồn, IP đích, port nguồn, port đích, giao thức và MARS xác định được rằng chúng có liên quan đến nhau.
Giả sử ta xem xét một cuộc tấn công đến máy chủ web, các thiết bị mạng và bảo mật đều tạo ra một bản ghi. Ta có thể thấy một session được tạo bởi một tập các bản ghi sự kiện đó:
Firewall cho phép truyền thông qua cổng 80 TCP từ máy của kẻ tấn công đến máy chủ web và gửi một bản ghi đến MARS qua syslog.
IDS hoặc IPS xác định có tấn công DDOS đến máy chủ web và gửi bản ghi thông qua SDEE.
Router xác định được truyền thông từ máy kẻ tấn công đến máy chủ web qua TCP 80 và gửi bản ghi qua syslog.
Máy chủ web ghi nhận lại thông tin của kẻ tấn công rồi gửi đến MARS.
Tất cả các bản ghi sự kiện của dữ liệu xuất phát từ cùng một mạng sẽ được thu thập tạo thảnh một session.
1.15.3. Quy tắc (Rules)
Rules là các quy định phải được đáp ứng chính xác để CSMARS có một hành động. Theo mặc định, khi tất cả các điều kiện của Rule được đáp ứng, một sự cố được tạo ra, tùy thuộc vào từng loại Rules, ta có thể biết thêm chi tiết các hành động. Rules có thể là những cái cơ bản, như các sự kiện báo cáo của Firewall hoặc IDS, hoặc phức tạp hơn là đặc điểm các hành động ví dụ như một máy Server kết nối với máy Client thông qua các Port và sau đó gửi đến những hành động đó trên mạng.
Đơn giản như một quy tắc có thể là “báo cho tôi biết khi có từ khóa này xuất hiện trong các sự kiện” hay phức tạp hơn như “báo cho tôi tất cả các trường hợp khi có người cố gắng tấn công đăng nhập vào hệ thống”.
MARS sử dụng các quy tắc để xác định các hoạt động mà ta muốn kiểm tra. Quy tắc có thể được tạo ra nhờ truy vấn và thường sử dụng trong các báo cáo.
1.15.4. Sự cố (Incident)
Một Incident là một chuỗi các sự kiện tương quan ứng với mỗi Rule khi có tín hiệu một cuộc tấn công vào hệ thống mạng. CS-MARS sẽ phát hiện, giảm thiểu, báo cáo, và phân tích các sự cố đó. Dựa trên bảng điều khiển mạng và các trang Incident sẽ giúp chúng ta phát hiện và hiển thị các sự cố trên hệ thống mạng và giúp đưa ra các quy tắc và các sự kiện để phòng chống lại các tấn công.