内容提要

OSSIM（Open Source Security Information Management，开源安全信息管理）系统是一个非常流行和完整的开源安全架构体系，通过将开源产品进行集成，从而提供一种能实现安全监控功能的基础平台。

本书精选了作者在OSSIM日常运维操作中遇到的许多疑难问题，并给出了相应的解决方案。本书共分为10章，内容包括SIEM与网络安全态势感知、OS-SIM部署基础、安装OSSIM服务器、OSSIM系统维护与管理、OSSIM组成结构、传感器、插件处理、SIEM控制台操作、可视化报警以及OSSIM数据库等。

本书适合具有一定SIEM系统实施经验的技术经理或中高级运维工程师阅读，还可以作为开源技术研究人员、网络安全管理人员的参考资料。

作者简介

李晨光，OSSIM布道师、资深网络架构师、UNIX/Linux系统安全专家、中国计算机学会高级会员。他写作的《Linux企业应用案例精解》《UNIX/Linux网络日志分析与流量监控》《开源安全运维平台OSSIM最佳实践》在图书市场上具有相当抢眼的表现与上佳口碑，且中文繁体字版本也被输出到中国台湾。

李晨光先生还是51CTO、ChinaUnix、OSchina等社区的专家博主，撰写的技术博文被国内各大IT技术社区广泛转载，还曾多次受邀在国内系统架构师大会和网络信息安全大会上发表技术演讲。

前言

写作本书的目的

目前，OSSIM在中国移动、中国电信、中国石油、华为等大型企业内得到应用推广，这些企业在安全运营中心（SOC）基础上组建了OSSIM运维和二次开发团队，但图书市场缺乏专门讲解OSSIM运维和开发的书籍。为了解答OSSIM运维工程师在工作中遇到的疑难问题，本书应运而生。

本书借助作者在OSSIM领域长达10年的开发应用实践经验，以大量实际问题为线索，阐述了基于插件收集的日志并实现标准化、安全事件规范化分类、网络威胁情报、事件关联分析等前沿技术问题。

本书涵盖的知识面广，讲解由浅入深。本书可以帮助初学者熟悉OSSIM基础架构，能完成系统安装、部署任务，能处理安装故障，并对Web UI进行简单的汉化。对于中、高级用户而言，通过学习本书可以将OSSIM框架和底层源码融汇贯通，通过开发脚本来深挖OSSIM的潜力。

本书编写形式新颖，表达方式独特，图文并茂，通俗易懂，有着很强的实用性。读者在学习和阅读的过程中可以针对自己感兴趣的问题得到及时、明确的解答。在满足碎片化阅读的同时，本书还通过近百道课后习题加深读者对OSSIM系统的理解。

本书主要内容

本书介绍了开源OSSIM系统安装部署以及运维管理的若干疑难问题，共分为10章。

第1章，SIEM与网络安全态势感知，讲解SIEM系统与网络安全态势感知技术在OSSIM系统中的应用。

第2章，OSSIM部署基础，讲解OSSIM部署过程中的常见故障及其解决方法。

第3章，安装OSSIM服务器，讲解服务器安装过程中的疑难问题。

第4章，OSSIM系统维护与管理，讲解系统维护与管理中遇到的配置难点、疑点。

第5章，OSSIM组成结构，讲解OSSIM开源框架以及各个模块的用途，并对通信端口进行了详细分析。

第6章，传感器，讲解传感器部署和管理的技术问题。

第7章，插件处理，讲解在OSSIM插件处理过程中遇到的重点技术问题。

第8章，SIEM控制台操作，讲解SIEM控制台操作过程中遇到的问题。

第9章，可视化报警，讲解可视化报警在OSSIM应用中遇到的问题。

第10章，OSSIM数据库，讲解OSSIM的MySQL数据库存储机制以及备份恢复等技术问题。

本书读者对象

本书精选了在OSSIM日常运维操作中总结的近300个疑难问题，是OSSIM运维工程师故障速查手册，专门针对OSSIM常见故障而编写。本书适合具有一定SIEM系统实施经验的技术经理或中高级运维工程师阅读，可作为信息安全专家和相关领域的研究人员的参考书，也可作为高等学校网络工程和信息安全专业的教材。