Dsiem和OSSIM的区别

来源：https://github.com/defenxor/dsiem/blob/master/docs/differences_from_ossim.md

除了UI、列出的特性或存储后端这些明显的东西之外，Dsiem和OSSIM之间还有一些从一开始就不太明显的区别。本页面旨在向更有经验的OSSIM用户解释这些事情。

一、处理漏洞信息

OSSIM维护一个将CVE数字映射到Suricata plugin SIDs的表。如果事件与其中一个sid匹配，OSSIM将从事件中搜索其漏洞数据库的IP地址和端口，并从映射表中搜索相应的CVE编号。如果搜索返回一个积极的结果，OSSIM将把事件可靠性得分提高到10(最大值)，这反过来将提高相关警报的风险值。

OSSIM可以做上述工作，因为与Suricata和OpenVAS的深度集成是其范围的一部分。Dsiem做不到这一点，因为避免对特定工具的依赖是我们设计目标的一部分。我们(或任何人)可以为特定的部署在Dsiem中构建这样的集成，但是这些更改可能不会成为主要Dsiem代码库的一部分。

缺点是，Dsiem只能搜索事件的IP和端口对的漏洞信息源，而无法验证找到的任何漏洞是否确实与事件相关。因此，Dsiem中的正漏洞搜索结果仅用于装饰报警，与威胁情报信息相同，即不根据结果进行风险(重新)评估。因此，要由分析师来评估这些列出的漏洞与相关警报的相关性。

二、关系规则结构

OSSIM中的关系规则被建模为一个树，允许指令在最后阶段有多条路径。从文档:

当一个关联指令包含多个规则时，规则的缩进显示了规则之间的关系。缩进规则（Indented rules）具有和关系，并行规则具有或关系。

相反，Dsiem相关规则的结构类似于一个只能在一条路径上前进的列表。这是因为在我们的经验中，大多数用例最好表示为多个指令，而不是具有多个分支的单个指令。多个指令产生更简洁的警报标题，用户在制定它们时更不容易犯逻辑错误。

然而，在OSSIM规则中有一种常见且有效的多路径使用，那就是从以前完成的阶段捕获额外的事件。通常，这样做是为了防止这些事件创建另一个关联规则跟踪器实例(或者按OSSIM/Dsiem的说法是backlog)，而内存中仍然有一个活动的实例。为了支持这种有用的行为，Dsiem指令有一个额外的标记all_rules_always_active，可以激活它以获得相同的结果。

例如，假设我们想检测SSH bruteforce尝试，其中bruteforce定义为5个或更多的失败登录，然后在5分钟的时间框架内成功登录。OSSIM的规则是这样的:

上面的指令使用规则3a来实现主要目标，并使用3b来捕获在满足规则3a的条件之前可能发生的额外失败登录事件。

上述规则可以在Dsiem中实现，具体如下:

当上述指令处理达到第3级时，all_rules_always_active: true将导致它根据第1级和第2级规则不断评估新事件，从而防止后续SSH失败的登录事件为同一指令创建新的跟踪器(backlog)实例。