为了在SIEM控制台中删除不必要的干扰事件,读者需要掌握3个重要的按钮的功能,这三个按钮在事件列表的左下角。
- Delete seleced:删除勾选项事件,想要快速勾选所有事件,可以将Signature前面的复选框选中。
- Delete all on screen:该选项可快速删除当前屏幕显示的事件。
- Delete entire query:删除全部查询。
OSSIM系统每天会自动备份SIEM事件,存储路径为/var/lib/ossim/backup,我们可以不必使用命令行的方式来查看,可以通过Web UI中点击鼠标就可以完成,按照步骤Configuration-->Adminstration-->Backup,菜单中选项,Dates to Restore中的某个日期,之后单击Restore按钮,系统可以进行恢复了,如下图所示:
参考书目:开源安全运维平台Ossim最佳实战,李晨光著。