如何在OSSIM中使用意外事件通報單

我們可以使用安全資訊和事件管理系統來簡化危機事件處理的流程。「意外事件通報單」或稱「票證」是使用者對不同問題的追蹤請求。在危機事件處理的時候，代表使用者在網路、應用程式、系統和裝置上觀察到的可疑事件。

危機事件處理團隊負責更新票務平台中的事件回應流程以及其他相關的詳細資訊。同時，危機事件處理人員負責分析報告並提出組織內各種設備所需的升級、更換和更新建議，以防止將來發生此類事件

在這次練習中，我們將使用OSSIM工具來展示「意外事件通報單」的工作流程。 OSSIM是一個開源安全資訊和事件管理系統，整合了完整幫助事件處理人員處理及回應安全事件的工具。在OSSIM中，「意外事件通報單」充當追蹤工具，其中包含有關偵測到的警報或需要在工作流程中管理的其他問題的資訊。

本次練習任務的目標是向危機事件處理人員演示在AlienVault OSSIM平台上建立使用者帳戶、提出「意外事件通報單」的過程。

⦁ 在OSSIM 平台上建立使用者帳戶

⦁ 透過使用者帳戶在 OSSIM 上提出「意外事件通報單」

第一步：在OSSIM 平台上建立使用者帳戶：

我們以管理員身分從事件回應電腦在 OSSIM 平台上為 Steve建立使用者帳戶。

出現「您的連線不是私人」頁面；單擊 Advanced。

單擊 on Proceed to 172.30.0.10(unsafe)

出現登入頁面。在這裡，我們以管理員身分登入；分別在“使用者名稱”和“密碼”欄位中輸入admin和密碼，然後按一下“登入”

OSSIM儀表板出現；將遊標懸停在「配置」上，然後從下拉清單中按一下「管理」。

我們將被導航至「管理」頁面；按一下「新建」新增用戶

在這裡，我們建立一個帳戶：Steve。

第二步：透過steve使用者帳戶在OSSIM上提出「意外事件通報單」：

使用者 Steve 發現他的電腦沒有正確回應；桌面為空白，圖示被隱藏，並且不顯示日期和時間。Steve懷疑電腦受到攻擊，並決定使用票證系統(此處為 OSSIM)向所屬單位組織的安全運營中心(SOC)部門提出一張「意外事件通報單」，請求協助。

Steve用流覽器打開OSSIM的網頁

在Steve的儀表板頁面；將遊標懸停在“分析”上，然後從下拉清單中點擊「意外事件通報單」

若要開啟新「意外事件通報單」，請向下捲動到頁面底部。在手動開啟新「意外事件通報單」：下拉式選單中，選擇事件並點擊創建。

您將被重新導向到「意外事件通報單」頁面。在「標題」欄位中，輸入「空白畫面」；然後，從指派給欄位的使用者下拉清單中選擇 Steve。在“類型”下選擇“應用程式和系統故障”。其他欄位保留預設選項，然後按一下「儲存」。

這樣就創建了一張新的「意外事件通報單」，可以在「意外事件通報單」部分查看該「意外事件通報單」。