科技 类型
可以朗读 语音朗读
177千字 字数
2019-09-01 发行日期
展开全部

主编推荐语

OSSIM运维工程师故障速查手册,OSSIM实践指南。

内容简介

OSSIM(Open Source Security Information Management,开源安全信息管理)系统是一个非常流行和完整的开源安全架构体系,通过将开源产品进行集成,从而提供一种能实现安全监控功能的基础平台。精选了作者在OSSIM日常运维操作中遇到的许多疑难问题,并给出了相应的解决方案。本书共分为10章,内容包括SIEM与网络安全态势感知、OSSIM部署基础、安装OSSIM服务器、OSSIM系统维护与管理、OSSIM组成结构、传感器、插件处理、SIEM控制台操作、可视化报警以及OSSIM数据库等。

目录

  • 版权信息
  • 内容提要
  • 作者简介
  • 前言
  • 资源与支持
  • 第1章 SIEM与网络安全态势感知
  • Q001 什么是SIEM?
  • Q002 SIEM处理流程是什么?
  • Q003 SIEM基本特征分为几个部分,技术门槛是什么,有哪些商业产品?
  • Q004 SIEM中的安全运维模块包含哪些主要内容?
  • Q005 为什么要选择OSSIM作为运维监控平台?
  • Q006 在OSSIM架构中为何要引入威胁情报系统?
  • Q007 在OSSIM中OTX代表什么含义?
  • Q008 为什么要对IP进行信誉评级?
  • Q009 如何激活OTX功能?
  • Q010 如何手动更新IP信誉数据并查看这些数据?
  • Q011 如何读懂IP信誉数据库的记录格式?
  • Q012 为什么在浏览器中无法显示由谷歌地图绘制的AlienVault
  • Q013 OSSIM使用的Google Maps API在什么位置?
  • Q014 在OSSIM系统中成功添加OTX key之后,为何仪表盘上没有显示?
  • Q015 将已申请的OTX key导入OSSIM系统时,为何提示连接失败?
  • Q016 外部威胁情报和内部威胁情报分别来自何处?
  • Q017 如何利用OSSIM系统内置的威胁情报识别网络APT攻击事件?
  • Q018 OpenSOC的组成结构和主要功能是什么,它和OSSIM之间的区别是什么?
  • Q019 Apache Metron是新生代的OpenSOC吗?部署难度大吗?
  • 第2章 OSSIM部署基础
  • Q020 OSSIM主要版本的演化过程是怎样的?
  • Q021 如何关闭和重启OSSIM?
  • Q022 OSSIM属于大数据平台吗?
  • Q023 OSSIM能作为堡垒机使用吗?
  • Q024 堡垒机的Syslog日志能否转发至OSSIM统一存储?
  • Q025 OSSIM平台属于CPU密集型、I/O密集型还是内存密集型系统?
  • Q026 OSSIM平台开发了哪些专属程序?
  • Q027 Kali Linux和OSSIM有什么区别?
  • Q028 安装OSSIM服务器组件时是否包含了传感器组件?
  • Q029 OSSIM能否安装在XEN或KVM虚拟化系统上?
  • Q030 OSSIM如何处理海量数据?
  • Q031 OSSIM是基于Debian Linux开发的,能否将其安装在其他Linux发行版上,例如RHAS、CentOS、 SUSE Linux?
  • Q032 分布式OSSIM系统传感器如何部署?
  • Q033 OSSIM可输出的报表有哪些类型?
  • Q034 在OSSIM 3中通过什么技术可实现报表预览功能?
  • Q035 OSSIM企业版中可输出哪些类型的报表?
  • Q036 OSSIM能否用于APT和ShellCode高级攻击检测?
  • Q037 如何部署分布式OSSIM平台?
  • Q038 OSSIM系统中哪些服务是单线程,哪些服务是多线程?
  • Q039 如何查看ossim-agent进程正在调用的文件?
  • Q040 在分布式环境中如何添加传感器?
  • Q041 为何新添加的传感器在Web UI上无法显示NetFlow流?
  • Q042 如何查看某个进程打开了哪些文件?
  • Q043 如何监听系统中某个用户的网络活动?
  • Q044 OSSIM经过防火墙时,需要打开哪些端口?
  • 第3章 安装OSSIM服务器
  • Q045 如何通过U盘安装OSSIM系统?
  • Q046 如何克隆 OSSIM 虚拟机以及为虚拟机设置克隆?
  • Q047 在安装OSSIM时,命令行下面的提示信息保存在什么位置?
  • Q048 执行alienvault-update命令升级后,为什么原来的配置会被覆盖?
  • Q049 执行alienvault-update命令升级之后,缓存文件如何清除?
  • Q050 如何选择OSSIM服务器?
  • Q051 安装OSSIM时能识别硬盘,但无法识别网卡,该如何处理?
  • Q052 选择OSSIM服务器硬件时,需要注意些什么问题?
  • Q053 安装OSSIM时需要插网线吗?
  • Q054 初装OSSIM时仅配置了单块网卡,后期需要再新增一块网卡,该如何操作呢?
  • Q055 安装OSSIM时需要选择多核CPU还是单核CPU?CPU内核的数量越多越好吗?
  • Q056 如何为OSSIM服务器/传感器选择网卡?
  • Q057 OSSIM为何只能识别出2TB以内的硬盘?
  • Q058 如何在OSSIM下安装GCC编译工具?
  • Q059 如何手动加载网卡驱动?
  • Q060 在虚拟机下安装OSSIM结束后重启系统,结果系统一直停在启动界面,这该如何处理?
  • Q061 OSSIM安装完成后,如何设置Web UI来初始化设置向导?
  • Q062 如何通过CSV格式的文件导入多个网段信息?
  • Q063 如何通过文件导入网络资产?
  • Q064 在OSSIM配置向导中,报告无法找到网段内的服务器,该如何处理?
  • Q065 如何再次调出Web UI初始化配置向导?
  • Q066 如果跳过了Web配置向导,如何通过Web界面安装OSSEC Agent?
  • Q067 在Hyper-V 3.0中安装OSSIM 5.4时,在Suricata配置过程中“卡住了”该如何处理?
  • Q068 如何查看OSSIM的GRUB程序版本?
  • Q069 OSSIM系统中的IPMI服务有什么作用?为什么在虚拟机中启动OSSIM时会遇到IPMI服务启动失败的问题?
  • Q070 如采用要混合式安装方式来安装OSSIM,在安装界面中应选择哪一项?
  • Q071 如何进入OSSIM高级安装模式?
  • Q072 在虚拟机下安装OSSIM时无法找到磁盘,应如何处理?
  • Q073 在VMware虚拟机环境中,如何为OSSIM安装
  • Q074 初学者如何正确选择虚拟机版本?
  • Q075 如何嗅探虚拟机流量?
  • Q076 在VMware ESXi虚拟机环境中安装OSSIM时应注意哪些问题?
  • Q077 遗忘Web UI登录密码后如何将其恢复?
  • Q078 如何在Hyper-V虚拟机下安装OSSIM?
  • Q079 在Hyper-V虚拟机中如何嗅探网络流量?
  • Q080 采用笔记本电脑安装OSSIM时,如何防止其休眠?
  • Q081 如何将负载分摊在多个传感器上?
  • Q082 为什么不建议通过USB设备安装OSSIM系统?
  • Q083 为什么在安装OSSIM 5的过程中不提示用户分区?
  • Q084 虚拟机环境下常见的OSSIM安装错误有哪些?
  • 第4章 OSSIM系统维护与管理
  • Q085 如何离线升级OSSIM?
  • Q086 如何通过代理服务器升级系统?
  • Q087 OSSIM升级过程中出现的Ign、Hit、Get分别代表什么含义?
  • Q088 在OSSIM中,update和upgrade参数有何区别?
  • Q089 如何确保分布式OSSIM系统的安全?
  • Q090 若在OSSIM服务器上启用SELinux服务,后果会如何?
  • Q091 OSSIM仪表盘典型视图分为几类,各有何特点?
  • Q092 通过OSSIM 4.3能直接升级到OSSIM 5.4吗?
  • Q093 如何定制OSSIM系统的启动画面?
  • Q094 OSSIM系统中的schmerver.log日志文件有什么作用?如果此文件增涨到10GB以上,该如何处理?
  • Q095 apt-get的常见用途有哪些?
  • Q096 OSSIM中的IDM表示什么含义?如何启动IDM服务?
  • Q097 开源OSSIM系统所使用的文件系统是什么,有什么局限性?
  • Q098 当OSSIM的数据库受损时,如何恢复OSSIM?
  • Q099 为什么在OSSIM 3.1系统上输入ossim-update命令进行升级后OCS模块会消失?
  • Q100 OSSIM消息中心为什么总显示互联网连接中断?
  • Q101 OSSIM系统的软件包中包含amd64字样,这表示什么含义?
  • Q102 如何将Tickets加入知识库?
  • Q103 如何管理OSSIM系统服务?
  • Q104 OSSIM系统当使用alienvault-update升级后.deb文件位于何处?升级过程中报错怎么办?
  • Q105 如何校验已安装的Debian软件包?
  • Q106 OSSIM下有什么好用的包管理器吗?
  • Q107 在OSSIM系统中如何分配tmpfs文件系统的大小?
  • Q108 OSSIM系统如何同步时间?
  • Q109 如何通过删除日志的方式来释放OSSIM平台上的磁盘空间?
  • Q110 如何检测OSSIM系统整体的健康状态?
  • Q111 如何记录Web UI中SQL查询日志信息的情况?这些内容在何处?
  • Q112 如何禁止系统向root用户发送电子邮件?
  • Q113 可使用什么命令来查询UUID号?
  • Q114 智能移动终端如何访问OSSIM?
  • Q115 如何修改OSSIM登录的超时时间?
  • Q116 如何调整OSSIM系统管理员的密码登录策略?
  • Q117 如何允许/禁止root通过SSH登录OSSIM系统?
  • Q118 如何安装Gnome和Fvwm桌面环境?
  • Q119 如何进入OSSIM系统的单用户模式?
  • Q120 忘记root密码怎么办?
  • Q121 在分布式OSSIM系统环境中如何启动和关闭系统?
  • Q122 如何设置邮件报警?
  • Q123 如何校验OSSIM中安装的软件包?
  • Q124 在使用apt-get install安装软件的过程中强行中断安装,结果下次再执行安装脚本时报告数据库错误,这该如何解决?
  • Q125 使用apt-get install安装程序时遇到了“Could not get lock/var/lib/dpkg/lock”提示,这是由于什么原因造成的?
  • Q126 OSSIM系统中/var/run/目录下的pid文件有什么作用?
  • Q127 如何更改OSSIM默认的网络接口?
  • Q128 在OSSIM系统中如何寻找和终止僵尸进程(zombie)?
  • Q129 OSSIM在哪些地方会消耗大量内存?
  • Q130 如何查看admin用户活动的详细信息?
  • Q131 如何查看当前登录到OSSIM系统中的用户的Session ID?
  • Q132 如何将本地光盘设置为软件源?
  • Q133 当使用crontab –e编辑时,无法退出编辑环境,这如何处理?
  • Q134 如何开启OSSIM的Cron日志?
  • Q135 UUID在OSSIM系统中有什么用途?
  • Q136 OSSIM中如何安装X-window环境?
  • Q137 OSSIM如何防止关键进程停止?
  • Q138 OSSIM会将信息发送到外网吗?
  • Q139 OSSIM平台如何修复包的依赖关系?
  • Q140 异常关机会对OSSIM平台产生哪些影响?
  • Q141 删除OSSIM系统里的文件时,磁盘空间不释放应如何处理?
  • Q142 如何手动修改服务器IP地址?
  • Q143 如何消除终端控制台上的登录菜单?
  • Q144 在低版本的OSSIM中,如何让控制台支持高分辨率?
  • Q145 如何查看防火墙规则?
  • Q146 如何解决时间不同步的问题?
  • Q147 OSSIM在最后的安装阶段为什么会停滞不前?
  • Q148 如何配置OSSIM服务器与传感器之间的VPN连接?
  • Q149 如何重装传感器?
  • Q150 如何安装并配置多个传感器?
  • Q151 如何为OSSIM安装Webmin管理工具?
  • Q152 如何为OSSIM安装phpMyAdmin工具?
  • Q153 传感器中用于抓包的网卡需要分配IP吗?
  • Q154 如何将HTTP重定向为HTTPS访问?
  • Q155 在OSSIM的Web UI登录界面中,在登录验证前用户名和密码是如何加密的?
  • Q156 在OSSIM登录界面中如何实现用户Session登录验证的安全性?
  • Q157 如何定制Apache 404页面?
  • Q158 OSSIM系统每次启动时为什么显示“apache2 [warn] NameVirtualHost *:80 has no VirtualHosts”?
  • Q159 Apache中出现“Could not reliably determine the schmerver’s fully qualified domain name”提示时,应如何处理?
  • Q160 迁移OSSIM系统时需要备份哪些数据?
  • Q161 在OSSIM中,PCI DSS和ISO 27001代表什么含义?
  • Q162 如何输出30天内的资产可用性报告?
  • Q163 如何使用grep命令去掉配置文件的注释行和空格行?
  • Q164 如何生成一个指定大小的文件?
  • Q165 如何在服务器/传感器中发现隐藏的进程或端口?
  • Q166 如何解决因系统索引节点(inode)耗尽而引发的系统故障?
  • Q167 OSSIM系统是如何实现高可用性的?
  • Q168 OSSIM服务器如何横向扩展?
  • 第5章 OSSIM组成结构
  • Q169 OSSIM开源框架的分层处理架构是什么?
  • Q170 OSSIM系统框架中各模块的工作流程是怎样的?
  • Q171 OSSIM采用模块化架构的优势是什么?
  • Q172 根据OSSIM部署图来分析OSSIM多层体系结构是怎样的?
  • Q173 如果分布式OSSIM系统的传感器出现问题,会影响哪些模块的工作?
  • Q174 OSSIM的工作流程包括哪些内容?
  • Q175 配置文件/etc/ossim/ossim_setup.conf中记录了哪些内容?
  • Q176 传感器上的采集插件与监控插件有什么区别?
  • Q177 OSSIM免费版和商业版有哪些主要区别?
  • Q178 OSSIM中的SPADE有什么作用?
  • Q179 OSSIM代理的作用是什么?
  • Q180 代理与插件有什么区别?
  • Q181 Framework有什么作用,如何查看其工作状态?
  • Q182 修改OSSIM服务器配置文件config.xml后如何重新启动引擎?
  • Q183 Agent程序采集的日志中的各个字段表示什么含义?
  • Q184 在混合式OSSIM服务器模式与传感器安装模式中,它们安装的包有哪些区别?
  • Q185 OSSIM 服务器和传感器的通信端口有哪些,其作用是什么?
  • Q186 如何增删系统的数据源插件?
  • Q187 如何列出OSSIM分布式系统的活动代理信息?
  • Q188 如何将SIEM中显示的攻击日志添加到数据源组中?
  • Q189 如何使用Tickets?
  • Q190 Alarms与Tickets有什么区别?
  • Q191 在OSSIM报警中对网络攻击模式如何分类?
  • Q192 Ansible使用什么协议通信?
  • Q193 SSH和Ansible服务在OSSIM中起到什么作用?
  • Q194 如何建立基于OpenSSL的安全认证中心?
  • Q195 如何在OSSIM中设置VPN连接?
  • Q196 OSSIM中定义的未授权行为包括哪些?
  • 第6章 传感器
  • Q197 OSSIM 传感器的作用是什么,如何查看传感器的状态?
  • Q198 当传感器发生故障时能否查询传感器上加载插件的状态?
  • Q199 传感器能以串联方式部署在网络中吗?
  • Q200 如何通过传感器扫描资产?
  • Q201 如何查看分布式系统的传感器状态?
  • Q202 如何让Ansible获取远程主机运行时间、在线用户及平均负载信息?
  • Q203 如何通过Ansible将脚本分发到远程主机并执行?
  • Q204 为何会出现传感器删除失败的情况?
  • Q205 OSSIM消息中心将数据源分为几类,它们的含义是什么?
  • 第7章 插件处理
  • Q206 OSSIM中的数据源插件如何将日志转换为安全事件,以实现统一存储?
  • Q207 OSSIM代理如何将采集的日志发送到OSSIM服务器?
  • Q208 OSSIM采用什么技术来解决网络设备的日志格式不统一的问题?
  • Q209 OSSIM中安全事件的标准格式是什么?
  • Q210 OSSIM Agent的插件采集日志流程是什么?
  • Q211 在Apache插件中如何定义Apache访问日志的正则表达式?如何通过脚本检测插件?
  • Q212 经过OSSIM数据源插件归一化之后的日志存储在什么位置?
  • Q213 编写日志插件分几个步骤?
  • Q214 在OSSIM系统中如何导入检测插件?
  • Q215 OSSIM采集插件分为几大类,它们通过什么协议采集数据?
  • Q216 插件进程ossim-agent被手动停止后之后为何会自己重启?
  • Q217 在OSSIM传感器中能同时启用Snort和Suricata插件吗?
  • Q218 如何导入自定义插件?
  • 第8章 SIEM控制台操作
  • Q219 如何把SIEM控制台中发现的重要日志加入到知识库?
  • Q220 如何为知识库的条目新增附件?
  • Q221 在SIEM控制台事件中查看视图时有几种观察模式,它们有什么区别?
  • Q222 如何在SIEM警报中显示计算机名?
  • Q223 在SIEM控制台事件的表单中,N/A表示什么意思?
  • Q224 如何设定SIEM事件的保存期限?
  • Q225 如何恢复SIEM事件数据库?
  • Q226 SIEM控制台上包含哪些重要元素?
  • Q227 如何在SIEM事件控制台中过滤事件?
  • Q228 如何将高风险的事件进行快速分类?
  • Q229 如何删除与恢复安全事件?
  • Q230 SIEM控制台中显示的事件存储在什么地方?
  • Q231 如何在Web页面清理SIEM数据库中的事件?
  • Q232 为什么不能跨VLAN显示服务器的FQDN名称?
  • Q233 SIEM日志显示中出现的0.0.0.0地址表示什么含义?
  • Q234 无法显示SIEM安全事件时应如何处理?
  • Q235 SIEM数据源与插件之间有何联系?
  • Q236 什么是AVAPI事件?如何过滤AVAPI事件?
  • Q237 在OSSIM Web UI中出现的EPS参数表示什么含义?
  • 第9章 可视化报警
  • Q238 如何产生报警事件?
  • Q239 OSSIM中将报警事件分为几类,分别表示什么含义?
  • Q240 如何通过Alarm快速识别网络攻击?
  • Q241 报警分组有什么作用?
  • Q242 如何通过X-Scan工具来触发OSSIM报警?
  • Q243 如何采用Armitage对目标主机进行渗透测试?
  • Q244 如何通过Metasploit挖掘Windows XP的MS08-067漏洞?
  • Q245 如何通过OSSIM实现SSH登录失败报警?
  • Q246 如何区别IDS的误报与漏报?
  • Q247 如何设置SSH登录报警策略?
  • Q248 OSSIM如何感知SSH暴力破解攻击?
  • 第10章 OSSIM数据库
  • Q249 OSSIM数据库有哪几种,各有什么作用?
  • Q250 采用SecureCRT访问数据库时出现乱码,这是什么原因引起的,如何避免?
  • Q251 MySQL数据库权限的存储机制是什么?
  • Q252 如何让OSSIM中的MySQL数据库支持远程访问?
  • Q253 如何通过phpMyAdmin数据库解决“Access denied for user 'root'@'localhost'(using password:YES)”报错问题?
  • Q254 采用phpMyAdmin访问数据库时为什么会出现乱码?
  • Q255 如何在OSSIM服务器上访问数据库?常见的数据库操作命令包含哪些?
  • Q256 如何分屏显示alienvault.alarm表中的内容?
  • Q257 如何查看OSSIM数据库的大小?
  • Q258 OSSIM中的SQLite数据库有什么作用,它存储在什么位置?
  • Q259 RRDTool与数据库MySQL之间有什么区别?
  • Q260 如何将SQL文件插入到OSSIM数据库中?
  • Q261 如何把一个.sql.gz文件导入到数据库中?
  • Q262 如何优化数据库中的表?
  • Q263 如何重置OSSIM数据库?
  • Q264 如何恢复OSSIM数据库的出厂设置?
  • Q265 影响OSSIM数据库的性能因素有哪些?
  • Q266 如何利用MySQLReport监控数据库性能?
  • Q267 如何设定OSSIM数据库的自动备份时间?在什么位置查看备份数据?
  • Q268 /etc/ossim/schmerver/config.xml配置文件记录了哪些关键信息?
  • Q269 OSSIM系统中出现“MySQL:ERROR 1040:Too many connections”报错提示时如何处理?
  • Q270 如何用mytop监控MySQL数据库?
  • Q271 如何远程导出OSSIM数据库的表结构?
  • Q272 在使用ossim-db命令时出现“Access denied for user 'root'@'localhost'(using password:NO)”提示,该如何解决?
  • Q273 如何模拟负载?
  • Q274 当MySQL进程的CPU使用率过高时,如何优化?
  • Q275 如何启动OSSIM数据库的慢查询日志?
  • Q276 如何使用mysqldump完整备份OSSIM数据库?
  • Q277 如何用XtraBackup备份OSSIM数据库?
  • Q278 如何用mysqlslap测试OSSIM数据库?
  • Q279 当OSSIM系统数据库发生损坏时,如何重建数据库?
  • Q280 如何查看OSSIM系统的SIEM数据库备份策略?
  • Q281 OSSIM系统出现acid表错误时如何处理?
  • Q282 升级过程中数据库表意外损坏,该如何修复?
  • Q283 如何清理OSSIM数据库?
  • Q284 存储在数据库中的资产IP地址被加密了吗,如何查看该IP地址呢?
  • Q285 OSSIM系统中的Active Event Window(days)表示什么含义,该值设定为多大比较合适?
  • Q286 如何显示acid_event表中的前5条记录?
  • Q287 为OSSIM添加扩展数据库时出现连接数据库错误,该如何处理?
  • Q288 如何通过MONyog工具监控MySQL服务器?
  • Q289 日志中的IP地址在数据库中采用何种形式存储?
  • Q290 如何通过MySQL Workbench连接OSSIM数据库?
  • 附录1 主要配置文件注释
  • 附录2 OSSIM 5 Web界面菜单功能注释
  • 附录3 终端控制台程序注释
  • 附录4 关键词汇英汉对照
展开全部

评分及书评

尚无评分
目前还没人评分

出版方

人民邮电出版社

人民邮电出版社是工业和信息化部主管的大型专业出版社,成立于1953年10月1日。人民邮电出版社坚持“立足信息产业、面向现代社会、传播科学知识、服务科教兴国”,致力于通信、计算机、电子技术、教材、少儿、经管、摄影、集邮、旅游、心理学等领域的专业图书出版。