编辑推荐
OSSIM运维工程师故障速查手册,OSSIM实践指南。
内容简介
OSSIM(Open Source Security Information Management,开源安全信息管理)系统是一个非常流行和完整的开源安全架构体系,通过将开源产品进行集成,从而提供一种能实现安全监控功能的基础平台。
《开源安全运维平台OSSIM疑难解析:入门篇》精选了作者在OSSIM日常运维操作中遇到的许多疑难问题,并给出了相应的解决方案。本书共分为10章,内容包括SIEM与网络安全态势感知、OSSIM部署基础、安装OSSIM服务器、OSSIM系统维护与管理、OSSIM组成结构、传感器、插件处理、SIEM控制台操作、可视化报警以及OSSIM数据库等。
《开源安全运维平台OSSIM疑难解析:入门篇》适合具有一定SIEM系统实施经验的技术经理或中运维工程师阅读,还可以作为开源技术研究人员、网络安全管理人员的参考资料。
展开全文
- 扉页
- 内 容 提 要
- 作者简介
- 前 言
- 资源与支持
- 目 录
- 第1章 SIEM 与网络安全态势感知
- Q001 什么是SIEM?
- Q002 SIEM处理流程是什么?
- Q003 SIEM 基本特征分为几个部分,技术门槛是什么,有哪些商业产品?
- Q004 SIEM中的安全运维模块包含哪些主要内容?
- Q005 为什么要选择OSSIM作为运维监控平台?
- Q006 在OSSIM架构中为何要引入威胁情报系统?
- Q007 在OSSIM中OTX代表什么含义?
- Q008 为什么要对IP进行信誉评级?
- Q009 如何激活OTX功能?
- Q010 如何手动更新IP信誉数据并查看这些数据?
- Q011 如何读懂IP信誉数据库的记录格式?
- Q012 为什么在浏览器中无法显示由谷歌地图绘制的AlienVault IP信誉数据?
- Q013 OSSIM 使用的Google Maps API 在什么位置?
- Q014 在OSSIM系统中成功添加 OTX key之后,为何仪表盘上没有显示?
- Q015 将已申请的OTX key 导入 OSSIM系统时,为何提示连接失败?
- Q016 外部威胁情报和内部威胁情报分别来自何处?
- Q017 如何利用 OSSIM 系统内置的威胁情报识别网络 APT攻击事件?
- Q018 OpenSOC 的组成结构和主要功能是什么,它和OSSIM之间的区别是什么?
- Q019 Apache Metron 是新生代的 OpenSOC 吗?部署难度大吗?
- 第2章 OSSIM 部署基础
- Q020 OSSIM主要版本的演化过程是怎样的?
- Q021 如何关闭和重启OSSIM?
- Q022 OSSIM属于大数据平台吗?
- Q023 OSSIM能作为堡垒机使用吗?
- Q024 堡垒机的Syslog日志能否转发至OSSIM统一存储?
- Q025 OSSIM平台属于 CPU 密集型、I/O 密集型还是内存密集型系统?
- Q026 OSSIM平台开发了哪些专属程序?
- Q027 Kali Linux 和OSSIM有什么区别?
- Q028 安装OSSIM服务器组件时是否包含了传感器组件?
- Q029 OSSIM 能否安装在XEN或KVM 虚拟化系统上?
- Q030 OSSIM如何处理海量数据?
- Q031 OSSIM 是基于 Debian Linux 开发的,能否将其安装在其他 Linux 发行版上,例如 RHAS、CentOS、SUSE Linux?
- Q032 分布式OSSIM系统传感器如何部署?
- Q033 OSSIM可输出的报表有哪些类型?
- Q034 在OSSIM 3中通过什么技术可实现报表预览功能?
- Q035 OSSIM企业版中可输出哪些类型的报表?
- Q036 OSSIM 能否用于APT和ShellCode高级攻击检测?
- Q037 如何部署分布式OSSIM平台?
- Q038 OSSIM 系统中哪些服务是单线程,哪些服务是多线程?
- Q039 如何查看ossim-agent进程正在调用的文件?
- Q040 在分布式环境中如何添加传感器?
- Q041 为何新添加的传感器在 Web UI 上无法显示 NetFlow流?
- Q042 如何查看某个进程打开了哪些文件?
- Q043 如何监听系统中某个用户的网络活动?
- Q044 OSSIM经过防火墙时,需要打开哪些端口?
- 第3章 安装 OSSIM 服务器
- Q045 如何通过U盘安装OSSIM系统?
- Q046 如何克隆 OSSIM 虚拟机以及为虚拟机设置克隆?
- Q047 在安装 OSSIM时,命令行下面的提示信息保存在什么位置?
- Q048 执行 alienvault-update命令升级后,为什么原来的配置会被覆盖?
- Q049 执行 alienvault-update命令升级之后,缓存文件如何清除?
- Q050 如何选择OSSIM服务器?
- Q051 安装 OSSIM 时能识别硬盘,但无法识别网卡,该如何处理?
- Q052 选择OSSIM服务器硬件时,需要注意些什么问题?
- Q053 安装OSSIM时需要插网线吗?
- Q054 初装OSSIM时仅配置了单块网卡,后期需要再新增一块网卡,该如何操作呢?块网卡,该如何操作呢?
- Q055 安装 OSSIM 时需要选择多核 CPU 还是单核 CPU?CPU内核的数量越多越好吗?
- Q056 如何为OSSIM服务器/传感器选择网卡?
- Q057 OSSIM为何只能识别出2TB以内的硬盘?
- Q058 如何在OSSIM下安装GCC编译工具?
- Q059 如何手动加载网卡驱动?
- Q060 在虚拟机下安装 OSSIM结束后重启系统,结果系统一直停在启动界面,这该如何处理?
- Q061 OSSIM安装完成后,如何设置Web UI来初始化设置向导?
- Q062 如何通过CSV格式的文件导入多个网段信息?
- Q063 如何通过文件导入网络资产?
- Q064 在OSSIM配置向导中,报告无法找到网段内的服务器,该如何处理?
- Q065 如何再次调出Web UI 初始化配置向导?
- Q066 如果跳过了 Web 配置向导,如何通过 Web 界面安装OSSEC Agent?
- Q067 在Hyper-V 3.0 中安装 OSSIM 5.4时,在 Suricata配置过程中“卡住了”该如何处理?
- Q068 如何查看OSSIM的GRUB程序版本?
- Q069 OSSIM系统中的IPMI服务有什么作用?为什么在虚拟机中启动 OSSIM 时会遇到 IPMI 服务启动失败的问题?
- Q070 如采用要混合式安装方式来安装 OSSIM,在安装界面中应选择哪一项?
- Q071 如何进入OSSIM高级安装模式?
- Q072 在虚拟机下安装OSSIM 时无法找到磁盘,应如何处理?
- Q073 在 VMware虚拟机环境中,如何为 OSSIM安装VMware Tools增强工具?
- Q074 初学者如何正确选择虚拟机版本?
- Q075 如何嗅探虚拟机流量?
- Q076 在 VMware ESXi 虚拟机环境中安装 OSSIM 时应注意哪些问题?
- Q077 遗忘Web UI 登录密码后如何将其恢复?
- Q078 如何在Hyper-V虚拟机下安装OSSIM?
- Q079 在Hyper-V虚拟机中如何嗅探网络流量?
- Q080 采用笔记本电脑安装OSSIM时,如何防止其休眠?
- Q081 如何将负载分摊在多个传感器上?
- Q082 为什么不建议通过USB设备安装OSSIM系统?
- Q083 为什么在安装OSSIM 5的过程中不提示用户分区?
- Q084 虚拟机环境下常见的OSSIM安装错误有哪些?
- 第4章 OSSIM 系统维护与管理
- Q085 如何离线升级OSSIM?
- Q086 如何通过代理服务器升级系统?
- Q087 OSSIM升级过程中出现的 Ign、Hit、Get 分别代表什么含义?
- Q088 在OSSIM 中,update和upgrade参数有何区别?
- Q089 如何确保分布式OSSIM系统的安全?
- Q090 若在 OSSIM 服务器上启用 SELinux 服务,后果会如何?
- Q091 OSSIM仪表盘典型视图分为几类,各有何特点?
- Q092 通过OSSIM 4.3能直接升级到OSSIM 5.4吗?
- Q093 如何定制OSSIM系统的启动画面?
- Q094 OSSIM系统中的server.log日志文件有什么作用?如果此文件增涨到10GB以上,该如何处理?
- Q095 apt-get的常见用途有哪些?
- Q096 OSSIM中的IDM表示什么含义?如何启动IDM服务?
- Q097 开源OSSIM系统所使用的文件系统是什么,有什么局限性?
- Q098 当OSSIM的数据库受损时,如何恢复OSSIM?
- Q099 为什么在OSSIM 3.1系统上输入ossim-update命令进行升级后OCS模块会消失?
- Q100 OSSIM消息中心为什么总显示互联网连接中断?
- Q101 OSSIM 系统的软件包中包含 amd64 字样,这表示什么含义?
- Q102 如何将Tickets加入知识库?
- Q103 如何管理OSSIM系统服务?
- Q104 OSSIM 系统当使用 alienvault-update 升级后.deb文件位于何处?升级过程中报错怎么办?
- Q105 如何校验已安装的Debian软件包?
- Q106 OSSIM下有什么好用的包管理器吗?
- Q107 在OSSIM系统中如何分配tmpfs文件系统的大小?
- Q108 OSSIM系统如何同步时间?
- Q109 如何通过删除日志的方式来释放 OSSIM 平台上的磁盘空间?
- Q110 如何检测OSSIM系统整体的健康状态?
- Q111 如何记录Web UI中SQL查询日志信息的情况?这些内容在何处?
- Q112 如何禁止系统向root用户发送电子邮件?
- Q113 可使用什么命令来查询UUID号?
- Q114 智能移动终端如何访问OSSIM?
- Q115 如何修改OSSIM登录的超时时间?
- Q116 如何调整OSSIM系统管理员的密码登录策略?
- Q117 如何允许/禁止root通过SSH登录OSSIM系统?
- Q118 如何安装Gnome和Fvwm桌面环境?
- Q119 如何进入OSSIM系统的单用户模式?
- Q120 忘记root密码怎么办?
- Q121 在分布式OSSIM系统环境中如何启动和关闭系统?
- Q122 如何设置邮件报警?
- Q123 如何校验OSSIM中安装的软件包?
- Q124 在使用 apt-get install 安装软件的过程中强行中断安装,结果下次再执行安装脚本时报告数据库错误,这该如何解决?
- Q125 使用 apt-get install 安装程序时遇到了“Could not get lock/var/lib/dpkg/lock”提示,这是由于什么原因造成的?
- Q126 OSSIM系统中/var/run/目录下的pid文件有什么作用?
- Q127 如何更改OSSIM默认的网络接口?
- Q128 在OSSIM系统中如何寻找和终止僵尸进程(zombie)?
- Q129 OSSIM在哪些地方会消耗大量内存?
- Q130 如何查看admin用户活动的详细信息?
- Q131 如何查看当前登录到OSSIM系统中的用户的Session ID?
- Q132 如何将本地光盘设置为软件源?
- Q133 当使用 crontab –e编辑时,无法退出编辑环境,这如何处理?
- Q134 如何开启OSSIM的Cron日志?
- Q135 UUID在OSSIM系统中有什么用途?
- Q136 OSSIM中如何安装X-window 环境?
- Q137 OSSIM如何防止关键进程停止?
- Q138 OSSIM会将信息发送到外网吗?
- Q139 OSSIM平台如何修复包的依赖关系?
- Q140 异常关机会对OSSIM平台产生哪些影响?
- Q141 删除 OSSIM系统里的文件时,磁盘空间不释放应如何处理?
- Q142 如何手动修改服务器IP地址?
- Q143 如何消除终端控制台上的登录菜单?
- Q144 在低版本的OSSIM中,如何让控制台支持高分辨率?
- Q145 如何查看防火墙规则?
- Q146 如何解决时间不同步的问题?
- Q147 OSSIM在最后的安装阶段为什么会停滞不前?
- Q148 如何配置OSSIM服务器与传感器之间的VPN连接?
- Q149 如何重装传感器?
- Q150 如何安装并配置多个传感器?
- Q151 如何为OSSIM安装Webmin管理工具?
- Q152 如何为OSSIM安装phpMyAdmin工具?
- Q153 传感器中用于抓包的网卡需要分配IP吗?
- Q154 如何将HTTP重定向为HTTPS访问?
- Q155 在OSSIM的Web UI 登录界面中,在登录验证前用户名和密码是如何加密的?
- Q156 在OSSIM登录界面中如何实现用户Session登录验证的安全性?
- Q157 如何定制Apache 404页面?
- Q158 OSSIM系统每次启动时为什么显示“apache2 [warn]NameVirtualHost *:80 has no VirtualHosts”?
- Q159 Apache 中出现“Could not reliably determine the server’s fully qualified domain name”提示时,应如何处理?
- Q160 迁移OSSIM系统时需要备份哪些数据?
- Q161 在OSSIM中,PCI DSS和ISO 27001代表什么含义?
- Q162 如何输出30天内的资产可用性报告?
- Q163 如何使用grep命令去掉配置文件的注释行和空格行?
- Q164 如何生成一个指定大小的文件?
- Q165 如何在服务器/传感器中发现隐藏的进程或端口?
- Q166 如何解决因系统索引节点(inode)耗尽而引发的系统故障?
- Q167 OSSIM系统是如何实现高可用性的?
- Q168 OSSIM服务器如何横向扩展?
- 第5章 OSSIM 组成结构
- Q169 OSSIM开源框架的分层处理架构是什么?
- Q170 OSSIM系统框架中各模块的工作流程是怎样的?
- Q171 OSSIM采用模块化架构的优势是什么?
- Q172 根据 OSSIM 部署图来分析 OSSIM 多层体系结构是怎样的?
- Q173 如果分布式 OSSIM 系统的传感器出现问题,会影响哪些模块的工作?
- Q174 OSSIM的工作流程包括哪些内容?
- Q175 配置文件/etc/ossim/ossim_setup.conf 中记录了哪些内容?
- Q176 传感器上的采集插件与监控插件有什么区别?
- Q177 OSSIM免费版和商业版有哪些主要区别?
- Q178 OSSIM 中的SPADE有什么作用?
- Q179 OSSIM代理的作用是什么?
- Q180 代理与插件有什么区别?
- Q181 Framework有什么作用,如何查看其工作状态?
- Q182 修改 OSSIM 服务器配置文件 config.xml 后如何重新启动引擎?
- Q183 Agent程序采集的日志中的各个字段表示什么含义?
- Q184 在混合式 OSSIM 服务器模式与传感器安装模式中,它们安装的包有哪些区别?
- Q185 OSSIM 服务器和传感器的通信端口有哪些,其作用是什么?
- Q186 如何增删系统的数据源插件?
- Q187 如何列出OSSIM分布式系统的活动代理信息?
- Q188 如何将SIEM中显示的攻击日志添加到数据源组中?
- Q189 如何使用Tickets?
- Q190 Alarms与Tickets有什么区别?
- Q191 在OSSIM报警中对网络攻击模式如何分类?
- Q192 Ansible使用什么协议通信?
- Q193 SSH和Ansible服务在OSSIM中起到什么作用?
- Q194 如何建立基于OpenSSL的安全认证中心?
- Q195 如何在OSSIM中设置VPN连接?
- Q196 OSSIM中定义的未授权行为包括哪些?
- 第6章 传感器
- Q197 OSSIM 传感器的作用是什么,如何查看传感器的状态?
- Q198 当传感器发生故障时能否查询传感器上加载插件的状态?
- Q199 传感器能以串联方式部署在网络中吗?
- Q200 如何通过传感器扫描资产?
- Q201 如何查看分布式系统的传感器状态?
- Q202 如何让 Ansible获取远程主机运行时间、在线用户及平均负载信息?
- Q203 如何通过Ansible将脚本分发到远程主机并执行?
- Q204 为何会出现传感器删除失败的情况?
- Q205 OSSIM 消息中心将数据源分为几类,它们的含义是什么?
- 第7章 插件处理
- Q206 OSSIM 中的数据源插件如何将日志转换为安全事件,以实现统一存储?
- Q207 OSSIM代理如何将采集的日志发送到OSSIM服务器?
- Q208 OSSIM 采用什么技术来解决网络设备的日志格式不统一的问题?
- Q209 OSSIM中安全事件的标准格式是什么?
- Q210 OSSIM Agent的插件采集日志流程是什么?
- Q211 在Apache插件中如何定义Apache访问日志的正则表达式?如何通过脚本检测插件?
- Q212 经过 OSSIM 数据源插件归一化之后的日志存储在什么位置?
- Q213 编写日志插件分几个步骤?
- Q214 在OSSIM系统中如何导入检测插件?
- Q215 OSSIM 采集插件分为几大类,它们通过什么协议采集数据?
- Q216 插件进程 ossim-agent 被手动停止后之后为何会自己重启?
- Q217 在 OSSIM 传感器中能同时启用 Snort 和 Suricata 插件吗?
- Q218 如何导入自定义插件?
- 第8章 SIEM 控制台操作
- Q219 如何把SIEM控制台中发现的重要日志加入到知识库?
- Q220 如何为知识库的条目新增附件?
- Q221 在SIEM 控制台事件中查看视图时有几种观察模式,它们有什么区别?
- Q222 如何在SIEM警报中显示计算机名?
- Q223 在SIEM控制台事件的表单中,N/A表示什么意思?
- Q224 如何设定SIEM事件的保存期限?
- Q225 如何恢复SIEM事件数据库?
- Q226 SIEM控制台上包含哪些重要元素?
- Q227 如何在SIEM事件控制台中过滤事件?
- Q228 如何将高风险的事件进行快速分类?
- Q229 如何删除与恢复安全事件?
- Q230 SIEM控制台中显示的事件存储在什么地方?
- Q231 如何在Web页面清理SIEM数据库中的事件?
- Q232 为什么不能跨VLAN显示服务器的FQDN名称?
- Q233 SIEM日志显示中出现的0.0.0.0地址表示什么含义?
- Q234 无法显示SIEM安全事件时应如何处理?
- Q235 SIEM数据源与插件之间有何联系?
- Q236 什么是AVAPI 事件?如何过滤AVAPI 事件?
- Q237 在OSSIM Web UI中出现的EPS参数表示什么含义?
- 第9章 可视化报警
- Q238 如何产生报警事件?
- Q239 OSSIM中将报警事件分为几类,分别表示什么含义?
- Q240 如何通过Alarm快速识别网络攻击?
- Q241 报警分组有什么作用?
- Q242 如何通过X-Scan工具来触发OSSIM 报警?
- Q243 如何采用Armitage对目标主机进行渗透测试?
- Q244 如何通过 Metasploit 挖掘 Windows XP 的 MS08-067漏洞?
- Q245 如何通过OSSIM实现SSH登录失败报警?
- Q246 如何区别IDS的误报与漏报?
- Q247 如何设置SSH登录报警策略?
- Q248 OSSIM如何感知SSH暴力破解攻击?
- 第10章 OSSIM 数据库
- Q249 OSSIM数据库有哪几种,各有什么作用?
- Q250 采用SecureCRT 访问数据库时出现乱码,这是什么原因引起的,如何避免?
- Q251 MySQL数据库权限的存储机制是什么?
- Q252 如何让OSSIM中的MySQL数据库支持远程访问?
- Q253 如何通过phpMyAdmin数据库解决“Access denied for user 'root'@'localhost'(using password:YES)”报错问题?
- Q254 采用phpMyAdmin访问数据库时为什么会出现乱码?
- Q255 如何在 OSSIM 服务器上访问数据库?常见的数据库操作命令包含哪些?
- Q256 如何分屏显示alienvault.alarm表中的内容?
- Q257 如何查看OSSIM数据库的大小?
- Q258 OSSIM 中的 SQLite 数据库有什么作用,它存储在什么位置?
- Q259 RRDTool 与数据库MySQL之间有什么区别?
- Q260 如何将SQL文件插入到OSSIM数据库中?
- Q261 如何把一个.sql.gz文件导入到数据库中?
- Q262 如何优化数据库中的表?
- Q263 如何重置OSSIM数据库?
- Q264 如何恢复OSSIM数据库的出厂设置?
- Q265 影响OSSIM数据库的性能因素有哪些?
- Q266 如何利用MySQLReport监控数据库性能?
- Q267 如何设定OSSIM数据库的自动备份时间?在什么位置查看备份数据?
- Q268 /etc/ossim/server/config.xml 配置文件记录了哪些关键信息?
- Q269 OSSIM 系统中出现“MySQL:ERROR 1040:Too many connections”报错提示时如何处理?
- Q270 如何用mytop监控MySQL数据库?
- Q271 如何远程导出OSSIM数据库的表结构?
- Q272 在使用 ossim-db 命令时出现“ Access denied for user 'root'@'localhost'(using password:NO)”提示,该如何解决?
- Q273 如何模拟负载?
- Q274 当MySQL进程的CPU使用率过高时,如何优化?
- Q275 如何启动OSSIM数据库的慢查询日志?
- Q276 如何使用mysqldump完整备份OSSIM 数据库?
- Q277 如何用XtraBackup备份OSSIM 数据库?
- Q278 如何用mysqlslap测试OSSIM数据库?
- Q279 当OSSIM系统数据库发生损坏时,如何重建数据库?
- Q280 如何查看OSSIM系统的SIEM数据库备份策略?
- Q281 OSSIM系统出现acid表错误时如何处理?
- Q282 升级过程中数据库表意外损坏,该如何修复?
- Q283 如何清理OSSIM数据库?
- Q284 存储在数据库中的资产IP 地址被加密了吗,如何查看该IP地址呢?
- Q285 OSSIM 系统中的Active Event Window(days)表示什么含义,该值设定为多大比较合适?
- Q286 如何显示acid_event表中的前5条记录?
- Q287 为OSSIM添加扩展数据库时出现连接数据库错误,该如何处理?
- Q288 如何通过MONyog工具监控MySQL服务器?
- Q289 日志中的IP地址在数据库中采用何种形式存储?
- Q290 如何通过MySQL Workbench连接OSSIM数据库?
- 附录1 主要配置文件注释
- 附录2 OSSIM 5 Web 界面菜单功能注释
- 附录3 终端控制台程序注释
- 附录4 关键词汇英汉对照
展开全部
版权信息
出版社:人民邮电出版社
出版时间:2019
作者:李晨光
温馨提示:
1.本电子书已获得正版授权,由出版社通过知传链发行。
2.该电子书为虚拟物品,付费之后概不接收任何理由退款。电子书内容仅支持在线阅读,不支持下载。
3.您在本站购买的阅读使用权仅限于您本人阅读使用,您不得/不能给任何第三方使用,由此造成的一切相关后果本平台保留向您追偿索赔的权利!版权所有,后果自负!
得书感谢您对《开源安全运维平台OSSIM疑难解析:入门篇》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
出版时间:2019
作者:李晨光
温馨提示:
1.本电子书已获得正版授权,由出版社通过知传链发行。
2.该电子书为虚拟物品,付费之后概不接收任何理由退款。电子书内容仅支持在线阅读,不支持下载。
3.您在本站购买的阅读使用权仅限于您本人阅读使用,您不得/不能给任何第三方使用,由此造成的一切相关后果本平台保留向您追偿索赔的权利!版权所有,后果自负!
得书感谢您对《开源安全运维平台OSSIM疑难解析:入门篇》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
开源安全运维平台OSSIM疑难解析:入门篇
免费读 (VIP)