SIEM5.0 中顯示不同類別日誌

  在OSSIM系統SIEM事件收集中,常會收到重複日誌,例如,攻擊者對網絡上的某主機進行端口掃描,在每次探測中,系統會創建單獨的事件,每掃描一次IDS很可能會創建單獨的日誌,而這些大量重複事件的源IP和源端口在每個事件中不同,而目標IP地址(被攻擊的服務器)在每個事件中基本相同,這些重複的數據對安全人員意義不大,管理員需要看到具有不同特徵的事件序列。更重要的是對某個事件重複了多少次,頻率是多少,
相關文章
相關標籤/搜索