掃一掃
關(guān)注中圖網(wǎng)
官方微博
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應(yīng)用
-
>
決戰(zhàn)行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調(diào)優(yōu)實踐之路
-
>
第一行代碼Android
-
>
JAVA持續(xù)交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學(xué)習(xí)
開源安全運維平臺OSSIM疑難解析 入門篇 版權(quán)信息
- ISBN:9787115505507
- 條形碼:9787115505507 ; 978-7-115-50550-7
- 裝幀:一般膠版紙
- 冊數(shù):暫無
- 重量:暫無
- 所屬分類:>>
開源安全運維平臺OSSIM疑難解析 入門篇 本書特色
OSSIM(Open Source Security Information Management,開源安全信息管理)系統(tǒng)是一個非常流行和完整的開源安全架構(gòu)體系,通過將開源產(chǎn)品進行集成,從而提供一種能實現(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺。 《開源安全運維平臺OSSIM疑難解析:入門篇》精選了作者在OSSIM日常運維操作中遇到的許多疑難問題,并給出了相應(yīng)的解決方案。本書共分為10章,內(nèi)容包括SIEM與網(wǎng)絡(luò)安全態(tài)勢感知、OSSIM部署基礎(chǔ)、安裝OSSIM服務(wù)器、OSSIM系統(tǒng)維護與管理、OSSIM組成結(jié)構(gòu)、傳感器、插件處理、SIEM控制臺操作、可視化報警以及OSSIM數(shù)據(jù)庫等。 《開源安全運維平臺OSSIM疑難解析:入門篇》適合具有一定SIEM系統(tǒng)實施經(jīng)驗的技術(shù)經(jīng)理或中運維工程師閱讀,還可以作為開源技術(shù)研究人員、網(wǎng)絡(luò)安全管理人員的參考資料。
開源安全運維平臺OSSIM疑難解析 入門篇 內(nèi)容簡介
OSSIM(Open Source Security Information Management,開源安全信息管理)系統(tǒng)是一個很好流行和完整的開源安全架構(gòu)體系,通過將開源產(chǎn)品進行集成,從而提供一種能實現(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺。 《開源安全運維平臺OSSIM疑難解析:入門篇》精選了作者在OSSIM日常運維操作中遇到的許多疑難問題,并給出了相應(yīng)的解決方案。本書共分為10章,內(nèi)容包括SIEM與網(wǎng)絡(luò)安全態(tài)勢感知、OSSIM部署基礎(chǔ)、安裝OSSIM服務(wù)器、OSSIM系統(tǒng)維護與管理、OSSIM組成結(jié)構(gòu)、傳感器、插件處理、SIEM控制臺操作、可視化報警以及OSSIM數(shù)據(jù)庫等。 《開源安全運維平臺OSSIM疑難解析:入門篇》適合具有一定SIEM系統(tǒng)實施經(jīng)驗的技術(shù)經(jīng)理或中運維工程師閱讀,還可以作為開源技術(shù)研究人員、網(wǎng)絡(luò)安全管理人員的參考資料。
開源安全運維平臺OSSIM疑難解析 入門篇 目錄
第 1章 SIEM與網(wǎng)絡(luò)安全態(tài)勢感知 1
Q001 什么是SIEM? 1
Q002 SIEM處理流程是什么? 1
Q003 SIEM基本特征分為幾個部分,技術(shù)門檻是什么,有哪些商業(yè)產(chǎn)品? 2
Q004 SIEM中的安全運維模塊包含哪些主要內(nèi)容? 3
Q005 為什么要選擇OSSIM作為運維監(jiān)控平臺? 4
Q006 在OSSIM架構(gòu)中為何要引入威脅情報系統(tǒng)? 8
Q007 在OSSIM中OTX代表什么含義? 9
Q008 為什么要對IP進行信譽評級? 9
Q009 如何激活OTX功能? 9
Q010 如何手動更新IP信譽數(shù)據(jù)并查看這些數(shù)據(jù)? 11
Q011 如何讀懂IP信譽數(shù)據(jù)庫的記錄格式? 11
Q012 為什么在瀏覽器中無法顯示由谷歌地圖繪制的AlienVaultIP信譽數(shù)據(jù)? 12
Q013 OSSIM使用的Google Maps API在什么位置? 12
Q014 在OSSIM系統(tǒng)中成功添加OTX key之后,為何儀表盤上沒有顯示? 12
Q015 將已申請的OTX key導(dǎo)入OSSIM系統(tǒng)時,為何提示連接失敗? 13
Q016 外部威脅情報和內(nèi)部威脅情報分別來自何處? 14
Q017 如何利用OSSIM系統(tǒng)內(nèi)置的威脅情報識別網(wǎng)絡(luò)APT攻擊事件? 15
Q018 OpenSOC的組成結(jié)構(gòu)和主要功能是什么,它和OSSIM之間的區(qū)別是什么? 15
Q019 Apache Metron是新生代的OpenSOC嗎?部署難度大嗎? 17
第 2章 OSSIM部署基礎(chǔ) 20
Q020 OSSIM主要版本的演化過程是怎樣的? 20
Q021 如何關(guān)閉和重啟OSSIM? 23
Q022 OSSIM屬于大數(shù)據(jù)平臺嗎? 24
Q023 OSSIM能作為堡壘機使用嗎? 24
Q024 堡壘機的Syslog日志能否轉(zhuǎn)發(fā)至OSSIM統(tǒng)一存儲? 25
Q025 OSSIM平臺屬于CPU密集型、I/O密集型還是內(nèi)存密集型系統(tǒng)? 25
Q026 OSSIM平臺開發(fā)了哪些專屬程序? 26
Q027 Kali Linux和OSSIM有什么區(qū)別? 27
Q028 安裝OSSIM服務(wù)器組件時是否包含了傳感器組件? 28
Q029 OSSIM能否安裝在XEN或KVM虛擬化系統(tǒng)上? 29
Q030 OSSIM如何處理海量數(shù)據(jù)? 29
Q031 OSSIM是基于Debian Linux開發(fā)的,能否將其安裝在其他Linux發(fā)行版上,例如RHAS、CentOS、SUSE Linux? 29
Q032 分布式OSSIM系統(tǒng)傳感器如何部署? 29
Q033 OSSIM可輸出的報表有哪些類型? 30
Q034 在OSSIM 3中通過什么技術(shù)可實現(xiàn)報表預(yù)覽功能? 31
Q035 OSSIM企業(yè)版中可輸出哪些類型的報表? 31
Q036 OSSIM能否用于APT和ShellCode高級攻擊檢測? 32
Q037 如何部署分布式OSSIM平臺? 34
Q038 OSSIM系統(tǒng)中哪些服務(wù)是單線程,哪些服務(wù)是多線程? 34
Q039 如何查看ossim-agent進程正在調(diào)用的文件? 35
Q040 在分布式環(huán)境中如何添加傳感器? 36
Q041 為何新添加的傳感器在Web UI上無法顯示NetFlow流? 38
Q042 如何查看某個進程打開了哪些文件? 41
Q043 如何監(jiān)聽系統(tǒng)中某個用戶的網(wǎng)絡(luò)活動? 41
Q044 OSSIM經(jīng)過防火墻時,需要打開哪些端口? 42
第3章 安裝OSSIM服務(wù)器 45
Q045 如何通過U盤安裝OSSIM系統(tǒng)? 45
Q046 如何克隆OSSIM虛擬機以及為虛擬機設(shè)置克隆? 45
Q047 在安裝OSSIM時,命令行下面的提示信息保存在什么位置? 47
Q048 執(zhí)行alienvault-update命令升級后,為什么原來的配置會被覆蓋? 48
Q049 執(zhí)行alienvault-update命令升級之后,緩存文件如何清除? 48
Q050 如何選擇OSSIM服務(wù)器? 48
Q051 安裝OSSIM時能識別硬盤,但無法識別網(wǎng)卡,該如何處理? 49
Q052 選擇OSSIM服務(wù)器硬件時,需要注意些什么問題? 49
Q053 安裝OSSIM時需要插網(wǎng)線嗎? 50
Q054 初裝OSSIM時僅配置了單塊網(wǎng)卡,后期需要再新增一塊網(wǎng)卡,該如何操呢? 50
Q055 安裝OSSIM時需要選擇多核CPU還是單核CPU?CPU內(nèi)核的數(shù)量越多越好嗎? 51
Q056 如何為OSSIM服務(wù)器/傳感器選擇網(wǎng)卡? 51
Q057 OSSIM為何只能識別出2TB以內(nèi)的硬盤? 52
Q058 如何在OSSIM下安裝GCC編譯工具? 52
Q059 如何手動加載網(wǎng)卡驅(qū)動? 52
Q060 在虛擬機下安裝OSSIM結(jié)束后重啟系統(tǒng),結(jié)果系統(tǒng)一直停在啟動界面,這該如何處理? 53
Q061 OSSIM安裝完成后,如何設(shè)置Web UI來初始化設(shè)置向?qū)В?53
Q062 如何通過CSV格式的文件導(dǎo)入多個網(wǎng)段信息? 58
Q063 如何通過文件導(dǎo)入網(wǎng)絡(luò)資產(chǎn)? 59
Q064 在OSSIM配置向?qū)е校瑘蟾鏌o法找到網(wǎng)段內(nèi)的服務(wù)器,該如何處理? 60
Q065 如何再次調(diào)出Web UI初始化配置向?qū)В?60
Q066 如果跳過了Web配置向?qū)В绾瓮ㄟ^Web界面安裝OSSEC Agent? 61
Q067 在Hyper-V 3.0中安裝OSSIM 5.4時,在Suricata配置過程中“卡住了”該如何
處理? 62
Q068 如何查看OSSIM的GRUB程序版本? 63
Q069 OSSIM系統(tǒng)中的IPMI服務(wù)有什么作用?為什么在虛擬機啟動OSSIM時會
遇到IPMI服務(wù)啟動失敗的問題? 63
Q070 如采用要混合式安裝方式來安裝OSSIM,在安裝界面中應(yīng)選擇哪一項? 64
Q071 如何進入OSSIM高級安裝模式? 64
Q072 在虛擬機下安裝OSSIM時無法找到磁盤,應(yīng)如何處理? 65
Q073 在VMware虛擬機環(huán)境中,如何為OSSIM安裝VMware Tools增強工具? 65
Q074 初學(xué)者如何正確選擇虛擬機版本? 67
Q075 如何嗅探虛擬機流量? 68
Q076 在VMware ESXi虛擬機環(huán)境中安裝OSSIM時應(yīng)注意哪些內(nèi)容? 69
Q077 遺忘Web UI登錄密碼后如何將其恢復(fù)? 70
Q078 如何在Hyper-V虛擬機下安裝OSSIM? 71
Q079 在Hyper-V虛擬機中如何嗅探網(wǎng)絡(luò)流量? 77
Q080 采用筆記本電腦安裝OSSIM時,如何防止其休眠? 77
Q081 如何將負載分攤在多個傳感器上? 78
Q082 為什么不建議通過USB設(shè)備安裝OSSIM系統(tǒng)? 79
Q083 為什么在安裝OSSIM 5的過程中不提示用戶分區(qū)? 79
Q084 虛擬機環(huán)境下常見的OSSIM安裝錯誤有哪些? 80
第4章 OSSIM系統(tǒng)維護與管理 87
Q085 如何離線升級OSSIM? 87
Q086 如何通過代理服務(wù)器升級系統(tǒng)? 87
Q087 OSSIM升級過程中出現(xiàn)的Ign、Hit、Get分別代表什么含義? 88
Q088 在OSSIM中,update和upgrade參數(shù)有何區(qū)別? 88
Q089 如何確保分布式OSSIM系統(tǒng)的安全? 89
Q090 若在OSSIM服務(wù)器上啟用SELinux服務(wù),后果會如何? 90
Q091 OSSIM儀表盤典型視圖分為幾類,各有何特點? 90
Q092 通過OSSIM 4.3能直接升級到OSSIM 5.4嗎? 92
Q093 如何定制OSSIM系統(tǒng)的啟動畫面? 92
Q094 OSSIM系統(tǒng)中的server.log日志文件有什么作用?如果此文件增漲到10GB以上,該如何處理? 92
Q095 apt-get的常見用途有哪些? 93
Q096 OSSIM中的IDM表示什么含義?如何啟動IDM服務(wù)? 94
Q097 開源OSSIM系統(tǒng)所使用的文件系統(tǒng)是什么,有什么局限性? 94
Q098 當(dāng)OSSIM的數(shù)據(jù)庫受損時,如何恢復(fù)OSSIM? 95
Q099 為什么在OSSIM 3.1系統(tǒng)上輸入ossim-update命令進行升級后OCS模塊會
消失? 96
Q100 OSSIM消息中心為什么總顯示互聯(lián)網(wǎng)連接中斷? 97
Q101 OSSIM系統(tǒng)的軟件包中包含amd64字樣,這表示什么含義? 97
Q102 如何將Tickets加入知識庫? 98
Q103 如何管理OSSIM系統(tǒng)服務(wù)? 100
Q104 OSSIM系統(tǒng)當(dāng)使用alienvault-update升級后.deb文件位于何處?升級過程中報錯
怎么辦? 101
Q105 如何校驗已安裝的Debian軟件包? 101
Q106 OSSIM下有什么好用的包管理器嗎? 102
Q107 在OSSIM系統(tǒng)中如何分配tmpfs文件系統(tǒng)的大小? 103
Q108 OSSIM系統(tǒng)如何同步時間? 103
Q109 如何通過刪除日志的方式來釋放OSSIM平臺上的磁盤空間? 103
Q110 如何檢測OSSIM系統(tǒng)整體的健康狀態(tài)? 105
Q111 如何記錄Web UI中SQL查詢?nèi)罩拘畔⒌那闆r?這些內(nèi)容在何處? 105
Q112 如何禁止系統(tǒng)向root用戶發(fā)送電子郵件? 105
Q113 可使用什么命令來查詢UUID號? 106
Q114 智能移動終端如何訪問OSSIM? 106
Q115 如何修改OSSIM登錄的超時時間? 107
Q116 如何調(diào)整OSSIM系統(tǒng)管理員的密碼登錄策略? 108
Q117 如何允許/禁止root通過SSH登錄OSSIM系統(tǒng)? 108
Q118 如何安裝Gnome和Fvwm桌面環(huán)境? 108
Q119 如何進入OSSIM系統(tǒng)的單用戶模式? 108
Q120 忘記root密碼怎么辦? 110
Q121 在分布式OSSIM系統(tǒng)環(huán)境中如何啟動和關(guān)閉系統(tǒng)? 111
Q122 如何設(shè)置郵件報警 112
Q123 如何校驗OSSIM中安裝的軟件包? 113
Q124 在使用apt-get install安裝軟件的過程中強行中斷安裝,結(jié)果下次再執(zhí)行安裝
腳本時報告數(shù)據(jù)庫錯誤,這該如何解決? 113
Q125 使用apt-get install安裝程序時遇到了“Could not get lock/var/lib/dpkg/lock”提示,這是由于什么原因造成的? 114
Q126 OSSIM系統(tǒng)中/var/run/目錄下的pid文件有什么作用? 114
Q127 如何更改OSSIM默認的網(wǎng)絡(luò)接口? 115
Q128 在OSSIM系統(tǒng)中如何尋找和終止僵尸進程(zombie)? 115
Q129 OSSIM在哪些地方會消耗大量內(nèi)存? 116
Q130 如何查看admin用戶活動的詳細信息? 116
Q131 如何查看當(dāng)前登錄到OSSIM系統(tǒng)中的用戶的Session ID? 117
Q132 如何將本地光盤設(shè)置為軟件源? 118
Q133 當(dāng)使用crontab ?Ce編輯時,無法退出編輯環(huán)境,這如何處理? 118
Q134 如何開啟OSSIM的Cron日志? 119
Q135 UUID在OSSIM系統(tǒng)中有什么用途? 119
Q136 OSSIM中如何安裝X-window環(huán)境 120
Q137 OSSIM如何防止關(guān)鍵進程停止? 121
Q138 OSSIM會將信息發(fā)送到外網(wǎng)嗎? 121
Q139 OSSIM平臺如何修復(fù)包的依賴關(guān)系? 123
Q140 異常關(guān)機會對OSSIM平臺產(chǎn)生哪些影響? 123
Q141 刪除OSSIM系統(tǒng)里的文件時,磁盤空間不釋放應(yīng)如何處理? 124
Q142 如何手動修改服務(wù)器IP地址? 124
Q143 如何消除終端控制臺上的登錄菜單? 124
Q144 在低版本的OSSIM中,如何讓控制臺支持高分辨率? 125
Q145 如何查看防火墻規(guī)則? 125
Q146 如何解決時間不同步的問題? 126
Q147 OSSIM在*后的安裝階段為什么會停滯不前? 126
Q148 如何配置OSSIM服務(wù)器與傳感器之間的VPN連接? 127
Q149 如何重裝傳感器? 129
Q150 如何安裝并配置多個傳感器? 129
Q151 如何為OSSIM安裝Webmin管理工具? 135
Q152 如何為OSSIM安裝phpMyAdmin工具? 137
Q153 傳感器中用于抓包的網(wǎng)卡需要分配IP嗎? 139
Q154 如何將HTTP重定向為HTTPS訪問? 139
Q155 在OSSIM的Web UI登錄界面中,在登錄驗證前用戶名和密碼是如何
加密的? 139
Q156 在OSSIM登錄界面中如何實現(xiàn)用戶Session登錄驗證的安全性? 140
Q157 如何定制Apache 404頁面? 140
Q158 OSSIM系統(tǒng)每次啟動時為什么顯示“apache2 [warn] NameVirtualHost *:80 has no
VirtualHosts”? 140
Q159 Apache中出現(xiàn)“Could not reliably determine the server’s fully qualified domain name”提示時,應(yīng)如何處理? 141
Q160 遷移OSSIM系統(tǒng)時需要備份哪些數(shù)據(jù)? 141
Q161 在OSSIM中,PCI DSS和ISO 27001代表什么含義? 142
Q162 如何輸出30天內(nèi)的資產(chǎn)可用性報告? 143
Q163 如何使用grep命令去掉配置文件的注釋行和空格行? 143
Q164 如何生成一個指定大小的文件? 144
Q165 如何在服務(wù)器/傳感器中發(fā)現(xiàn)隱藏的進程或端口? 144
Q166 如何解決因系統(tǒng)索引節(jié)點(inode)耗盡而引發(fā)的系統(tǒng)故障? 145
Q167 OSSIM系統(tǒng)是如何實現(xiàn)高可用性的? 147
Q168 OSSIM服務(wù)器如何橫向擴展? 151
第5章 OSSIM組成結(jié)構(gòu) 157
Q169 OSSIM開源框架的分層處理架構(gòu)是什么? 157
Q170 OSSIM系統(tǒng)框架中各模塊的工作流程是怎樣的? 158
Q171 OSSIM采用模塊化架構(gòu)的優(yōu)勢是什么? 160
Q172 根據(jù)OSSIM部署圖來分析OSSIM多層體系結(jié)構(gòu)是怎樣的? 161
Q173 如果分布式OSSIM系統(tǒng)的傳感器出現(xiàn)問題,會影響哪些模塊的工作? 162
Q174 OSSIM的工作流程包括哪些內(nèi)容? 162
Q175 配置文件/etc/ossim/ossim_setup.conf中記錄了哪些內(nèi)容? 163
Q176 傳感器上的采集插件與監(jiān)控插件有什么區(qū)別? 163
Q177 OSSIM免費版和商業(yè)版有哪些主要區(qū)別? 166
Q178 OSSIM中的SPADE有什么作用? 167
Q179 OSSIM代理的作用是什么? 168
Q180 代理與插件有什么區(qū)別? 169
Q181 Framework有什么作用,如何查看其工作狀態(tài)? 169
Q182 修改OSSIM服務(wù)器配置文件config.xml后如何重新啟動引擎? 170
Q183 Agent程序采集的日志中的各個字段表示什么含義? 170
Q184 在混合式OSSIM服務(wù)器模式與傳感器安裝模式中,它們安裝的包有哪些
區(qū)別? 171
Q185 OSSIM服務(wù)器和傳感器的通信端口有哪些,其作用是什么? 173
Q186 如何增刪系統(tǒng)的數(shù)據(jù)源插件? 175
Q187 如何列出OSSIM分布式系統(tǒng)的活動代理信息? 175
Q188 如何將SIEM中顯示的攻擊日志添加到數(shù)據(jù)源組中? 175
Q189 如何使用Tickets? 176
Q190 Alarms與Tickets有什么區(qū)別? 177
Q191 在OSSIM報警中對網(wǎng)絡(luò)攻擊模式如何分類? 178
Q192 Ansible使用什么協(xié)議通信? 180
Q193 SSH和Ansible服務(wù)在OSSIM中起到什么作用? 180
Q194 如何建立基于OpenSSL的安全認證中心? 182
Q195 如何在OSSIM中設(shè)置VPN連接? 183
Q196 OSSIM中定義的未授權(quán)行為包括哪些? 185
第6章 傳感器 187
Q197 OSSIM傳感器的作用是什么,如何查看傳感器的狀態(tài)? 187
Q198 當(dāng)傳感器發(fā)生故障時能否查詢傳感器上加載插件的狀態(tài)? 187
Q199 傳感器能以串聯(lián)方式部署在網(wǎng)絡(luò)中嗎? 189
Q200 如何通過傳感器掃描資產(chǎn)? 189
Q201 如何查看分布式系統(tǒng)的傳感器狀態(tài)? 189
Q202 如何讓Ansible獲取遠程主機運行時間、在線用戶及平均負載信息? 191
Q203 如何通過Ansible將腳本分發(fā)到遠程主機并執(zhí)行? 192
Q204 為何會出現(xiàn)傳感器刪除失敗的情況? 193
Q205 OSSIM消息中心將數(shù)據(jù)源分為幾類,它們的含義是什么? 193
第7章 插件處理 198
Q206 OSSIM中的數(shù)據(jù)源插件如何將日志轉(zhuǎn)換為安全事件,以實現(xiàn)統(tǒng)一存儲? 198
Q207 OSSIM代理如何將采集的日志發(fā)送到OSSIM服務(wù)器? 200
Q208 OSSIM采用什么技術(shù)來解決網(wǎng)絡(luò)設(shè)備的日志格式不統(tǒng)一的問題? 201
Q209 OSSIM中安全事件的標準格式是什么? 201
Q210 OSSIM Agent的插件采集日志流程是什么? 203
Q211 在Apache插件中如何定義Apache訪問日志的正則表達式?如何通過腳本檢測
插件? 206
Q212 經(jīng)過OSSIM數(shù)據(jù)源插件歸一化之后的日志存儲在什么位置? 206
Q213 編寫日志插件分幾個步驟? 208
Q214 在OSSIM系統(tǒng)中如何導(dǎo)入檢測插件? 209
Q215 OSSIM采集插件分為幾大類,它們通過什么協(xié)議采集數(shù)據(jù)? 209
Q216 插件進程ossim-agent被手動停止后之后為何會自己重啟? 211
Q217 在OSSIM傳感器中能同時啟用Snort和Suricata插件嗎? 211
Q218 如何導(dǎo)入自定義插件? 212
第8章 SIEM控制臺操作 217
Q219 如何把SIEM控制臺中發(fā)現(xiàn)的重要日志加入到知識庫? 217
Q220 如何為知識庫的條目新增附件? 219
Q221 在SIEM控制臺事件中查看視圖時有幾種觀察模式,它們有什么區(qū)別? 220
Q222 如何在SIEM警報中顯示計算機名? 221
Q223 在SIEM控制臺事件的表單中,N/A表示什么意思? 222
Q224 如何設(shè)定SIEM事件的保存期限? 222
Q225 如何恢復(fù)SIEM事件數(shù)據(jù)庫? 223
Q226 SIEM控制臺上包含哪些重要元素? 223
Q227 如何在SIEM事件控制臺中過濾事件? 227
Q228 如何將高風(fēng)險的事件進行快速分類? 233
Q229 如何刪除與恢復(fù)安全事件? 234
Q230 SIEM控制臺中顯示的事件存儲在什么地方? 234
Q231 如何在Web頁面清理SIEM數(shù)據(jù)庫中的事件? 235
Q232 為什么不能跨VLAN顯示服務(wù)器的FQDN名稱? 236
Q233 SIEM日志顯示中出現(xiàn)的0.0.0.0地址表示什么含義? 236
Q234 無法顯示SIEM安全事件時應(yīng)如何處理? 237
Q235 SIEM數(shù)據(jù)源與插件之間有何聯(lián)系? 237
Q236 什么是AVAPI事件?如何過濾AVAPI事件? 238
Q237 在OSSIM Web UI中出現(xiàn)的EPS參數(shù)表示什么含義? 241
第9章 可視化報警 243
Q238 如何產(chǎn)生報警事件? 243
Q239 OSSIM中將報警事件分為幾類,分別表示什么含義? 244
Q240 如何通過Alarm快速識別網(wǎng)絡(luò)攻擊? 248
Q241 報警分組有什么作用? 251
Q242 如何通過X-Scan工具來觸發(fā)OSSIM報警? 252
Q243 如何采用Armitage對目標主機進行滲透測試? 253
Q244 如何通過Metasploit挖掘Windows XP的MS08-067漏洞? 258
Q245 如何通過OSSIM實現(xiàn)SSH登錄失敗報警? 262
Q246 如何區(qū)別IDS的誤報與漏報? 265
Q247 如何設(shè)置SSH登錄報警策略? 266
Q248 OSSIM如何感知SSH暴力破解攻擊? 268
第 10章 OSSIM數(shù)據(jù)庫 273
Q249 OSSIM數(shù)據(jù)庫有哪幾種,各有什么作用? 273
Q250 采用SecureCRT訪問數(shù)據(jù)庫時出現(xiàn)亂碼,這是什么原因引起的,如何
避免? 275
Q251 MySQL數(shù)據(jù)庫權(quán)限的存儲機制是什么? 276
Q252 如何讓OSSIM中的MySQL數(shù)據(jù)庫支持遠程訪問? 278
Q253 如何通過phpMyAdmin數(shù)據(jù)庫解決“Access denied for user 'root'@'localhost'(using password:YES)”報錯問題? 280
Q254 采用phpMyAdmin訪問數(shù)據(jù)庫時為什么會出現(xiàn)亂碼? 282
Q255 如何在OSSIM服務(wù)器上訪問數(shù)據(jù)庫?常見的數(shù)據(jù)庫操作命令包含哪些? 282
Q256 如何分屏顯示alienvault.alarm表中的內(nèi)容? 283
Q257 如何查看OSSIM數(shù)據(jù)庫的大小? 283
Q258 OSSIM中的SQLite數(shù)據(jù)庫有什么作用,它存儲在什么位置? 284
Q259 RRDTool與數(shù)據(jù)庫MySQL之間有什么區(qū)別? 284
Q260 如何將SQL文件插入到OSSIM數(shù)據(jù)庫中? 284
Q261 如何把一個.sql.gz文件導(dǎo)入到數(shù)據(jù)庫中? 285
Q262 如何優(yōu)化數(shù)據(jù)庫中的表? 285
Q263 如何重置OSSIM數(shù)據(jù)庫? 286
Q264 如何恢復(fù)OSSIM數(shù)據(jù)庫的出廠設(shè)置? 287
Q265 影響OSSIM數(shù)據(jù)庫的性能因素有哪些? 288
Q266 如何利用MySQLReport監(jiān)控數(shù)據(jù)庫性能? 288
Q267 如何設(shè)定OSSIM數(shù)據(jù)庫的自動備份時間?在什么位置查看備份數(shù)據(jù)? 289
Q268 /etc/ossim/server/config.xml配置文件記錄了哪些關(guān)鍵信息? 290
Q269 OSSIM系統(tǒng)中出現(xiàn)“MySQL:ERROR 1040:Too many connections”報錯提示時
如何處理? 291
Q270 如何用mytop監(jiān)控MySQL數(shù)據(jù)庫? 292
Q271 如何遠程導(dǎo)出OSSIM數(shù)據(jù)庫的表結(jié)構(gòu)? 293
Q272 在使用ossim-db命令時出現(xiàn)“Access denied for user 'root'@'localhost'(using password:NO)”提示,該如何解決? 293
Q273 如何模擬負載? 294
Q274 當(dāng)MySQL進程的CPU使用率過高時,如何優(yōu)化? 294
Q275 如何啟動OSSIM數(shù)據(jù)庫的慢查詢?nèi)罩荆?295
Q276 如何使用mysqldump完整備份OSSIM數(shù)據(jù)庫? 296
Q277 如何用XtraBackup備份OSSIM數(shù)據(jù)庫? 296
Q278 如何用mysqlslap測試OSSIM數(shù)據(jù)庫? 297
Q279 當(dāng)OSSIM系統(tǒng)數(shù)據(jù)庫發(fā)生損壞時,如何重建數(shù)據(jù)庫? 299
Q280 如何查看OSSIM系統(tǒng)的SIEM數(shù)據(jù)庫備份策略? 299
Q281 OSSIM系統(tǒng)出現(xiàn)acid表錯誤時如何處理? 299
Q282 升級過程中數(shù)據(jù)庫表意外損壞,該如何修復(fù)? 300
Q283 如何清理OSSIM數(shù)據(jù)庫? 301
Q284 存儲在數(shù)據(jù)庫中的資產(chǎn)IP地址被加密了嗎,如何查看該IP地址呢? 302
Q285 OSSIM系統(tǒng)中的Active Event Window(days)表示什么含義,該值設(shè)定為多大
比較合適? 302
Q286 如何顯示acid_event表中的前5條記錄? 303
Q287 為OSSIM添加擴展數(shù)據(jù)庫時出現(xiàn)連接數(shù)據(jù)庫錯誤,該如何處理? 303
Q288 如何通過MONyog工具監(jiān)控MySQL服務(wù)器? 304
Q289 日志中的IP地址在數(shù)據(jù)庫中采用何種形式存儲? 306
Q290 如何通過MySQL Workbench連接OSSIM數(shù)據(jù)庫? 307
附錄1 主要配置文件注釋 315
附錄2 OSSIM 5 Web界面菜單功能注釋 316
附錄3 終端控制臺程序注釋 319
附錄4 關(guān)鍵詞匯英漢對照 321
Q001 什么是SIEM? 1
Q002 SIEM處理流程是什么? 1
Q003 SIEM基本特征分為幾個部分,技術(shù)門檻是什么,有哪些商業(yè)產(chǎn)品? 2
Q004 SIEM中的安全運維模塊包含哪些主要內(nèi)容? 3
Q005 為什么要選擇OSSIM作為運維監(jiān)控平臺? 4
Q006 在OSSIM架構(gòu)中為何要引入威脅情報系統(tǒng)? 8
Q007 在OSSIM中OTX代表什么含義? 9
Q008 為什么要對IP進行信譽評級? 9
Q009 如何激活OTX功能? 9
Q010 如何手動更新IP信譽數(shù)據(jù)并查看這些數(shù)據(jù)? 11
Q011 如何讀懂IP信譽數(shù)據(jù)庫的記錄格式? 11
Q012 為什么在瀏覽器中無法顯示由谷歌地圖繪制的AlienVaultIP信譽數(shù)據(jù)? 12
Q013 OSSIM使用的Google Maps API在什么位置? 12
Q014 在OSSIM系統(tǒng)中成功添加OTX key之后,為何儀表盤上沒有顯示? 12
Q015 將已申請的OTX key導(dǎo)入OSSIM系統(tǒng)時,為何提示連接失敗? 13
Q016 外部威脅情報和內(nèi)部威脅情報分別來自何處? 14
Q017 如何利用OSSIM系統(tǒng)內(nèi)置的威脅情報識別網(wǎng)絡(luò)APT攻擊事件? 15
Q018 OpenSOC的組成結(jié)構(gòu)和主要功能是什么,它和OSSIM之間的區(qū)別是什么? 15
Q019 Apache Metron是新生代的OpenSOC嗎?部署難度大嗎? 17
第 2章 OSSIM部署基礎(chǔ) 20
Q020 OSSIM主要版本的演化過程是怎樣的? 20
Q021 如何關(guān)閉和重啟OSSIM? 23
Q022 OSSIM屬于大數(shù)據(jù)平臺嗎? 24
Q023 OSSIM能作為堡壘機使用嗎? 24
Q024 堡壘機的Syslog日志能否轉(zhuǎn)發(fā)至OSSIM統(tǒng)一存儲? 25
Q025 OSSIM平臺屬于CPU密集型、I/O密集型還是內(nèi)存密集型系統(tǒng)? 25
Q026 OSSIM平臺開發(fā)了哪些專屬程序? 26
Q027 Kali Linux和OSSIM有什么區(qū)別? 27
Q028 安裝OSSIM服務(wù)器組件時是否包含了傳感器組件? 28
Q029 OSSIM能否安裝在XEN或KVM虛擬化系統(tǒng)上? 29
Q030 OSSIM如何處理海量數(shù)據(jù)? 29
Q031 OSSIM是基于Debian Linux開發(fā)的,能否將其安裝在其他Linux發(fā)行版上,例如RHAS、CentOS、SUSE Linux? 29
Q032 分布式OSSIM系統(tǒng)傳感器如何部署? 29
Q033 OSSIM可輸出的報表有哪些類型? 30
Q034 在OSSIM 3中通過什么技術(shù)可實現(xiàn)報表預(yù)覽功能? 31
Q035 OSSIM企業(yè)版中可輸出哪些類型的報表? 31
Q036 OSSIM能否用于APT和ShellCode高級攻擊檢測? 32
Q037 如何部署分布式OSSIM平臺? 34
Q038 OSSIM系統(tǒng)中哪些服務(wù)是單線程,哪些服務(wù)是多線程? 34
Q039 如何查看ossim-agent進程正在調(diào)用的文件? 35
Q040 在分布式環(huán)境中如何添加傳感器? 36
Q041 為何新添加的傳感器在Web UI上無法顯示NetFlow流? 38
Q042 如何查看某個進程打開了哪些文件? 41
Q043 如何監(jiān)聽系統(tǒng)中某個用戶的網(wǎng)絡(luò)活動? 41
Q044 OSSIM經(jīng)過防火墻時,需要打開哪些端口? 42
第3章 安裝OSSIM服務(wù)器 45
Q045 如何通過U盤安裝OSSIM系統(tǒng)? 45
Q046 如何克隆OSSIM虛擬機以及為虛擬機設(shè)置克隆? 45
Q047 在安裝OSSIM時,命令行下面的提示信息保存在什么位置? 47
Q048 執(zhí)行alienvault-update命令升級后,為什么原來的配置會被覆蓋? 48
Q049 執(zhí)行alienvault-update命令升級之后,緩存文件如何清除? 48
Q050 如何選擇OSSIM服務(wù)器? 48
Q051 安裝OSSIM時能識別硬盤,但無法識別網(wǎng)卡,該如何處理? 49
Q052 選擇OSSIM服務(wù)器硬件時,需要注意些什么問題? 49
Q053 安裝OSSIM時需要插網(wǎng)線嗎? 50
Q054 初裝OSSIM時僅配置了單塊網(wǎng)卡,后期需要再新增一塊網(wǎng)卡,該如何操呢? 50
Q055 安裝OSSIM時需要選擇多核CPU還是單核CPU?CPU內(nèi)核的數(shù)量越多越好嗎? 51
Q056 如何為OSSIM服務(wù)器/傳感器選擇網(wǎng)卡? 51
Q057 OSSIM為何只能識別出2TB以內(nèi)的硬盤? 52
Q058 如何在OSSIM下安裝GCC編譯工具? 52
Q059 如何手動加載網(wǎng)卡驅(qū)動? 52
Q060 在虛擬機下安裝OSSIM結(jié)束后重啟系統(tǒng),結(jié)果系統(tǒng)一直停在啟動界面,這該如何處理? 53
Q061 OSSIM安裝完成后,如何設(shè)置Web UI來初始化設(shè)置向?qū)В?53
Q062 如何通過CSV格式的文件導(dǎo)入多個網(wǎng)段信息? 58
Q063 如何通過文件導(dǎo)入網(wǎng)絡(luò)資產(chǎn)? 59
Q064 在OSSIM配置向?qū)е校瑘蟾鏌o法找到網(wǎng)段內(nèi)的服務(wù)器,該如何處理? 60
Q065 如何再次調(diào)出Web UI初始化配置向?qū)В?60
Q066 如果跳過了Web配置向?qū)В绾瓮ㄟ^Web界面安裝OSSEC Agent? 61
Q067 在Hyper-V 3.0中安裝OSSIM 5.4時,在Suricata配置過程中“卡住了”該如何
處理? 62
Q068 如何查看OSSIM的GRUB程序版本? 63
Q069 OSSIM系統(tǒng)中的IPMI服務(wù)有什么作用?為什么在虛擬機啟動OSSIM時會
遇到IPMI服務(wù)啟動失敗的問題? 63
Q070 如采用要混合式安裝方式來安裝OSSIM,在安裝界面中應(yīng)選擇哪一項? 64
Q071 如何進入OSSIM高級安裝模式? 64
Q072 在虛擬機下安裝OSSIM時無法找到磁盤,應(yīng)如何處理? 65
Q073 在VMware虛擬機環(huán)境中,如何為OSSIM安裝VMware Tools增強工具? 65
Q074 初學(xué)者如何正確選擇虛擬機版本? 67
Q075 如何嗅探虛擬機流量? 68
Q076 在VMware ESXi虛擬機環(huán)境中安裝OSSIM時應(yīng)注意哪些內(nèi)容? 69
Q077 遺忘Web UI登錄密碼后如何將其恢復(fù)? 70
Q078 如何在Hyper-V虛擬機下安裝OSSIM? 71
Q079 在Hyper-V虛擬機中如何嗅探網(wǎng)絡(luò)流量? 77
Q080 采用筆記本電腦安裝OSSIM時,如何防止其休眠? 77
Q081 如何將負載分攤在多個傳感器上? 78
Q082 為什么不建議通過USB設(shè)備安裝OSSIM系統(tǒng)? 79
Q083 為什么在安裝OSSIM 5的過程中不提示用戶分區(qū)? 79
Q084 虛擬機環(huán)境下常見的OSSIM安裝錯誤有哪些? 80
第4章 OSSIM系統(tǒng)維護與管理 87
Q085 如何離線升級OSSIM? 87
Q086 如何通過代理服務(wù)器升級系統(tǒng)? 87
Q087 OSSIM升級過程中出現(xiàn)的Ign、Hit、Get分別代表什么含義? 88
Q088 在OSSIM中,update和upgrade參數(shù)有何區(qū)別? 88
Q089 如何確保分布式OSSIM系統(tǒng)的安全? 89
Q090 若在OSSIM服務(wù)器上啟用SELinux服務(wù),后果會如何? 90
Q091 OSSIM儀表盤典型視圖分為幾類,各有何特點? 90
Q092 通過OSSIM 4.3能直接升級到OSSIM 5.4嗎? 92
Q093 如何定制OSSIM系統(tǒng)的啟動畫面? 92
Q094 OSSIM系統(tǒng)中的server.log日志文件有什么作用?如果此文件增漲到10GB以上,該如何處理? 92
Q095 apt-get的常見用途有哪些? 93
Q096 OSSIM中的IDM表示什么含義?如何啟動IDM服務(wù)? 94
Q097 開源OSSIM系統(tǒng)所使用的文件系統(tǒng)是什么,有什么局限性? 94
Q098 當(dāng)OSSIM的數(shù)據(jù)庫受損時,如何恢復(fù)OSSIM? 95
Q099 為什么在OSSIM 3.1系統(tǒng)上輸入ossim-update命令進行升級后OCS模塊會
消失? 96
Q100 OSSIM消息中心為什么總顯示互聯(lián)網(wǎng)連接中斷? 97
Q101 OSSIM系統(tǒng)的軟件包中包含amd64字樣,這表示什么含義? 97
Q102 如何將Tickets加入知識庫? 98
Q103 如何管理OSSIM系統(tǒng)服務(wù)? 100
Q104 OSSIM系統(tǒng)當(dāng)使用alienvault-update升級后.deb文件位于何處?升級過程中報錯
怎么辦? 101
Q105 如何校驗已安裝的Debian軟件包? 101
Q106 OSSIM下有什么好用的包管理器嗎? 102
Q107 在OSSIM系統(tǒng)中如何分配tmpfs文件系統(tǒng)的大小? 103
Q108 OSSIM系統(tǒng)如何同步時間? 103
Q109 如何通過刪除日志的方式來釋放OSSIM平臺上的磁盤空間? 103
Q110 如何檢測OSSIM系統(tǒng)整體的健康狀態(tài)? 105
Q111 如何記錄Web UI中SQL查詢?nèi)罩拘畔⒌那闆r?這些內(nèi)容在何處? 105
Q112 如何禁止系統(tǒng)向root用戶發(fā)送電子郵件? 105
Q113 可使用什么命令來查詢UUID號? 106
Q114 智能移動終端如何訪問OSSIM? 106
Q115 如何修改OSSIM登錄的超時時間? 107
Q116 如何調(diào)整OSSIM系統(tǒng)管理員的密碼登錄策略? 108
Q117 如何允許/禁止root通過SSH登錄OSSIM系統(tǒng)? 108
Q118 如何安裝Gnome和Fvwm桌面環(huán)境? 108
Q119 如何進入OSSIM系統(tǒng)的單用戶模式? 108
Q120 忘記root密碼怎么辦? 110
Q121 在分布式OSSIM系統(tǒng)環(huán)境中如何啟動和關(guān)閉系統(tǒng)? 111
Q122 如何設(shè)置郵件報警 112
Q123 如何校驗OSSIM中安裝的軟件包? 113
Q124 在使用apt-get install安裝軟件的過程中強行中斷安裝,結(jié)果下次再執(zhí)行安裝
腳本時報告數(shù)據(jù)庫錯誤,這該如何解決? 113
Q125 使用apt-get install安裝程序時遇到了“Could not get lock/var/lib/dpkg/lock”提示,這是由于什么原因造成的? 114
Q126 OSSIM系統(tǒng)中/var/run/目錄下的pid文件有什么作用? 114
Q127 如何更改OSSIM默認的網(wǎng)絡(luò)接口? 115
Q128 在OSSIM系統(tǒng)中如何尋找和終止僵尸進程(zombie)? 115
Q129 OSSIM在哪些地方會消耗大量內(nèi)存? 116
Q130 如何查看admin用戶活動的詳細信息? 116
Q131 如何查看當(dāng)前登錄到OSSIM系統(tǒng)中的用戶的Session ID? 117
Q132 如何將本地光盤設(shè)置為軟件源? 118
Q133 當(dāng)使用crontab ?Ce編輯時,無法退出編輯環(huán)境,這如何處理? 118
Q134 如何開啟OSSIM的Cron日志? 119
Q135 UUID在OSSIM系統(tǒng)中有什么用途? 119
Q136 OSSIM中如何安裝X-window環(huán)境 120
Q137 OSSIM如何防止關(guān)鍵進程停止? 121
Q138 OSSIM會將信息發(fā)送到外網(wǎng)嗎? 121
Q139 OSSIM平臺如何修復(fù)包的依賴關(guān)系? 123
Q140 異常關(guān)機會對OSSIM平臺產(chǎn)生哪些影響? 123
Q141 刪除OSSIM系統(tǒng)里的文件時,磁盤空間不釋放應(yīng)如何處理? 124
Q142 如何手動修改服務(wù)器IP地址? 124
Q143 如何消除終端控制臺上的登錄菜單? 124
Q144 在低版本的OSSIM中,如何讓控制臺支持高分辨率? 125
Q145 如何查看防火墻規(guī)則? 125
Q146 如何解決時間不同步的問題? 126
Q147 OSSIM在*后的安裝階段為什么會停滯不前? 126
Q148 如何配置OSSIM服務(wù)器與傳感器之間的VPN連接? 127
Q149 如何重裝傳感器? 129
Q150 如何安裝并配置多個傳感器? 129
Q151 如何為OSSIM安裝Webmin管理工具? 135
Q152 如何為OSSIM安裝phpMyAdmin工具? 137
Q153 傳感器中用于抓包的網(wǎng)卡需要分配IP嗎? 139
Q154 如何將HTTP重定向為HTTPS訪問? 139
Q155 在OSSIM的Web UI登錄界面中,在登錄驗證前用戶名和密碼是如何
加密的? 139
Q156 在OSSIM登錄界面中如何實現(xiàn)用戶Session登錄驗證的安全性? 140
Q157 如何定制Apache 404頁面? 140
Q158 OSSIM系統(tǒng)每次啟動時為什么顯示“apache2 [warn] NameVirtualHost *:80 has no
VirtualHosts”? 140
Q159 Apache中出現(xiàn)“Could not reliably determine the server’s fully qualified domain name”提示時,應(yīng)如何處理? 141
Q160 遷移OSSIM系統(tǒng)時需要備份哪些數(shù)據(jù)? 141
Q161 在OSSIM中,PCI DSS和ISO 27001代表什么含義? 142
Q162 如何輸出30天內(nèi)的資產(chǎn)可用性報告? 143
Q163 如何使用grep命令去掉配置文件的注釋行和空格行? 143
Q164 如何生成一個指定大小的文件? 144
Q165 如何在服務(wù)器/傳感器中發(fā)現(xiàn)隱藏的進程或端口? 144
Q166 如何解決因系統(tǒng)索引節(jié)點(inode)耗盡而引發(fā)的系統(tǒng)故障? 145
Q167 OSSIM系統(tǒng)是如何實現(xiàn)高可用性的? 147
Q168 OSSIM服務(wù)器如何橫向擴展? 151
第5章 OSSIM組成結(jié)構(gòu) 157
Q169 OSSIM開源框架的分層處理架構(gòu)是什么? 157
Q170 OSSIM系統(tǒng)框架中各模塊的工作流程是怎樣的? 158
Q171 OSSIM采用模塊化架構(gòu)的優(yōu)勢是什么? 160
Q172 根據(jù)OSSIM部署圖來分析OSSIM多層體系結(jié)構(gòu)是怎樣的? 161
Q173 如果分布式OSSIM系統(tǒng)的傳感器出現(xiàn)問題,會影響哪些模塊的工作? 162
Q174 OSSIM的工作流程包括哪些內(nèi)容? 162
Q175 配置文件/etc/ossim/ossim_setup.conf中記錄了哪些內(nèi)容? 163
Q176 傳感器上的采集插件與監(jiān)控插件有什么區(qū)別? 163
Q177 OSSIM免費版和商業(yè)版有哪些主要區(qū)別? 166
Q178 OSSIM中的SPADE有什么作用? 167
Q179 OSSIM代理的作用是什么? 168
Q180 代理與插件有什么區(qū)別? 169
Q181 Framework有什么作用,如何查看其工作狀態(tài)? 169
Q182 修改OSSIM服務(wù)器配置文件config.xml后如何重新啟動引擎? 170
Q183 Agent程序采集的日志中的各個字段表示什么含義? 170
Q184 在混合式OSSIM服務(wù)器模式與傳感器安裝模式中,它們安裝的包有哪些
區(qū)別? 171
Q185 OSSIM服務(wù)器和傳感器的通信端口有哪些,其作用是什么? 173
Q186 如何增刪系統(tǒng)的數(shù)據(jù)源插件? 175
Q187 如何列出OSSIM分布式系統(tǒng)的活動代理信息? 175
Q188 如何將SIEM中顯示的攻擊日志添加到數(shù)據(jù)源組中? 175
Q189 如何使用Tickets? 176
Q190 Alarms與Tickets有什么區(qū)別? 177
Q191 在OSSIM報警中對網(wǎng)絡(luò)攻擊模式如何分類? 178
Q192 Ansible使用什么協(xié)議通信? 180
Q193 SSH和Ansible服務(wù)在OSSIM中起到什么作用? 180
Q194 如何建立基于OpenSSL的安全認證中心? 182
Q195 如何在OSSIM中設(shè)置VPN連接? 183
Q196 OSSIM中定義的未授權(quán)行為包括哪些? 185
第6章 傳感器 187
Q197 OSSIM傳感器的作用是什么,如何查看傳感器的狀態(tài)? 187
Q198 當(dāng)傳感器發(fā)生故障時能否查詢傳感器上加載插件的狀態(tài)? 187
Q199 傳感器能以串聯(lián)方式部署在網(wǎng)絡(luò)中嗎? 189
Q200 如何通過傳感器掃描資產(chǎn)? 189
Q201 如何查看分布式系統(tǒng)的傳感器狀態(tài)? 189
Q202 如何讓Ansible獲取遠程主機運行時間、在線用戶及平均負載信息? 191
Q203 如何通過Ansible將腳本分發(fā)到遠程主機并執(zhí)行? 192
Q204 為何會出現(xiàn)傳感器刪除失敗的情況? 193
Q205 OSSIM消息中心將數(shù)據(jù)源分為幾類,它們的含義是什么? 193
第7章 插件處理 198
Q206 OSSIM中的數(shù)據(jù)源插件如何將日志轉(zhuǎn)換為安全事件,以實現(xiàn)統(tǒng)一存儲? 198
Q207 OSSIM代理如何將采集的日志發(fā)送到OSSIM服務(wù)器? 200
Q208 OSSIM采用什么技術(shù)來解決網(wǎng)絡(luò)設(shè)備的日志格式不統(tǒng)一的問題? 201
Q209 OSSIM中安全事件的標準格式是什么? 201
Q210 OSSIM Agent的插件采集日志流程是什么? 203
Q211 在Apache插件中如何定義Apache訪問日志的正則表達式?如何通過腳本檢測
插件? 206
Q212 經(jīng)過OSSIM數(shù)據(jù)源插件歸一化之后的日志存儲在什么位置? 206
Q213 編寫日志插件分幾個步驟? 208
Q214 在OSSIM系統(tǒng)中如何導(dǎo)入檢測插件? 209
Q215 OSSIM采集插件分為幾大類,它們通過什么協(xié)議采集數(shù)據(jù)? 209
Q216 插件進程ossim-agent被手動停止后之后為何會自己重啟? 211
Q217 在OSSIM傳感器中能同時啟用Snort和Suricata插件嗎? 211
Q218 如何導(dǎo)入自定義插件? 212
第8章 SIEM控制臺操作 217
Q219 如何把SIEM控制臺中發(fā)現(xiàn)的重要日志加入到知識庫? 217
Q220 如何為知識庫的條目新增附件? 219
Q221 在SIEM控制臺事件中查看視圖時有幾種觀察模式,它們有什么區(qū)別? 220
Q222 如何在SIEM警報中顯示計算機名? 221
Q223 在SIEM控制臺事件的表單中,N/A表示什么意思? 222
Q224 如何設(shè)定SIEM事件的保存期限? 222
Q225 如何恢復(fù)SIEM事件數(shù)據(jù)庫? 223
Q226 SIEM控制臺上包含哪些重要元素? 223
Q227 如何在SIEM事件控制臺中過濾事件? 227
Q228 如何將高風(fēng)險的事件進行快速分類? 233
Q229 如何刪除與恢復(fù)安全事件? 234
Q230 SIEM控制臺中顯示的事件存儲在什么地方? 234
Q231 如何在Web頁面清理SIEM數(shù)據(jù)庫中的事件? 235
Q232 為什么不能跨VLAN顯示服務(wù)器的FQDN名稱? 236
Q233 SIEM日志顯示中出現(xiàn)的0.0.0.0地址表示什么含義? 236
Q234 無法顯示SIEM安全事件時應(yīng)如何處理? 237
Q235 SIEM數(shù)據(jù)源與插件之間有何聯(lián)系? 237
Q236 什么是AVAPI事件?如何過濾AVAPI事件? 238
Q237 在OSSIM Web UI中出現(xiàn)的EPS參數(shù)表示什么含義? 241
第9章 可視化報警 243
Q238 如何產(chǎn)生報警事件? 243
Q239 OSSIM中將報警事件分為幾類,分別表示什么含義? 244
Q240 如何通過Alarm快速識別網(wǎng)絡(luò)攻擊? 248
Q241 報警分組有什么作用? 251
Q242 如何通過X-Scan工具來觸發(fā)OSSIM報警? 252
Q243 如何采用Armitage對目標主機進行滲透測試? 253
Q244 如何通過Metasploit挖掘Windows XP的MS08-067漏洞? 258
Q245 如何通過OSSIM實現(xiàn)SSH登錄失敗報警? 262
Q246 如何區(qū)別IDS的誤報與漏報? 265
Q247 如何設(shè)置SSH登錄報警策略? 266
Q248 OSSIM如何感知SSH暴力破解攻擊? 268
第 10章 OSSIM數(shù)據(jù)庫 273
Q249 OSSIM數(shù)據(jù)庫有哪幾種,各有什么作用? 273
Q250 采用SecureCRT訪問數(shù)據(jù)庫時出現(xiàn)亂碼,這是什么原因引起的,如何
避免? 275
Q251 MySQL數(shù)據(jù)庫權(quán)限的存儲機制是什么? 276
Q252 如何讓OSSIM中的MySQL數(shù)據(jù)庫支持遠程訪問? 278
Q253 如何通過phpMyAdmin數(shù)據(jù)庫解決“Access denied for user 'root'@'localhost'(using password:YES)”報錯問題? 280
Q254 采用phpMyAdmin訪問數(shù)據(jù)庫時為什么會出現(xiàn)亂碼? 282
Q255 如何在OSSIM服務(wù)器上訪問數(shù)據(jù)庫?常見的數(shù)據(jù)庫操作命令包含哪些? 282
Q256 如何分屏顯示alienvault.alarm表中的內(nèi)容? 283
Q257 如何查看OSSIM數(shù)據(jù)庫的大小? 283
Q258 OSSIM中的SQLite數(shù)據(jù)庫有什么作用,它存儲在什么位置? 284
Q259 RRDTool與數(shù)據(jù)庫MySQL之間有什么區(qū)別? 284
Q260 如何將SQL文件插入到OSSIM數(shù)據(jù)庫中? 284
Q261 如何把一個.sql.gz文件導(dǎo)入到數(shù)據(jù)庫中? 285
Q262 如何優(yōu)化數(shù)據(jù)庫中的表? 285
Q263 如何重置OSSIM數(shù)據(jù)庫? 286
Q264 如何恢復(fù)OSSIM數(shù)據(jù)庫的出廠設(shè)置? 287
Q265 影響OSSIM數(shù)據(jù)庫的性能因素有哪些? 288
Q266 如何利用MySQLReport監(jiān)控數(shù)據(jù)庫性能? 288
Q267 如何設(shè)定OSSIM數(shù)據(jù)庫的自動備份時間?在什么位置查看備份數(shù)據(jù)? 289
Q268 /etc/ossim/server/config.xml配置文件記錄了哪些關(guān)鍵信息? 290
Q269 OSSIM系統(tǒng)中出現(xiàn)“MySQL:ERROR 1040:Too many connections”報錯提示時
如何處理? 291
Q270 如何用mytop監(jiān)控MySQL數(shù)據(jù)庫? 292
Q271 如何遠程導(dǎo)出OSSIM數(shù)據(jù)庫的表結(jié)構(gòu)? 293
Q272 在使用ossim-db命令時出現(xiàn)“Access denied for user 'root'@'localhost'(using password:NO)”提示,該如何解決? 293
Q273 如何模擬負載? 294
Q274 當(dāng)MySQL進程的CPU使用率過高時,如何優(yōu)化? 294
Q275 如何啟動OSSIM數(shù)據(jù)庫的慢查詢?nèi)罩荆?295
Q276 如何使用mysqldump完整備份OSSIM數(shù)據(jù)庫? 296
Q277 如何用XtraBackup備份OSSIM數(shù)據(jù)庫? 296
Q278 如何用mysqlslap測試OSSIM數(shù)據(jù)庫? 297
Q279 當(dāng)OSSIM系統(tǒng)數(shù)據(jù)庫發(fā)生損壞時,如何重建數(shù)據(jù)庫? 299
Q280 如何查看OSSIM系統(tǒng)的SIEM數(shù)據(jù)庫備份策略? 299
Q281 OSSIM系統(tǒng)出現(xiàn)acid表錯誤時如何處理? 299
Q282 升級過程中數(shù)據(jù)庫表意外損壞,該如何修復(fù)? 300
Q283 如何清理OSSIM數(shù)據(jù)庫? 301
Q284 存儲在數(shù)據(jù)庫中的資產(chǎn)IP地址被加密了嗎,如何查看該IP地址呢? 302
Q285 OSSIM系統(tǒng)中的Active Event Window(days)表示什么含義,該值設(shè)定為多大
比較合適? 302
Q286 如何顯示acid_event表中的前5條記錄? 303
Q287 為OSSIM添加擴展數(shù)據(jù)庫時出現(xiàn)連接數(shù)據(jù)庫錯誤,該如何處理? 303
Q288 如何通過MONyog工具監(jiān)控MySQL服務(wù)器? 304
Q289 日志中的IP地址在數(shù)據(jù)庫中采用何種形式存儲? 306
Q290 如何通過MySQL Workbench連接OSSIM數(shù)據(jù)庫? 307
附錄1 主要配置文件注釋 315
附錄2 OSSIM 5 Web界面菜單功能注釋 316
附錄3 終端控制臺程序注釋 319
附錄4 關(guān)鍵詞匯英漢對照 321
展開全部
開源安全運維平臺OSSIM疑難解析 入門篇 作者簡介
李晨光,OSSIM布道師、網(wǎng)絡(luò)架構(gòu)師、UNIX/Linux系統(tǒng)安全專家、中國計算機學(xué)會會員。他寫作的《Linux企業(yè)應(yīng)用案例精解》《UNIX/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控》《開源安全運維平臺OSSIM實踐》在圖書市場上具有相當(dāng)搶眼的表現(xiàn)與上佳口碑,且中文繁體字版本也被輸出到中國臺灣。 李晨光先生還是51CTO、ChinaUnix、OSchina等社區(qū)的專家博主,撰寫的技術(shù)博文被國內(nèi)各大IT技術(shù)社區(qū)廣泛轉(zhuǎn)載,還曾多次受邀在國內(nèi)系統(tǒng)架構(gòu)師大會和網(wǎng)絡(luò)信息安全大會上發(fā)表技術(shù)演講。
書友推薦
- >
我與地壇
- >
龍榆生:詞曲概論/大家小書
- >
推拿
- >
史學(xué)評論
- >
巴金-再思錄
- >
伊索寓言-世界文學(xué)名著典藏-全譯本
- >
回憶愛瑪儂
- >
自卑與超越
本類暢銷
