电子书
内容简介
OSSIM(Open Source Security Information Management,开源安全信息管理)系统是一个非常流行和完整的开源安全架构体系,通过将开源产品进行集成,从而提供一种能实现安全监控功能的基础平台。
《开源安全运维平台OSSIM疑难解析:提高篇》精选了作者在OSSIM日常运维操作中遇到的许多疑难杂症,并给出了相应的解决方案。本书共分为12章,内容包括入侵检测Snort与Suricata,基于主机的入侵检测—OSSEC,漏洞扫描OpenVAS,Memcache、RabbitMQ与Redis协同工作,日志采集与分析,关联分析技术,资产管理,网络流量与主机高可用监控,NetFlow流量分析,OSSIM前端汉化技巧,压力测试及性能监控,数据包抓包分析技巧等。
《开源安全运维平台OSSIM疑难解析:提高篇》精选了作者在非常适合具有一定SIEM(Security Information and Event Management,安全信息和事件管理)系统实施经验的技术经理或中高级运维工程师阅读,还可以作为开源技术研究人员、网络安全管理人员的参考资料。
章节目录
- 封面
- 内 容 提 要
- 作者简介
- 前 言
- 资源与支持
- 目 录
- 第1章 入侵检测 Snort 与 Suricata
- Q001 Snort 检测规则存储在何处?如果触发规则Snort 将会产生几种动作类型?
- Q002 Snort 2.9版本中主要有哪些预处理插件,各有什么功能?
- Q003 如何利用Scapy 测试Snort规则?
- Q004 Snort有几种工作模式,各有什么特点?
- Q005 举例说明Snort采用什么规则检测可疑载荷?
- Q006 Snort如何检测Chargen/Echo DoS 攻击?
- Q007 如何使用 Snort 的 Packet logger 模式将捕获到的信息记录到磁盘?
- Q008 在同一个网段内如何部署多个IDS?
- Q009 手动编译安装Snort时,需要做哪些准备工作?
- Q010 如何在Linux 下编译安装Snort?
- Q011 如何将Snort报警存入MySQL数据库?
- Q012 如何搭建基于BASE的可视化入侵检测系统?
- Q013 OSSIM 的 PHP IDS 组件采用什么方法来接收和分析数据?
- Q014 IP碎片攻击对Snort会产生哪些危害?
- Q015 在 Snort 规则中,msg、content、threshold、reference选项有何含义?
- Q016 OSSIM中如何管理引用类型?
- Q017 外部引用在OSSIM安全事件管理中起到什么作用?
- Q018 OSSIM5中的Suricata支持PF_RING吗?
- Q019 如何利用DARPA 2000数据集重构攻击场景?
- Q020 在Snort中如何使用参数查看数据链路层的包头信息?
- Q021 Snort的输出插件分为几类?各有什么作用?
- Q022 sid-msg.map和gen-msg.map有什么区别?
- Q023 在OSSIM 4.12 检测器中 Snort 状态为 DOWN,而Suricata 为 UP,这种状态正常吗?它们能同时为状态UP 吗?
- Q024 网络主动探测与被动探测有什么区别?
- Q025 如何找出/var/log/suricata 目录下 24 小时内访问过的日志并且找到后立即删除?
- Q026 Snort传感器部署在企业网的什么位置?
- Q027 Suricata与Snort有何区别?
- Q028 如何调整Suricata同时处理的数据包的数量?
- Q029 如何设置Suricata的运行模式?
- Q030 Suricata 事件输出分为哪几种?如何记录匹配的信息?
- Q031 当Suricata 检测到可疑数据包时,以二进制格式将其存储到什么文件?通过什么程序读取?
- Q032 Suricata通过什么参数记录真实客户机的IP?
- Q033 若让Suricata 记录所有 HTTP日志,则该如何修改配置文件?
- Q034 如何保存经Suricata检测的所有数据包?
- Q035 如何启用Suricata服务的Debug日志?
- Q036 如何将Suricata的报警信息输出到Syslog文件中?
- Q037 数据包在Suricata检测引擎中是如何匹配的?
- Q038 Suricata检测引擎的配置属性分为几种?
- Q039 在多核心 OSSIM 服务器上如何改善 Suricata 处理性能?
- Q040 在高速复杂的网络环境中,如何提高 Suricata 规则检测时的数据分片传输效率?
- Q041 在 Suricata 的 stream 引擎中对数据包重组需要占用CPU 资源,为了避免无限制地重组数据包,应该修改什么参数对其进行限制?
- Q042 Suricata 的日志文件 suricata.log 保存在什么路径中?该路径由什么配置文件定义?
- Q043 OSSIM 下 Suricata 的抓包方式采用 AF_PACKET还是PF_RING?
- Q044 如何定制Suricata规则?
- Q045 如何更新AlienVault NIDS规则和签名?
- Q046 Snort可作为IPS使用吗?如何部署?
- Q047 在OSSIM 3中,PF_RING有哪几种工作模式?
- Q048 如何启用新的ET规则?
- Q049 如何在OSSIM系统中配置无线入侵系统?
- Q050 OSSIM 平台上的iptables模块在什么位置?
- Q051 举例说明OSSIM如何发现Nmap扫描行为。
- Q052 AIDE有什么作用?
- Q053 如何在CentOS Linux 中安装AIDE?
- Q054 如何在OSSIM中安装AIDE?
- 本章测试
- 第2章 基于主机的入侵检测——OSSEC
- Q055 OSSEC Agent 主要由哪些进程组成,各有什么作用?
- Q056 简述OSSEC Server/Agent工作流程及其关键进程的作用。
- Q057 什么是Agent和Agentless监控?
- Q058 如何测试OSSEC规则?
- Q059 当因磁盘空间不足而造成 O SSEC服务故障时,该如何处理?
- Q060 分布式环境下OSSEC和Agent是如何通信的?
- Q061 在Linux 环境中如何安装OSSEC Agent?
- Q062 Linux 下安装OSSEC Agent报错时应如何解决?
- Q063 Nmap扫描和OpenVAS 扫描有什么区别?
- Q064 OSSEC事件报警处理流程是什么?
- Q065 如何在Windows 8环境下安装OSSEC Agent?
- Q066 用于配置OSSEC Agent的文件位于何处?
- Q067 当OSSEC Agent无法连接服务器时,该如何处理?
- Q068 在Windows Server 2012中如何安装OSSEC Agent?
- Q069 如何在Web中查看OSSEC Agent状态?
- Q070 OSSEC日志存储在什么位置?
- Q071 Web UI 中OSSEC调用规则的后台文件位于何处?
- Q072 如何监听OSSEC Server和Agent之间的数据通信?
- Q073 Windows 平台中已安装了 OSSEC Agent,但在OSSIM服务器中没有接收到日志,这怎么解决?
- Q074 OSSEC 客户端无法连接到OSSEC 服务器时,该如何处理?
- Q075 /var/log/suricata/目录下 JSON 文件中的各个字段表示什么含义?
- Q076 在OSSEC输出插件中的特定字符表示什么含义?
- 本章测试
- 第3章 漏洞扫描 OpenVAS
- Q077 OpenVAS 的扫描日志存放在何处?
- Q078 CVE、NVD、OSVDB、BugTraq、SecurityFocus、CNCVE 表示什么含义?
- Q079 OpenVAS主要进程和配置文件有哪些?
- Q080 OpenVAS脚本采用什么语言编写?请描述脚本加载过程。
- Q081 OpenVAS 扫描初期如何加载脚本?
- Q082 漏洞扫描器中的脚本如何对目标进行安全检测?
- Q083 OpenVAS 的扫描器 openvas-scanner 调用的私钥证书文件位于何处,证书由什么程序创建?
- Q084 OpenVAS扫描过程分为几个阶段,服务器端有几个主要模块,它们之间工作流程如何?
- Q085 OpenVAS 扫描器工作状态出现 Failed 提示,表示什么含义?
- Q086 用OpenVAS进行扫描时出现故障如何排除?
- Q087 在什么情况下应终止漏洞扫描任务?
- Q088 Nessus与OpenVAS 的扫描效果有什么区别?
- Q089 OSSIM 使用 OpenVAS 扫描系统时,为何还保留Nessus规则?
- Q090 使用 alienvault-update 命令对系统升级之后出现OpenVAS无法正常工作的情况,如何解决?
- Q091 操作过程中无法连接到漏洞扫描器,这种故障该如何解决?
- Q092 漏洞扫描时间过短会发生哪些问题?
- Q093 扫描资源池之外的机器会出现什么情况,如何处理?
- Q094 如何手动更新CVE库?
- Q095 OSSIM系统中设置多长时间的漏洞扫描周期合适?
- Q096 OpenVAS导出报告中针对漏洞分类使用了几种颜色,各表示什么含义?
- Q097 X-Scan、Fluxay、Nessus 及 OpenVAS 这几款扫描软件有何区别?
- 本章测试
- 第4章 Memcache、RabbitMQ与Redis协同工作
- Q098 为何单线程的Redis速度还能这么快?
- Q099 Memcache的作用是什么?
- Q100 如何增大Redis运行内存?
- Q101 如何安装MemCached监控探针?
- Q102 OSSIM为什么采用消息中间件?
- Q103 RabbitMQ在OSSIM系统中起到什么作用?
- Q104 如何查询OSSIM服务器上的消息队列以及连接信息?
- Q105 如何重置RabbitMQ节点?
- Q106 如何查看已启用的RabbitMQ插件?
- Q107 OSSIM中的RabbitMQ如何打开Web管理后台?
- Q108 OSSIM 为何要引入Redis 内存数据库,采用key/value存储?
- Q109 OSSIM服务器使用RabbitMQ有何优势?
- Q110 如何查看Redis服务器实时转储收到的请求?
- Q111 如何进入或退出Erlang Shell 界面?
- 本章测试
- 第5章 日志采集与分析
- Q112 在OSSIM平台上日志可视化体现在何处?
- Q113 iptables日志有几种记录形式?各有什么区别?
- Q114 如何将iptables日志转发到指定文件中?
- Q115 如何在Web界面中查看iptables事件?
- Q116 如何发现日志时间被篡改?
- Q117 为什么使用GNS3?
- Q118 在实验环境中使用GNS3有哪些短板?
- Q119 GNS3如何模拟3层交换机?
- Q120 如何将GNS3与本地网卡桥接?
- Q121 如何用OSSIM采集Squid日志?
- Q122 如何通过 Snare 将 Windows 事件转发至 Linux 日志采集服务器?
- Q123 如何用Syslog-Slogger 测试Syslog服务器?
- Q124 如何使用logger 发送测试日志?
- Q125 如何模拟Syslog流量?
- Q126 WMI 与Snare有什么区别?
- Q127 OSSIM日志处理流程是什么?
- Q128 原始安全事件需要具备哪些属性?
- Q129 原始日志和归一化事件有什么不同?
- Q130 将Windows日志转换为Syslog日志的工具有哪些?
- Q131 如何选择合适的日志级别?
- Q132 有哪些工具可以将 Windows日志转换为 Syslog?
- Q133 如何利用 Evtsys 工具采集 Windows 日志并转发到Syslog服务器?
- Q134 如何收集Apache日志?
- Q135 为什么在 Zabbix 服务器上启用 Syslog 消息转发后,服务器会出现卡顿的现象?
- Q136 如何利用Rsyslog协议采集日志?
- Q137 如何用Rsyslog将日志发送到不同的日志收集器中?
- Q138 如何在OSSIM中启用SNMP服务?
- Q139 如何让Linux客户机通过Syslog将日志发送到OSSIM服务器?
- Q140 alerts.log文件中突然产生大量日志,应如何处理?
- Q141 Syslog中每条消息的最大长度是多少?
- Q142 在OSSIM企业版中如何从Web UI 中导出日志?
- Q143 安全审计要求日志保存时间是多久?
- Q144 如何通过WMI 方式接收日志?
- Q145 如何将VsFTP日志发送到OSSIM?
- Q146 如何将客户端的 sudo日志重定向到服务器端指定的文件中?
- 本章测试
- 第6章 关联分析技术
- Q147 OSSIM的关联分析如何工作?
- Q148 安全事件关联分析的目的是什么?
- Q149 安全事件归一化处理的步骤是什么?
- Q150 如何通过关联分析来判断攻击?
- Q151 OSSIM如何将网络安全事件进行分类?
- Q152 举例说明OSSIM关联分析指令的结构?
- Q153 如何新建关联指令?
- Q154 如何查看交叉关联规则?
- Q155 在交叉关联规则中显示数据源及插件信息时为什么比较慢?
- Q156 RISK、PRIORITY、RELIABILITY 这 3 个参数在关联分析时有何关联?
- Q157 在仪表盘中,Risk 显示的Risk Metric 中C、A 值表示什么含义?
- Q158 在评估主机风险时,事件属性 Risk 的 C、A 值会发生哪些变化?这些变化反映出什么问题?
- Q159 OSSEC与Snort事件能合并吗?
- Q160 如何聚合OSSEC报警信息?
- Q161 如何判断OSSEC产生的同类报警?
- Q162 如何在Web UI 中配置关联指令?
- Q163 OSSIM 中关联规则的基本属性是什么,各有何含义?
- Q164 SIEM控制台如何将不同数据源的事件进行聚合处理?
- Q165 OSSIM关联规则树由什么构成?含义如何?
- Q166 OSSIM 关联分析引擎分为几种类型?可靠性和风险值在里面起到了什么作用?
- Q167 如何理解安全事件的交叉关联分析?
- Q168 风险评估三要素是什么?它们之间的关系如何?
- Q169 为什么说可靠性的值是动态变化的?
- Q170 如果内网一台邮件服务器的资 产值设定为 5,而优先级和可靠性的默认值设置为 3,那么这台服务器的风险值为多少?
- Q171 OSSIM关联引擎有何作用,工作过程是怎样的?
- 本章测试
- 第7章 资产管理
- Q172 OSSIM平台中需要对资产的哪些特征进行监控?
- Q173 如何为资产赋值?
- Q174 OSSIM中资产列表位于什么位置?
- Q175 资产扫描有6个选项,各表示什么含义?
- Q176 如何设置Nmap扫描周期?
- Q177 为什么扫描192.168.1.0/24 网段内的资产时,结果中却包含其他网段的资产信息?
- Q178 如何通过CSV文件导入资产信息?
- Q179 如何设置OCS,使其进行周期性检测?
- Q180 调节资产的可靠性值会对风险产生什么影响?
- Q181 如何在OSSIM 5的Web UI 中批量删除资产?
- Q182 在 OSSIM 中进行资产扫描时,如果定义网段不当则会出现“Scanning network (172.16.0.0/12) with localNmap,please wait...”提示,并且扫描停止。这一问题如何解决?
- Q183 OSSIM中Prads程序的作用是什么?
- Q184 Prads启动失败如何解决?
- Q185 当监控的资产过多时,OSSIM系统页面的刷新为什么非常慢?
- Q186 如何为资产启用插件?
- Q187 在OSSIM中安装iTop的详细步骤是什么?
- Q188 如何将OSSIM 产生的报警转发到iTop的CMDB?
- Q189 如何限制iTop上传文件的大小?
- Q190 如何在外网访问iTop站点?
- Q191 在iTop 安装过程中若出现“iTop is read-only iTop istemporarily frozen,please wait…”系统提示,该如何处理?
- 本章测试
- 第8章 网络流量与主机高可用监控
- Q192 在OSSIM 中Monit与Nagios服务有什么区别?
- Q193 RRDTool 代表什么含义,它在 OSSIM 中起到什么作用?
- Q194 RRDTool 绘图流程包括哪些内容?
- Q195 如何用Nagios监控MySQL?
- Q196 如何在命令行下使用Nagios插件?
- Q197 如何通过Nagios插件来检测负载?
- Q198 如何利用Nagios插件来检查交换分区和内存?
- Q199 添加Nagios 来监控主机后,打开Web UI 时报错该如何处理?
- Q200 Nagios 中显示的返回码包括哪几种,各表示什么含义?
- Q201 Ntop流量采集方式有什么特点?
- Q202 网络中数据包大小变化的背后隐藏了哪些玄机?Ntop如何统计流量的变化?
- Q203 用 Ntop 分析网络数据时,需要在交换机上设置端口镜像吗?
- Q204 如何重置Ntop的admin密码?
- Q205 当 OSSIM 系统中存在多个传感器时,如何选择 Ntop的默认传感器?
- Q206 打开Ntop时出现“Sensor not available”提示,应如何处理?
- Q207 打开Ntop主界面时速度缓慢,如何处理?
- Q208 如何设置Ntop中的流向统计功能?
- Q209 若在分布式系统中为传感器设置多块网卡,使用Ntop 时提示“Sensor not available please select for theabove dropdown”,该如何处理?
- Q210 在Ntop 中设置 Local Network Traffic Map时出现错误提示,应如何处理?
- Q211 如何在OSSIM 中安装Ntopng?
- Q212 蠕虫爆发时,流量、协议以及数据包大小会发生哪些异常,Ntop如何感知这些变化?
- Q213 如何监控 OSSIM 服务器和传感器中的磁盘、网络、系统进程及Postfix?
- Q214 如何通过Ntop显示受控服务器的IP流量?
- Q215 如何采用phpMyAdmin工具监控OSSIM服务器的流量?
- 本章测试
- 第9章 NetFlow 流量分析
- Q216 OSSIM服务器中的NetFlow 模块由几部分组成, 分别有什么作用?
- Q217 nfdump模块由哪些进程组成,各有什么功能?
- Q218 NetFlow 数据流存储路径定义在什么文件中?修改配置后若生效该如何处理?
- Q219 如何在传感器中启用NetFlow 功能?
- Q220 在OSSIM 分布式系统中,NetFlow 数据存储在服务器端还是传感器端?
- Q221 OSSIM系统中如何分析NetFlow 数据包?
- Q222 “LIST LAST 500 SESSIONS”“TOP 10 SRC IPS”“TOP 10 DST IPS”等参数表示什么含义?
- Q223 分布式环境下如何监测NetFlow 数据流?
- Q224 如何清理NetFlow 采集的数据?
- Q225 NetFlow 采集的抽样数据可保存多长时间?
- Q226 如何通过命令行读取NetFlow 数据?
- Q227 NetFlow数据集能在 Web UI的仪表盘中显示吗?
- Q228 在分布式部署的 OSSIM环境中,传感器如何区别来自不同传感器的NetFlow 数据?
- Q229 在 OSSIM 平台上利用 NetFlow 采集路由器流量会对路由器的工作造成影响吗?
- Q230 在 OSSIM 平台上将 NetFlow 数据与谷歌地图结合有什么优点?
- Q231 NetFlow 能否检测出SYN泛洪攻击?
- Q232 在 nfsend 进程中出现“Connection refused”报错时该如何处理?
- Q233 OSSIM如何分析网络异常行为?
- Q234 sFlow 协议有什么功能?哪些软件可以分析 sFlow 的数据包?
- Q235 sFlow 与NetFlow 的协议有何区别?
- Q236 NetFlow 接收不到流数据该如何处理?
- 本章测试
- 第10章 OSSIM 前端汉化技巧
- Q237 OSSIM 5.3中的Web UI 菜单调用源码位于何处?
- Q238 locale参数的作用是什么?如何查询和修改locale?
- Q239 如何汉化OSSIM中的Web UI 菜单?
- Q240 在汉化OSSIM时需要修改源代码吗?
- Q241 对于汉化后的Web UI 界面,若使用 IE 10浏览器应该如何选择编码方式才能显示中文?
- Q242 在OSSIM终端界面上如何显示和输入中文字符?
- Q243 Windows 环境下使用什么工具编辑 PHP 文件?需要注意些什么?
- Q244 用SecureCRT 远程连接到OSSIM 系统,当直接修改汉化后的PHP 代码时,浏览器中显示都是乱码,如何处理?
- Q245 如何修改Favicon图标?
- Q246 如何修改Logo图标?
- Q247 如何修改Web UI 中的Title标识?
- Q248 如何修改选项卡名称?
- Q249 如何更换OSSIM系统的Web UI 背景?
- Q250 OSSIM系统中的 ADOdb 包有什么作用?它的配置文件在什么位置?
- Q251 在OSSIM Web UI 仪表盘中,雷达图主要显示传感器收集事件的数量。在该雷达图中,可以描述多少个不同的传感器的信息?
- Q252 如何将Loading Widget修改成中文字符?
- Q253 如何修改OSSIM的Web UI 菜单?
- Q254 如何修改Web UI 仪表盘的名称?
- Q255 如何修改Alarm 数据的300s 刷新时间?
- Q256 OSSIM中的Web UI 如何实现动态加载页面?
- Q257 如何将UTC(世界标准时间)转化为本地时间?
- Q258 jQuery 插件中的/usr/shre/ossim/www/js/geo_autocomplete.js脚本有什么作用?
- Q259 脚本 jquery.dynatree.js 有什么作用?若发生故障会影响Web UI 的哪些功能?
- 本章测试
- 第11章 压力测试及性能监控
- Q260 如何利用Netperf 测试网络性能?
- Q261 如何使用I/O分析工具dstat?
- Q262 如何用sysbench测试数据库?
- Q263 如何用dd工具测试系统I/O性能?
- Q264 如何使用OSSIM自带的性能测试工具?
- Q265 如何测试系统的IOPS?
- Q266 当OSSIM服务器产生大量套接字连接时,如何查看全局统计信息?
- Q267 OSSIM系统空间不足时如何查找大文件?
- Q268 如何检测OSSIM系统的整体状态?
- Q269 如何使用图形化监控工具nmon?
- Q270 如何用atop监控Linux 系统资源和进程?
- Q271 如何找出最消耗内存的进程?
- Q272 如何测试OSSIM Web UI 页面的响应速度?
- Q273 如何对OSSIM系统目录的大小进行排序?
- Q274 如何使用OSSIM的流量监控工具iftop?
- Q275 如何利用 Apache 自带的 ab 工具测试 OSSIM 的响应速度?
- Q276 如何详细了解OSSIM系统进程的网络带宽占用情况?
- Q277 OSSIM下如何使用nload软件监控流量?
- Q278 如何对OSSIM系统进行压力测试?
- Q279 OSSIM中如何应用hping3进行测试?
- Q280 OSSIM 下如何安装工具Knocker?
- Q281 OSSIM下如何安装sendip工具?
- Q282 OSSIM 中如何安装Smokeping?
- Q283 如何在OSSIM Server上安装Cacti?
- Q284 如何在OSSIM传感器上安装Zabbix?
- Q285 如何利用Munin工具进行性能监控?
- Q286 如何安装Glances工具?
- 本章测试
- 第12章 数据抓包分析技巧
- Q287 如何预防网络嗅探?
- Q288 SPAN端口镜像技术有何局限?
- Q289 采集数据流分为几类,各有什么特点?
- Q290 通过Traffic Capture抓包的数据存放在什么位置?
- Q291 若在千兆网络环境中存储30 天的完整抓包数据,需要多大的硬盘空间?
- Q292 协议分析包括哪些内容,常用的分析工具有哪些?
- Q293 如何用tcpdump监听由传感器发送到端口的数据包?
- Q294 如何用tcpdump获取Syslog数据包?
- Q295 如何将tcpdump抓包存入文件?
- Q296 采用OSSIM监控千兆网络环境会遇到哪些问题?
- Q297 使用 SecureCRT 远程连接到 OSSIM 进行抓包,如何显示从网卡eth0 获取的TCP 22 端口之外的全部流量?
- Q298 如何利用Traffic Capture远程排除网络故障?
- Q299 在使用 OSSIM Web UI 的 Traffic Capture 时提示“This traffic capture is empty”,应如何处理?
- Q300 Traffic Capture分析数据包时如何对协议进行过滤?
- Q301 Traffic Capture数据包捕获的时间范围是多少?
- Q302 Traffic Capture数据包过滤技巧有哪些?
- 本章测试
- 附录 Snort 安装包用途及安装路线
展开全部
开源安全运维平台OSSIM疑难解析:提高篇是2019年由人民邮电出版社出版,作者李晨光。
版权说明:本电子书已获得正版授权,由出版社通过知传链发行。
得书感谢您对《开源安全运维平台OSSIM疑难解析:提高篇》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
