开源安全运维平台OSSIM疑难解析 入门篇

本书特色

[

OSSIM（Open Source Security Information Management，开源安全信息管理）系统是一个非常流行和完整的开源安全架构体系，通过将开源产品进行集成，从而提供一种能实现安全监控功能的基础平台。 《开源安全运维平台OSSIM疑难解析：入门篇》精选了作者在OSSIM日常运维操作中遇到的许多疑难问题，并给出了相应的解决方案。本书共分为10章，内容包括SIEM与网络安全态势感知、OSSIM部署基础、安装OSSIM服务器、OSSIM系统维护与管理、OSSIM组成结构、传感器、插件处理、SIEM控制台操作、可视化报警以及OSSIM数据库等。 《开源安全运维平台OSSIM疑难解析：入门篇》适合具有一定SIEM系统实施经验的技术经理或中运维工程师阅读，还可以作为开源技术研究人员、网络安全管理人员的参考资料。

]

内容简介

[

OSSIM（Open Source Security Information Management，开源安全信息管理）系统是一个很好流行和完整的开源安全架构体系，通过将开源产品进行集成，从而提供一种能实现安全监控功能的基础平台。
《开源安全运维平台OSSIM疑难解析：入门篇》精选了作者在OSSIM日常运维操作中遇到的许多疑难问题，并给出了相应的解决方案。本书共分为10章，内容包括SIEM与网络安全态势感知、OSSIM部署基础、安装OSSIM服务器、OSSIM系统维护与管理、OSSIM组成结构、传感器、插件处理、SIEM控制台操作、可视化报警以及OSSIM数据库等。
《开源安全运维平台OSSIM疑难解析：入门篇》适合具有一定SIEM系统实施经验的技术经理或中运维工程师阅读，还可以作为开源技术研究人员、网络安全管理人员的参考资料。

]

作者简介

[

李晨光，OSSIM布道师、网络架构师、UNIX/Linux系统安全专家、中国计算机学会会员。他写作的《Linux企业应用案例精解》《UNIX/Linux网络日志分析与流量监控》《开源安全运维平台OSSIM实践》在图书市场上具有相当抢眼的表现与上佳口碑，且中文繁体字版本也被输出到中国台湾。 李晨光先生还是51CTO、ChinaUnix、OSchina等社区的专家博主，撰写的技术博文被国内各大IT技术社区广泛转载，还曾多次受邀在国内系统架构师大会和网络信息安全大会上发表技术演讲。

]

目录

第 1章　SIEM与网络安全态势感知 1Q001　什么是SIEM？ 1Q002　SIEM处理流程是什么？ 1Q003　SIEM基本特征分为几个部分，技术门槛是什么，有哪些商业产品？ 2Q004　SIEM中的安全运维模块包含哪些主要内容？ 3Q005　为什么要选择OSSIM作为运维监控平台？ 4Q006　在OSSIM架构中为何要引入威胁情报系统？ 8Q007　在OSSIM中OTX代表什么含义？ 9Q008　为什么要对IP进行信誉评级？ 9Q009　如何激活OTX功能？ 9Q010　如何手动更新IP信誉数据并查看这些数据？ 11Q011　如何读懂IP信誉数据库的记录格式？ 11Q012　为什么在浏览器中无法显示由谷歌地图绘制的AlienVaultIP信誉数据？ 12Q013　OSSIM使用的Google Maps API在什么位置？ 12Q014　在OSSIM系统中成功添加OTX key之后，为何仪表盘上没有显示？ 12Q015　将已申请的OTX key导入OSSIM系统时，为何提示连接失败？ 13Q016　外部威胁情报和内部威胁情报分别来自何处？ 14Q017　如何利用OSSIM系统内置的威胁情报识别网络APT攻击事件？ 15Q018　OpenSOC的组成结构和主要功能是什么，它和OSSIM之间的区别是什么？ 15Q019　Apache Metron是新生代的OpenSOC吗？部署难度大吗？ 17第 2章　OSSIM部署基础 20Q020　OSSIM主要版本的演化过程是怎样的？ 20Q021　如何关闭和重启OSSIM？ 23Q022　OSSIM属于大数据平台吗？ 24Q023　OSSIM能作为堡垒机使用吗？ 24Q024　堡垒机的Syslog日志能否转发至OSSIM统一存储？ 25Q025　OSSIM平台属于CPU密集型、I/O密集型还是内存密集型系统？ 25Q026　OSSIM平台开发了哪些专属程序？ 26Q027　Kali Linux和OSSIM有什么区别？ 27Q028　安装OSSIM服务器组件时是否包含了传感器组件？ 28Q029　OSSIM能否安装在XEN或KVM虚拟化系统上？ 29Q030　OSSIM如何处理海量数据？ 29Q031　OSSIM是基于Debian Linux开发的，能否将其安装在其他Linux发行版上，例如RHAS、CentOS、SUSE Linux？ 29Q032　分布式OSSIM系统传感器如何部署？ 29Q033　OSSIM可输出的报表有哪些类型？ 30Q034　在OSSIM 3中通过什么技术可实现报表预览功能？ 31Q035　OSSIM企业版中可输出哪些类型的报表？ 31Q036　OSSIM能否用于APT和ShellCode高级攻击检测？ 32Q037　如何部署分布式OSSIM平台？ 34Q038　OSSIM系统中哪些服务是单线程，哪些服务是多线程？ 34Q039　如何查看ossim-agent进程正在调用的文件？ 35Q040　在分布式环境中如何添加传感器？ 36Q041　为何新添加的传感器在Web UI上无法显示NetFlow流？ 38Q042　如何查看某个进程打开了哪些文件？ 41Q043　如何监听系统中某个用户的网络活动？ 41Q044　OSSIM经过防火墙时，需要打开哪些端口？ 42第3章　安装OSSIM服务器 45Q045　如何通过U盘安装OSSIM系统？ 45Q046　如何克隆OSSIM虚拟机以及为虚拟机设置克隆？ 45Q047　在安装OSSIM时，命令行下面的提示信息保存在什么位置？ 47Q048　执行alienvault-update命令升级后，为什么原来的配置会被覆盖？ 48Q049　执行alienvault-update命令升级之后，缓存文件如何清除？ 48Q050　如何选择OSSIM服务器？ 48Q051　安装OSSIM时能识别硬盘，但无法识别网卡，该如何处理？ 49Q052　选择OSSIM服务器硬件时，需要注意些什么问题？ 49Q053　安装OSSIM时需要插网线吗？ 50Q054　初装OSSIM时仅配置了单块网卡，后期需要再新增一块网卡，该如何操呢？ 50Q055　安装OSSIM时需要选择多核CPU还是单核CPU？CPU内核的数量越多越好吗？ 51Q056　如何为OSSIM服务器/传感器选择网卡？ 51Q057　OSSIM为何只能识别出2TB以内的硬盘？ 52Q058　如何在OSSIM下安装GCC编译工具？ 52Q059　如何手动加载网卡驱动？ 52Q060　在虚拟机下安装OSSIM结束后重启系统，结果系统一直停在启动界面，这该如何处理？ 53Q061　OSSIM安装完成后，如何设置Web UI来初始化设置向导？ 53Q062　如何通过CSV格式的文件导入多个网段信息？ 58Q063　如何通过文件导入网络资产？ 59Q064　在OSSIM配置向导中，报告无法找到网段内的服务器，该如何处理？ 60Q065　如何再次调出Web UI初始化配置向导？ 60Q066　如果跳过了Web配置向导，如何通过Web界面安装OSSEC Agent？ 61Q067　在Hyper-V 3.0中安装OSSIM 5.4时，在Suricata配置过程中“卡住了”该如何处理？ 62Q068　如何查看OSSIM的GRUB程序版本？ 63Q069　OSSIM系统中的IPMI服务有什么作用？为什么在虚拟机启动OSSIM时会遇到IPMI服务启动失败的问题？ 63Q070　如采用要混合式安装方式来安装OSSIM，在安装界面中应选择哪一项？ 64Q071　如何进入OSSIM高级安装模式？ 64Q072　在虚拟机下安装OSSIM时无法找到磁盘，应如何处理？ 65Q073　在VMware虚拟机环境中，如何为OSSIM安装VMware Tools增强工具？ 65Q074　初学者如何正确选择虚拟机版本？ 67Q075　如何嗅探虚拟机流量？ 68Q076　在VMware ESXi虚拟机环境中安装OSSIM时应注意哪些内容？ 69Q077　遗忘Web UI登录密码后如何将其恢复？ 70Q078　如何在Hyper-V虚拟机下安装OSSIM？ 71Q079　在Hyper-V虚拟机中如何嗅探网络流量？ 77Q080　采用笔记本电脑安装OSSIM时，如何防止其休眠？ 77Q081　如何将负载分摊在多个传感器上？ 78Q082　为什么不建议通过USB设备安装OSSIM系统？ 79Q083　为什么在安装OSSIM 5的过程中不提示用户分区？ 79Q084　虚拟机环境下常见的OSSIM安装错误有哪些？ 80第4章　OSSIM系统维护与管理 87Q085　如何离线升级OSSIM？ 87Q086　如何通过代理服务器升级系统？ 87Q087　OSSIM升级过程中出现的Ign、Hit、Get分别代表什么含义？ 88Q088　在OSSIM中，update和upgrade参数有何区别？ 88Q089　如何确保分布式OSSIM系统的安全？ 89Q090　若在OSSIM服务器上启用SELinux服务，后果会如何？ 90Q091　OSSIM仪表盘典型视图分为几类，各有何特点？ 90Q092　通过OSSIM 4.3能直接升级到OSSIM 5.4吗？ 92Q093　如何定制OSSIM系统的启动画面？ 92Q094　OSSIM系统中的server.log日志文件有什么作用？如果此文件增涨到10GB以上，该如何处理？ 92Q095　apt-get的常见用途有哪些？ 93Q096　OSSIM中的IDM表示什么含义？如何启动IDM服务？ 94Q097　开源OSSIM系统所使用的文件系统是什么，有什么局限性？ 94Q098　当OSSIM的数据库受损时，如何恢复OSSIM？ 95Q099　为什么在OSSIM 3.1系统上输入ossim-update命令进行升级后OCS模块会消失？ 96Q100　OSSIM消息中心为什么总显示互联网连接中断？ 97Q101　OSSIM系统的软件包中包含amd64字样，这表示什么含义？ 97Q102　如何将Tickets加入知识库？ 98Q103　如何管理OSSIM系统服务？ 100Q104　OSSIM系统当使用alienvault-update升级后.deb文件位于何处？升级过程中报错怎么办？ 101Q105　如何校验已安装的Debian软件包？ 101Q106　OSSIM下有什么好用的包管理器吗？ 102Q107　在OSSIM系统中如何分配tmpfs文件系统的大小？ 103Q108　OSSIM系统如何同步时间？ 103Q109　如何通过删除日志的方式来释放OSSIM平台上的磁盘空间？ 103Q110　如何检测OSSIM系统整体的健康状态？ 105Q111　如何记录Web UI中SQL查询日志信息的情况？这些内容在何处？ 105Q112　如何禁止系统向root用户发送电子邮件？ 105Q113　可使用什么命令来查询UUID号？ 106Q114　智能移动终端如何访问OSSIM？ 106Q115　如何修改OSSIM登录的超时时间？ 107Q116　如何调整OSSIM系统管理员的密码登录策略？ 108Q117　如何允许/禁止root通过SSH登录OSSIM系统？ 108Q118　如何安装Gnome和Fvwm桌面环境？ 108Q119　如何进入OSSIM系统的单用户模式？ 108Q120　忘记root密码怎么办？ 110Q121　在分布式OSSIM系统环境中如何启动和关闭系统？ 111Q122　如何设置邮件报警 112Q123　如何校验OSSIM中安装的软件包？ 113Q124　在使用apt-get install安装软件的过程中强行中断安装，结果下次再执行安装脚本时报告数据库错误，这该如何解决？ 113Q125　使用apt-get install安装程序时遇到了“Could not get lock/var/lib/dpkg/lock”提示，这是由于什么原因造成的？ 114Q126　OSSIM系统中/var/run/目录下的pid文件有什么作用？ 114Q127　如何更改OSSIM默认的网络接口？ 115Q128　在OSSIM系统中如何寻找和终止僵尸进程（zombie）？ 115Q129　OSSIM在哪些地方会消耗大量内存？ 116Q130　如何查看admin用户活动的详细信息？ 116Q131　如何查看当前登录到OSSIM系统中的用户的Session ID？ 117Q132　如何将本地光盘设置为软件源？ 118Q133　当使用crontab ?Ce编辑时，无法退出编辑环境，这如何处理？ 118Q134　如何开启OSSIM的Cron日志？ 119Q135　UUID在OSSIM系统中有什么用途？ 119Q136　OSSIM中如何安装X-window环境 120Q137　OSSIM如何防止关键进程停止？ 121Q138　OSSIM会将信息发送到外网吗？ 121Q139　OSSIM平台如何修复包的依赖关系？ 123Q140　异常关机会对OSSIM平台产生哪些影响？ 123Q141　删除OSSIM系统里的文件时，磁盘空间不释放应如何处理？ 124Q142　如何手动修改服务器IP地址？ 124Q143　如何消除终端控制台上的登录菜单？ 124Q144　在低版本的OSSIM中，如何让控制台支持高分辨率？ 125Q145　如何查看防火墙规则？ 125Q146　如何解决时间不同步的问题？ 126Q147　OSSIM在*后的安装阶段为什么会停滞不前？ 126Q148　如何配置OSSIM服务器与传感器之间的VPN连接？ 127Q149　如何重装传感器？ 129Q150　如何安装并配置多个传感器？ 129Q151　如何为OSSIM安装Webmin管理工具？ 135Q152　如何为OSSIM安装phpMyAdmin工具？ 137Q153　传感器中用于抓包的网卡需要分配IP吗？ 139Q154　如何将HTTP重定向为HTTPS访问？ 139Q155　在OSSIM的Web UI登录界面中，在登录验证前用户名和密码是如何加密的？ 139Q156　在OSSIM登录界面中如何实现用户Session登录验证的安全性？ 140Q157　如何定制Apache 404页面？ 140Q158　OSSIM系统每次启动时为什么显示“apache2 [warn] NameVirtualHost *:80 has no VirtualHosts”？ 140Q159　Apache中出现“Could not reliably determine the server’s fully qualified domain name”提示时，应如何处理？ 141Q160　迁移OSSIM系统时需要备份哪些数据？ 141Q161　在OSSIM中，PCI DSS和ISO 27001代表什么含义？ 142Q162　如何输出30天内的资产可用性报告？ 143Q163　如何使用grep命令去掉配置文件的注释行和空格行？ 143Q164　如何生成一个指定大小的文件？ 144Q165　如何在服务器/传感器中发现隐藏的进程或端口？ 144Q166　如何解决因系统索引节点（inode）耗尽而引发的系统故障？ 145Q167　OSSIM系统是如何实现高可用性的？ 147Q168　OSSIM服务器如何横向扩展？ 151第5章　OSSIM组成结构 157Q169　OSSIM开源框架的分层处理架构是什么？ 157Q170　OSSIM系统框架中各模块的工作流程是怎样的？ 158Q171　OSSIM采用模块化架构的优势是什么？ 160Q172　根据OSSIM部署图来分析OSSIM多层体系结构是怎样的？ 161Q173　如果分布式OSSIM系统的传感器出现问题，会影响哪些模块的工作？ 162Q174　OSSIM的工作流程包括哪些内容？ 162Q175　配置文件/etc/ossim/ossim_setup.conf中记录了哪些内容？ 163Q176　传感器上的采集插件与监控插件有什么区别？ 163Q177　OSSIM免费版和商业版有哪些主要区别？ 166Q178　OSSIM中的SPADE有什么作用？ 167Q179　OSSIM代理的作用是什么？ 168Q180　代理与插件有什么区别？ 169Q181　Framework有什么作用，如何查看其工作状态？ 169Q182　修改OSSIM服务器配置文件config.xml后如何重新启动引擎？ 170Q183　Agent程序采集的日志中的各个字段表示什么含义？ 170Q184　在混合式OSSIM服务器模式与传感器安装模式中，它们安装的包有哪些区别？ 171Q185　OSSIM服务器和传感器的通信端口有哪些，其作用是什么？ 173Q186　如何增删系统的数据源插件？ 175Q187　如何列出OSSIM分布式系统的活动代理信息？ 175Q188　如何将SIEM中显示的攻击日志添加到数据源组中？ 175Q189　如何使用Tickets？ 176Q190　Alarms与Tickets有什么区别？ 177Q191　在OSSIM报警中对网络攻击模式如何分类？ 178Q192　Ansible使用什么协议通信？ 180Q193　SSH和Ansible服务在OSSIM中起到什么作用？ 180Q194　如何建立基于OpenSSL的安全认证中心？ 182Q195　如何在OSSIM中设置VPN连接？ 183Q196　OSSIM中定义的未授权行为包括哪些？ 185第6章　传感器 187Q197　OSSIM传感器的作用是什么，如何查看传感器的状态？ 187Q198　当传感器发生故障时能否查询传感器上加载插件的状态？ 187Q199　传感器能以串联方式部署在网络中吗？ 189Q200　如何通过传感器扫描资产？ 189Q201　如何查看分布式系统的传感器状态？ 189Q202　如何让Ansible获取远程主机运行时间、在线用户及平均负载信息？ 191Q203　如何通过Ansible将脚本分发到远程主机并执行？ 192Q204　为何会出现传感器删除失败的情况？ 193Q205　OSSIM消息中心将数据源分为几类，它们的含义是什么？ 193第7章　插件处理 198Q206　OSSIM中的数据源插件如何将日志转换为安全事件，以实现统一存储？ 198Q207　OSSIM代理如何将采集的日志发送到OSSIM服务器？ 200Q208　OSSIM采用什么技术来解决网络设备的日志格式不统一的问题？ 201Q209　OSSIM中安全事件的标准格式是什么？ 201Q210　OSSIM Agent的插件采集日志流程是什么？ 203Q211　在Apache插件中如何定义Apache访问日志的正则表达式？如何通过脚本检测插件？ 206Q212　经过OSSIM数据源插件归一化之后的日志存储在什么位置？ 206Q213　编写日志插件分几个步骤？ 208Q214　在OSSIM系统中如何导入检测插件？ 209Q215　OSSIM采集插件分为几大类，它们通过什么协议采集数据？ 209Q216　插件进程ossim-agent被手动停止后之后为何会自己重启？ 211Q217　在OSSIM传感器中能同时启用Snort和Suricata插件吗？ 211Q218　如何导入自定义插件？ 212第8章　SIEM控制台操作 217Q219　如何把SIEM控制台中发现的重要日志加入到知识库？ 217Q220　如何为知识库的条目新增附件？ 219Q221　在SIEM控制台事件中查看视图时有几种观察模式，它们有什么区别？ 220Q222　如何在SIEM警报中显示计算机名？ 221Q223　在SIEM控制台事件的表单中，N/A表示什么意思？ 222Q224　如何设定SIEM事件的保存期限？ 222Q225　如何恢复SIEM事件数据库？ 223Q226　SIEM控制台上包含哪些重要元素？ 223Q227　如何在SIEM事件控制台中过滤事件？ 227Q228　如何将高风险的事件进行快速分类？ 233Q229　如何删除与恢复安全事件？ 234Q230　SIEM控制台中显示的事件存储在什么地方？ 234Q231　如何在Web页面清理SIEM数据库中的事件？ 235Q232　为什么不能跨VLAN显示服务器的FQDN名称？ 236Q233　SIEM日志显示中出现的0.0.0.0地址表示什么含义？ 236Q234　无法显示SIEM安全事件时应如何处理？ 237Q235　SIEM数据源与插件之间有何联系？ 237Q236　什么是AVAPI事件？如何过滤AVAPI事件？ 238Q237　在OSSIM Web UI中出现的EPS参数表示什么含义？ 241第9章　可视化报警 243Q238　如何产生报警事件？ 243Q239　OSSIM中将报警事件分为几类，分别表示什么含义？ 244Q240　如何通过Alarm快速识别网络攻击？ 248Q241　报警分组有什么作用？ 251Q242　如何通过X-Scan工具来触发OSSIM报警？ 252Q243　如何采用Armitage对目标主机进行渗透测试？ 253Q244　如何通过Metasploit挖掘Windows XP的MS08-067漏洞？ 258Q245　如何通过OSSIM实现SSH登录失败报警？ 262Q246　如何区别IDS的误报与漏报？ 265Q247　如何设置SSH登录报警策略？ 266Q248　OSSIM如何感知SSH暴力破解攻击？ 268第 10章　OSSIM数据库 273Q249　OSSIM数据库有哪几种，各有什么作用？ 273Q250　采用SecureCRT访问数据库时出现乱码，这是什么原因引起的，如何避免？ 275Q251　MySQL数据库权限的存储机制是什么？ 276Q252　如何让OSSIM中的MySQL数据库支持远程访问？ 278Q253　如何通过phpMyAdmin数据库解决“Access denied for user ‘root’@’localhost’（using password:YES）”报错问题？ 280Q254　采用phpMyAdmin访问数据库时为什么会出现乱码？ 282Q255　如何在OSSIM服务器上访问数据库？常见的数据库操作命令包含哪些？ 282Q256　如何分屏显示alienvault.alarm表中的内容？ 283Q257　如何查看OSSIM数据库的大小？ 283Q258　OSSIM中的SQLite数据库有什么作用，它存储在什么位置？ 284Q259　RRDTool与数据库MySQL之间有什么区别？ 284Q260　如何将SQL文件插入到OSSIM数据库中？ 284Q261　如何把一个.sql.gz文件导入到数据库中？ 285Q262　如何优化数据库中的表？ 285Q263　如何重置OSSIM数据库？ 286Q264　如何恢复OSSIM数据库的出厂设置？ 287Q265　影响OSSIM数据库的性能因素有哪些？ 288Q266　如何利用MySQLReport监控数据库性能？ 288Q267　如何设定OSSIM数据库的自动备份时间？在什么位置查看备份数据？ 289Q268　/etc/ossim/server/config.xml配置文件记录了哪些关键信息？ 290Q269　OSSIM系统中出现“MySQL:ERROR 1040:Too many connections”报错提示时如何处理？ 291Q270　如何用mytop监控MySQL数据库？ 292Q271　如何远程导出OSSIM数据库的表结构？ 293Q272　在使用ossim-db命令时出现“Access denied for user ‘root’@’localhost’（using password:NO）”提示，该如何解决？ 293Q273　如何模拟负载？ 294Q274　当MySQL进程的CPU使用率过高时，如何优化？ 294Q275　如何启动OSSIM数据库的慢查询日志？ 295Q276　如何使用mysqldump完整备份OSSIM数据库？ 296Q277　如何用XtraBackup备份OSSIM数据库？ 296Q278　如何用mysqlslap测试OSSIM数据库？ 297Q279　当OSSIM系统数据库发生损坏时，如何重建数据库？ 299Q280　如何查看OSSIM系统的SIEM数据库备份策略？ 299Q281　OSSIM系统出现acid表错误时如何处理？ 299Q282　升级过程中数据库表意外损坏，该如何修复？ 300Q283　如何清理OSSIM数据库？ 301Q284　存储在数据库中的资产IP地址被加密了吗，如何查看该IP地址呢？ 302Q285　OSSIM系统中的Active Event Window（days）表示什么含义，该值设定为多大比较合适？ 302Q286　如何显示acid_event表中的前5条记录？ 303Q287　为OSSIM添加扩展数据库时出现连接数据库错误，该如何处理？ 303Q288　如何通过MONyog工具监控MySQL服务器？ 304Q289　日志中的IP地址在数据库中采用何种形式存储？ 306Q290　如何通过MySQL Workbench连接OSSIM数据库？ 307附录1　主要配置文件注释 315附录2　OSSIM 5 Web界面菜单功能注释 316附录3　终端控制台程序注释 319附录4　关键词汇英汉对照 321

封面

书名:开源安全运维平台OSSIM疑难解析 入门篇

作者:李晨光

页数:323

定价:¥89.0

出版社:人民邮电出版社

出版日期:2018-03-01

ISBN:9787115505507

PDF电子书大小:155MB 高清扫描完整版

---

---