描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787115505507丛书名: 51CTO学院丛书
中国OSSIM布道师的全新作品 以问与答的新颖方式进行写作 提供学习课程内容的部分重要软件 提供相关视频内容 OSSIM(Open Source Security Information Management,开源安全信息管理)系统是一个非常流行和完整的开源安全体系架构,通过将开源产品进行集成,提供了一种能实现安全监控功能的基础平台。当前,尽管OSSIM应用广泛,但是市面上缺乏系统化讲解OSSIM运维和开发的图书,OSSIM运维工程师在遇到疑难问题时没有头绪,不知如何解决。本书因此而生。 本书借助于作者在OSSIM领域长达10年的开发应用经验,精选了OSSIM日常因为操作中总结的近300个典型疑难问题,介绍了OSSIM系统安装部署和运维管理中常见的问题以及相应的解决方案。 本书内容: SIEM与网络安全态势感知; OSSIM部署基础; 安装OSSIM服务器; OSSIM系统维护与管理; OSSIM组成结构; 传感器; SIEM控制台操作; 可视化报警; OSSIM数据库。 本书专门针对OSSIM常见故障编写,涵盖的知识面广泛,所述问题具有很强的独立性。读者既可以按序逐章阅读,也可以有选择性地阅读。本书适合具有相关工作经验的技术经理或中运维工程师阅读,也可以作为运维领域研究人员的参考用书。
OSSIM(Open Source Security Information Management,开源安全信息管理)系统是一个非常流行和完整的开源安全架构体系,通过将开源产品进行集成,从而提供一种能实现安全监控功能的基础平台。 《开源安全运维平台OSSIM疑难解析:入门篇》精选了作者在OSSIM日常运维操作中遇到的许多疑难问题,并给出了相应的解决方案。本书共分为10章,内容包括SIEM与网络安全态势感知、OSSIM部署基础、安装OSSIM服务器、OSSIM系统维护与管理、OSSIM组成结构、传感器、插件处理、SIEM控制台操作、可视化报警以及OSSIM数据库等。 《开源安全运维平台OSSIM疑难解析:入门篇》适合具有一定SIEM系统实施经验的技术经理或中运维工程师阅读,还可以作为开源技术研究人员、网络安全管理人员的参考资料。
第 1章 SIEM与网络安全态势感知 1
Q001 什么是SIEM? 1
Q002 SIEM处理流程是什么? 1
Q003 SIEM基本特征分为几个部分,技术门槛是什么,有哪些商业产品? 2
Q004 SIEM中的安全运维模块包含哪些主要内容? 3
Q005 为什么要选择OSSIM作为运维监控平台? 4
Q006 在OSSIM架构中为何要引入威胁情报系统? 8
Q007 在OSSIM中OTX代表什么含义? 9
Q008 为什么要对IP进行信誉评级? 9
Q009 如何激活OTX功能? 9
Q010 如何手动更新IP信誉数据并查看这些数据? 11
Q011 如何读懂IP信誉数据库的记录格式? 11
Q012 为什么在浏览器中无法显示由谷歌地图绘制的AlienVaultIP信誉数据? 12
Q013 OSSIM使用的Google Maps API在什么位置? 12
Q014 在OSSIM系统中成功添加OTX key之后,为何仪表盘上没有显示? 12
Q015 将已申请的OTX key导入OSSIM系统时,为何提示连接失败? 13
Q016 外部威胁情报和内部威胁情报分别来自何处? 14
Q017 如何利用OSSIM系统内置的威胁情报识别网络APT攻击事件? 15
Q018 OpenSOC的组成结构和主要功能是什么,它和OSSIM之间的区别是什么? 15
Q019 Apache Metron是新生代的OpenSOC吗?部署难度大吗? 17
第 2章 OSSIM部署基础 20
Q020 OSSIM主要版本的演化过程是怎样的? 20
Q021 如何关闭和重启OSSIM? 23
Q022 OSSIM属于大数据平台吗? 24
Q023 OSSIM能作为堡垒机使用吗? 24
Q024 堡垒机的Syslog日志能否转发至OSSIM统一存储? 25
Q025 OSSIM平台属于CPU密集型、I/O密集型还是内存密集型系统? 25
Q026 OSSIM平台开发了哪些专属程序? 26
Q027 Kali Linux和OSSIM有什么区别? 27
Q028 安装OSSIM服务器组件时是否包含了传感器组件? 28
Q029 OSSIM能否安装在XEN或KVM虚拟化系统上? 29
Q030 OSSIM如何处理海量数据? 29
Q031 OSSIM是基于Debian Linux开发的,能否将其安装在其他Linux发行版上,例如RHAS、CentOS、SUSE Linux? 29
Q032 分布式OSSIM系统传感器如何部署? 29
Q033 OSSIM可输出的报表有哪些类型? 30
Q034 在OSSIM 3中通过什么技术可实现报表预览功能? 31
Q035 OSSIM企业版中可输出哪些类型的报表? 31
Q036 OSSIM能否用于APT和ShellCode高级攻击检测? 32
Q037 如何部署分布式OSSIM平台? 34
Q038 OSSIM系统中哪些服务是单线程,哪些服务是多线程? 34
Q039 如何查看ossim-agent进程正在调用的文件? 35
Q040 在分布式环境中如何添加传感器? 36
Q041 为何新添加的传感器在Web UI上无法显示NetFlow流? 38
Q042 如何查看某个进程打开了哪些文件? 41
Q043 如何监听系统中某个用户的网络活动? 41
Q044 OSSIM经过防火墙时,需要打开哪些端口? 42
第3章 安装OSSIM服务器 45
Q045 如何通过U盘安装OSSIM系统? 45
Q046 如何克隆OSSIM虚拟机以及为虚拟机设置克隆? 45
Q047 在安装OSSIM时,命令行下面的提示信息保存在什么位置? 47
Q048 执行alienvault-update命令升级后,为什么原来的配置会被覆盖? 48
Q049 执行alienvault-update命令升级之后,缓存文件如何清除? 48
Q050 如何选择OSSIM服务器? 48
Q051 安装OSSIM时能识别硬盘,但无法识别网卡,该如何处理? 49
Q052 选择OSSIM服务器硬件时,需要注意些什么问题? 49
Q053 安装OSSIM时需要插网线吗? 50
Q054 初装OSSIM时仅配置了单块网卡,后期需要再新增一块网卡,该如何操呢? 50
Q055 安装OSSIM时需要选择多核CPU还是单核CPU?CPU内核的数量越多越好吗? 51
Q056 如何为OSSIM服务器/传感器选择网卡? 51
Q057 OSSIM为何只能识别出2TB以内的硬盘? 52
Q058 如何在OSSIM下安装GCC编译工具? 52
Q059 如何手动加载网卡驱动? 52
Q060 在虚拟机下安装OSSIM结束后重启系统,结果系统一直停在启动界面,这该如何处理? 53
Q061 OSSIM安装完成后,如何设置Web UI来初始化设置向导? 53
Q062 如何通过CSV格式的文件导入多个网段信息? 58
Q063 如何通过文件导入网络资产? 59
Q064 在OSSIM配置向导中,报告无法找到网段内的服务器,该如何处理? 60
Q065 如何再次调出Web UI初始化配置向导? 60
Q066 如果跳过了Web配置向导,如何通过Web界面安装OSSEC Agent? 61
Q067 在Hyper-V 3.0中安装OSSIM 5.4时,在Suricata配置过程中“卡住了”该如何
处理? 62
Q068 如何查看OSSIM的GRUB程序版本? 63
Q069 OSSIM系统中的IPMI服务有什么作用?为什么在虚拟机启动OSSIM时会
遇到IPMI服务启动失败的问题? 63
Q070 如采用要混合式安装方式来安装OSSIM,在安装界面中应选择哪一项? 64
Q071 如何进入OSSIM高级安装模式? 64
Q072 在虚拟机下安装OSSIM时无法找到磁盘,应如何处理? 65
Q073 在VMware虚拟机环境中,如何为OSSIM安装VMware Tools增强工具? 65
Q074 初学者如何正确选择虚拟机版本? 67
Q075 如何嗅探虚拟机流量? 68
Q076 在VMware ESXi虚拟机环境中安装OSSIM时应注意哪些内容? 69
Q077 遗忘Web UI登录密码后如何将其恢复? 70
Q078 如何在Hyper-V虚拟机下安装OSSIM? 71
Q079 在Hyper-V虚拟机中如何嗅探网络流量? 77
Q080 采用笔记本电脑安装OSSIM时,如何防止其休眠? 77
Q081 如何将负载分摊在多个传感器上? 78
Q082 为什么不建议通过USB设备安装OSSIM系统? 79
Q083 为什么在安装OSSIM 5的过程中不提示用户分区? 79
Q084 虚拟机环境下常见的OSSIM安装错误有哪些? 80
第4章 OSSIM系统维护与管理 87
Q085 如何离线升级OSSIM? 87
Q086 如何通过代理服务器升级系统? 87
Q087 OSSIM升级过程中出现的Ign、Hit、Get分别代表什么含义? 88
Q088 在OSSIM中,update和upgrade参数有何区别? 88
Q089 如何确保分布式OSSIM系统的安全? 89
Q090 若在OSSIM服务器上启用SELinux服务,后果会如何? 90
Q091 OSSIM仪表盘典型视图分为几类,各有何特点? 90
Q092 通过OSSIM 4.3能直接升级到OSSIM 5.4吗? 92
Q093 如何定制OSSIM系统的启动画面? 92
Q094 OSSIM系统中的server.log日志文件有什么作用?如果此文件增涨到10GB以上,该如何处理? 92
Q095 apt-get的常见用途有哪些? 93
Q096 OSSIM中的IDM表示什么含义?如何启动IDM服务? 94
Q097 开源OSSIM系统所使用的文件系统是什么,有什么局限性? 94
Q098 当OSSIM的数据库受损时,如何恢复OSSIM? 95
Q099 为什么在OSSIM 3.1系统上输入ossim-update命令进行升级后OCS模块会
消失? 96
Q100 OSSIM消息中心为什么总显示互联网连接中断? 97
Q101 OSSIM系统的软件包中包含amd64字样,这表示什么含义? 97
Q102 如何将Tickets加入知识库? 98
Q103 如何管理OSSIM系统服务? 100
Q104 OSSIM系统当使用alienvault-update升级后.deb文件位于何处?升级过程中报错
怎么办? 101
Q105 如何校验已安装的Debian软件包? 101
Q106 OSSIM下有什么好用的包管理器吗? 102
Q107 在OSSIM系统中如何分配tmpfs文件系统的大小? 103
Q108 OSSIM系统如何同步时间? 103
Q109 如何通过删除日志的方式来释放OSSIM平台上的磁盘空间? 103
Q110 如何检测OSSIM系统整体的健康状态? 105
Q111 如何记录Web UI中SQL查询日志信息的情况?这些内容在何处? 105
Q112 如何禁止系统向root用户发送电子邮件? 105
Q113 可使用什么命令来查询UUID号? 106
Q114 智能移动终端如何访问OSSIM? 106
Q115 如何修改OSSIM登录的超时时间? 107
Q116 如何调整OSSIM系统管理员的密码登录策略? 108
Q117 如何允许/禁止root通过SSH登录OSSIM系统? 108
Q118 如何安装Gnome和Fvwm桌面环境? 108
Q119 如何进入OSSIM系统的单用户模式? 108
Q120 忘记root密码怎么办? 110
Q121 在分布式OSSIM系统环境中如何启动和关闭系统? 111
Q122 如何设置邮件报警 112
Q123 如何校验OSSIM中安装的软件包? 113
Q124 在使用apt-get install安装软件的过程中强行中断安装,结果下次再执行安装
脚本时报告数据库错误,这该如何解决? 113
Q125 使用apt-get install安装程序时遇到了“Could not get lock/var/lib/dpkg/lock”提示,这是由于什么原因造成的? 114
Q126 OSSIM系统中/var/run/目录下的pid文件有什么作用? 114
Q127 如何更改OSSIM默认的网络接口? 115
Q128 在OSSIM系统中如何寻找和终止僵尸进程(zombie)? 115
Q129 OSSIM在哪些地方会消耗大量内存? 116
Q130 如何查看admin用户活动的详细信息? 116
Q131 如何查看当前登录到OSSIM系统中的用户的Session ID? 117
Q132 如何将本地光盘设置为软件源? 118
Q133 当使用crontab ?Ce编辑时,无法退出编辑环境,这如何处理? 118
Q134 如何开启OSSIM的Cron日志? 119
Q135 UUID在OSSIM系统中有什么用途? 119
Q136 OSSIM中如何安装X-window环境 120
Q137 OSSIM如何防止关键进程停止? 121
Q138 OSSIM会将信息发送到外网吗? 121
Q139 OSSIM平台如何修复包的依赖关系? 123
Q140 异常关机会对OSSIM平台产生哪些影响? 123
Q141 删除OSSIM系统里的文件时,磁盘空间不释放应如何处理? 124
Q142 如何手动修改服务器IP地址? 124
Q143 如何消除终端控制台上的登录菜单? 124
Q144 在低版本的OSSIM中,如何让控制台支持高分辨率? 125
Q145 如何查看防火墙规则? 125
Q146 如何解决时间不同步的问题? 126
Q147 OSSIM在最后的安装阶段为什么会停滞不前? 126
Q148 如何配置OSSIM服务器与传感器之间的VPN连接? 127
Q149 如何重装传感器? 129
Q150 如何安装并配置多个传感器? 129
Q151 如何为OSSIM安装Webmin管理工具? 135
Q152 如何为OSSIM安装phpMyAdmin工具? 137
Q153 传感器中用于抓包的网卡需要分配IP吗? 139
Q154 如何将HTTP重定向为HTTPS访问? 139
Q155 在OSSIM的Web UI登录界面中,在登录验证前用户名和密码是如何
加密的? 139
Q156 在OSSIM登录界面中如何实现用户Session登录验证的安全性? 140
Q157 如何定制Apache 404页面? 140
Q158 OSSIM系统每次启动时为什么显示“apache2 [warn] NameVirtualHost *:80 has no
VirtualHosts”? 140
Q159 Apache中出现“Could not reliably determine the server’s fully qualified domain name”提示时,应如何处理? 141
Q160 迁移OSSIM系统时需要备份哪些数据? 141
Q161 在OSSIM中,PCI DSS和ISO 27001代表什么含义? 142
Q162 如何输出30天内的资产可用性报告? 143
Q163 如何使用grep命令去掉配置文件的注释行和空格行? 143
Q164 如何生成一个指定大小的文件? 144
Q165 如何在服务器/传感器中发现隐藏的进程或端口? 144
Q166 如何解决因系统索引节点(inode)耗尽而引发的系统故障? 145
Q167 OSSIM系统是如何实现高可用性的? 147
Q168 OSSIM服务器如何横向扩展? 151
第5章 OSSIM组成结构 157
Q169 OSSIM开源框架的分层处理架构是什么? 157
Q170 OSSIM系统框架中各模块的工作流程是怎样的? 158
Q171 OSSIM采用模块化架构的优势是什么? 160
Q172 根据OSSIM部署图来分析OSSIM多层体系结构是怎样的? 161
Q173 如果分布式OSSIM系统的传感器出现问题,会影响哪些模块的工作? 162
Q174 OSSIM的工作流程包括哪些内容? 162
Q175 配置文件/etc/ossim/ossim_setup.conf中记录了哪些内容? 163
Q176 传感器上的采集插件与监控插件有什么区别? 163
Q177 OSSIM免费版和商业版有哪些主要区别? 166
Q178 OSSIM中的SPADE有什么作用? 167
Q179 OSSIM代理的作用是什么? 168
Q180 代理与插件有什么区别? 169
Q181 Framework有什么作用,如何查看其工作状态? 169
Q182 修改OSSIM服务器配置文件config.xml后如何重新启动引擎? 170
Q183 Agent程序采集的日志中的各个字段表示什么含义? 170
Q184 在混合式OSSIM服务器模式与传感器安装模式中,它们安装的包有哪些
区别? 171
Q185 OSSIM服务器和传感器的通信端口有哪些,其作用是什么? 173
Q186 如何增删系统的数据源插件? 175
Q187 如何列出OSSIM分布式系统的活动代理信息? 175
Q188 如何将SIEM中显示的攻击日志添加到数据源组中? 175
Q189 如何使用Tickets? 176
Q190 Alarms与Tickets有什么区别? 177
Q191 在OSSIM报警中对网络攻击模式如何分类? 178
Q192 Ansible使用什么协议通信? 180
Q193 SSH和Ansible服务在OSSIM中起到什么作用? 180
Q194 如何建立基于OpenSSL的安全认证中心? 182
Q195 如何在OSSIM中设置VPN连接? 183
Q196 OSSIM中定义的未授权行为包括哪些? 185
第6章 传感器 187
Q197 OSSIM传感器的作用是什么,如何查看传感器的状态? 187
Q198 当传感器发生故障时能否查询传感器上加载插件的状态? 187
Q199 传感器能以串联方式部署在网络中吗? 189
Q200 如何通过传感器扫描资产? 189
Q201 如何查看分布式系统的传感器状态? 189
Q202 如何让Ansible获取远程主机运行时间、在线用户及平均负载信息? 191
Q203 如何通过Ansible将脚本分发到远程主机并执行? 192
Q204 为何会出现传感器删除失败的情况? 193
Q205 OSSIM消息中心将数据源分为几类,它们的含义是什么? 193
第7章 插件处理 198
Q206 OSSIM中的数据源插件如何将日志转换为安全事件,以实现统一存储? 198
Q207 OSSIM代理如何将采集的日志发送到OSSIM服务器? 200
Q208 OSSIM采用什么技术来解决网络设备的日志格式不统一的问题? 201
Q209 OSSIM中安全事件的标准格式是什么? 201
Q210 OSSIM Agent的插件采集日志流程是什么? 203
Q211 在Apache插件中如何定义Apache访问日志的正则表达式?如何通过脚本检测
插件? 206
Q212 经过OSSIM数据源插件归一化之后的日志存储在什么位置? 206
Q213 编写日志插件分几个步骤? 208
Q214 在OSSIM系统中如何导入检测插件? 209
Q215 OSSIM采集插件分为几大类,它们通过什么协议采集数据? 209
Q216 插件进程ossim-agent被手动停止后之后为何会自己重启? 211
Q217 在OSSIM传感器中能同时启用Snort和Suricata插件吗? 211
Q218 如何导入自定义插件? 212
第8章 SIEM控制台操作 217
Q219 如何把SIEM控制台中发现的重要日志加入到知识库? 217
Q220 如何为知识库的条目新增附件? 219
Q221 在SIEM控制台事件中查看视图时有几种观察模式,它们有什么区别? 220
Q222 如何在SIEM警报中显示计算机名? 221
Q223 在SIEM控制台事件的表单中,N/A表示什么意思? 222
Q224 如何设定SIEM事件的保存期限? 222
Q225 如何恢复SIEM事件数据库? 223
Q226 SIEM控制台上包含哪些重要元素? 223
Q227 如何在SIEM事件控制台中过滤事件? 227
Q228 如何将高风险的事件进行快速分类? 233
Q229 如何删除与恢复安全事件? 234
Q230 SIEM控制台中显示的事件存储在什么地方? 234
Q231 如何在Web页面清理SIEM数据库中的事件? 235
Q232 为什么不能跨VLAN显示服务器的FQDN名称? 236
Q233 SIEM日志显示中出现的0.0.0.0地址表示什么含义? 236
Q234 无法显示SIEM安全事件时应如何处理? 237
Q235 SIEM数据源与插件之间有何联系? 237
Q236 什么是AVAPI事件?如何过滤AVAPI事件? 238
Q237 在OSSIM Web UI中出现的EPS参数表示什么含义? 241
第9章 可视化报警 243
Q238 如何产生报警事件? 243
Q239 OSSIM中将报警事件分为几类,分别表示什么含义? 244
Q240 如何通过Alarm快速识别网络攻击? 248
Q241 报警分组有什么作用? 251
Q242 如何通过X-Scan工具来触发OSSIM报警? 252
Q243 如何采用Armitage对目标主机进行渗透测试? 253
Q244 如何通过Metasploit挖掘Windows XP的MS08-067漏洞? 258
Q245 如何通过OSSIM实现SSH登录失败报警? 262
Q246 如何区别IDS的误报与漏报? 265
Q247 如何设置SSH登录报警策略? 266
Q248 OSSIM如何感知SSH暴力破解攻击? 268
第 10章 OSSIM数据库 273
Q249 OSSIM数据库有哪几种,各有什么作用? 273
Q250 采用SecureCRT访问数据库时出现乱码,这是什么原因引起的,如何
避免? 275
Q251 MySQL数据库权限的存储机制是什么? 276
Q252 如何让OSSIM中的MySQL数据库支持远程访问? 278
Q253 如何通过phpMyAdmin数据库解决“Access denied for user ‘root’@’localhost’(using password:YES)”报错问题? 280
Q254 采用phpMyAdmin访问数据库时为什么会出现乱码? 282
Q255 如何在OSSIM服务器上访问数据库?常见的数据库操作命令包含哪些? 282
Q256 如何分屏显示alienvault.alarm表中的内容? 283
Q257 如何查看OSSIM数据库的大小? 283
Q258 OSSIM中的SQLite数据库有什么作用,它存储在什么位置? 284
Q259 RRDTool与数据库MySQL之间有什么区别? 284
Q260 如何将SQL文件插入到OSSIM数据库中? 284
Q261 如何把一个.sql.gz文件导入到数据库中? 285
Q262 如何优化数据库中的表? 285
Q263 如何重置OSSIM数据库? 286
Q264 如何恢复OSSIM数据库的出厂设置? 287
Q265 影响OSSIM数据库的性能因素有哪些? 288
Q266 如何利用MySQLReport监控数据库性能? 288
Q267 如何设定OSSIM数据库的自动备份时间?在什么位置查看备份数据? 289
Q268 /etc/ossim/server/config.xml配置文件记录了哪些关键信息? 290
Q269 OSSIM系统中出现“MySQL:ERROR 1040:Too many connections”报错提示时
如何处理? 291
Q270 如何用mytop监控MySQL数据库? 292
Q271 如何远程导出OSSIM数据库的表结构? 293
Q272 在使用ossim-db命令时出现“Access denied for user ‘root’@’localhost’(using password:NO)”提示,该如何解决? 293
Q273 如何模拟负载? 294
Q274 当MySQL进程的CPU使用率过高时,如何优化? 294
Q275 如何启动OSSIM数据库的慢查询日志? 295
Q276 如何使用mysqldump完整备份OSSIM数据库? 296
Q277 如何用XtraBackup备份OSSIM数据库? 296
Q278 如何用mysqlslap测试OSSIM数据库? 297
Q279 当OSSIM系统数据库发生损坏时,如何重建数据库? 299
Q280 如何查看OSSIM系统的SIEM数据库备份策略? 299
Q281 OSSIM系统出现acid表错误时如何处理? 299
Q282 升级过程中数据库表意外损坏,该如何修复? 300
Q283 如何清理OSSIM数据库? 301
Q284 存储在数据库中的资产IP地址被加密了吗,如何查看该IP地址呢? 302
Q285 OSSIM系统中的Active Event Window(days)表示什么含义,该值设定为多大
比较合适? 302
Q286 如何显示acid_event表中的前5条记录? 303
Q287 为OSSIM添加扩展数据库时出现连接数据库错误,该如何处理? 303
Q288 如何通过MONyog工具监控MySQL服务器? 304
Q289 日志中的IP地址在数据库中采用何种形式存储? 306
Q290 如何通过MySQL Workbench连接OSSIM数据库? 307
附录1 主要配置文件注释 315
附录2 OSSIM 5 Web界面菜单功能注释 316
附录3 终端控制台程序注释 319
附录4 关键词汇英汉对照 321
评论
还没有评论。