本書精選了OSSIM日常運維操作中總結的許多疑難問題,是OSSIM運維工程師故障速查手冊,專門針對OSSIM故障解答來編寫。本書主要介紹OSSIM架構與工作原理、系統規劃、實施關鍵要素和過濾分析SIEM事件的要領,以及OSSIM所涉及的幾個後台資料庫。本書既可以作為開源技術研究人員、網路安全管理人員,也可以作為高校計算機專業師生學習參考之用。
基本介紹
- 書名:開源安全運維平台OSSIM疑難解析:入門篇
- 作者:李晨光
- ISBN:978-7-115-50550-7
- 定價:89
- 出版社:人民郵電出版社
- 出版時間:2019-9-01
作者簡介,目 錄,第1章 SIEM與網路安全態勢感知 1,第2章 OSSIM部署基礎 20,第3章 安裝OSSIM伺服器 45,第4章 OSSIM系統維護與管理 87,第5章 OSSIM組成結構 157,第6章 感測器 187,第8章 SIEM控制台操作 217,第9章 可視化報警 243,第10章 OSSIM資料庫 273,
OSSIM(Open Source Security Information Management,開源安全信息管理)系統是一個非常流行和完整的開源安全架構體系,通過將開源產品進行集成,從而提供一種能實現安全監控功能的基礎平台。 《開源安全運維平台OSSIM疑難解析:入門篇》精選了作者在OSSIM日常運維操作中遇到的許多疑難問題,並給出了相應的解決方案。本書共分為10章,內容包括SIEM與網路安全態勢感知、OSSIM部署基礎、安裝OSSIM伺服器、OSSIM系統維護與管理、OSSIM組成結構、感測器、外掛程式處理、SIEM控制台操作、可視化報警以及OSSIM資料庫等。 《開源安全運維平台OSSIM疑難解析:入門篇》適合具有一定SIEM系統實施經驗的技術經理或中運維工程師閱讀,還可以作為開源技術研究人員、網路安全管理人員的參考資料。
出版信息:
書號:978-7-115-50550-7出版時間:2019-09-01
包 裝:平裝-膠訂
作者簡介
李晨光,他寫作的《Linux企業套用案例精解》《UNIX/Linux網路日誌分析與流量監控》《開源安全運維平台OSSIM實踐》在圖書市場上具有相當搶眼的表現與上佳口碑,且中文繁體字版本也被輸出到中國台灣。
目 錄
第1章 SIEM與網路安全態勢感知 1
Q001 什麼是SIEM? 1
Q002 SIEM處理流程是什麼? 1
Q003 SIEM基本特徵分為幾個部分,技術門檻是什麼,有哪些商業產品? 2
Q004 SIEM中的安全運維模組包含哪些主要內容? 3
Q005 為什麼要選擇OSSIM作為運維監控平台? 4
Q006 在OSSIM架構中為何要引入威脅情報系統? 8
Q007 在OSSIM中OTX代表什麼含義? 9
Q008 為什麼要對IP進行信譽評級? 9
Q009 如何激活OTX功能? 9
Q010 如何手動更新IP信譽數據並查看這些數據? 11
Q011 如何讀懂IP信譽資料庫的記錄格式? 11
Q012 為什麼在瀏覽器中無法顯示由谷歌地圖繪製的AlienVaultIP信譽數據? 12
Q013 OSSIM使用的Google Maps API在什麼位置? 12
Q014 在OSSIM系統中成功添加OTX key之後,為何儀錶盤上沒有顯示? 12
Q015 將已申請的OTX key導入OSSIM系統時,為何提示連線失敗? 13
Q016 外部威脅情報和內部威脅情報分別來自何處? 14
Q017 如何利用OSSIM系統內置的威脅情報識別網路APT***事件? 15
Q018 OpenSOC的組成結構和主要功能是什麼,它和OSSIM之間的區別
是什麼? 15
Q019 Apache Metron是新生代的OpenSOC嗎?部署難度大嗎? 17
Q019 Apache Metron是新生代的OpenSOC嗎?部署難度大嗎? 17
第2章 OSSIM部署基礎 20
Q020 OSSIM主要版本的演化過程是怎樣的? 20
Q021 如何關閉和重啟OSSIM? 23
Q022 OSSIM屬於大數據平台嗎? 24
Q023 OSSIM能作為堡壘機使用嗎? 24
Q024 堡壘機的Syslog日誌能否轉發至OSSIM統一存儲? 25
Q025 OSSIM平台屬於CPU密集型、I/O密集型還是記憶體密集型系統? 25
Q026 OSSIM平台開發了哪些專屬程式? 26
Q027 Kali Linux和OSSIM有什麼區別? 27
Q028 安裝OSSIM伺服器組件時是否包含了感測器組件? 28
Q029 OSSIM能否安裝在XEN或KVM虛擬化系統上? 29
Q030 OSSIM如何處理海量數據? 29
Q031 OSSIM是基於Debian Linux開發的,能否將其安裝在其他Linux發行版上,例如RHAS、CentOS、SUSE Linux? 29
Q032 分散式OSSIM系統感測器如何部署? 29
Q033 OSSIM可輸出的報表有哪些類型? 30
Q034 在OSSIM 3中通過什麼技術可實現報表預覽功能? 31
Q035 OSSIM企業版中可輸出哪些類型的報表? 31
Q036 OSSIM能否用於APT和ShellCode高級檢測? 32**
Q037 如何部署分散式OSSIM平台? 34
Q038 OSSIM系統中哪些服務是單執行緒,哪些服務是多執行緒? 34
Q039 如何查看ossim-agent進程正在調用的檔案? 35
Q040 在分散式環境中如何添加感測器? 36
Q041 為何新添加的感測器在Web UI上無法顯示NetFlow流? 38
Q042 如何查看某個進程打開了哪些檔案? 41
Q043 如何監聽系統中某個用戶的網路活動? 41
Q044 OSSIM經過防火牆時,需要打開哪些連線埠? 42
Q021 如何關閉和重啟OSSIM? 23
Q022 OSSIM屬於大數據平台嗎? 24
Q023 OSSIM能作為堡壘機使用嗎? 24
Q024 堡壘機的Syslog日誌能否轉發至OSSIM統一存儲? 25
Q025 OSSIM平台屬於CPU密集型、I/O密集型還是記憶體密集型系統? 25
Q026 OSSIM平台開發了哪些專屬程式? 26
Q027 Kali Linux和OSSIM有什麼區別? 27
Q028 安裝OSSIM伺服器組件時是否包含了感測器組件? 28
Q029 OSSIM能否安裝在XEN或KVM虛擬化系統上? 29
Q030 OSSIM如何處理海量數據? 29
Q031 OSSIM是基於Debian Linux開發的,能否將其安裝在其他Linux發行版上,例如RHAS、CentOS、SUSE Linux? 29
Q032 分散式OSSIM系統感測器如何部署? 29
Q033 OSSIM可輸出的報表有哪些類型? 30
Q034 在OSSIM 3中通過什麼技術可實現報表預覽功能? 31
Q035 OSSIM企業版中可輸出哪些類型的報表? 31
Q036 OSSIM能否用於APT和ShellCode高級檢測? 32**
Q037 如何部署分散式OSSIM平台? 34
Q038 OSSIM系統中哪些服務是單執行緒,哪些服務是多執行緒? 34
Q039 如何查看ossim-agent進程正在調用的檔案? 35
Q040 在分散式環境中如何添加感測器? 36
Q041 為何新添加的感測器在Web UI上無法顯示NetFlow流? 38
Q042 如何查看某個進程打開了哪些檔案? 41
Q043 如何監聽系統中某個用戶的網路活動? 41
Q044 OSSIM經過防火牆時,需要打開哪些連線埠? 42
第3章 安裝OSSIM伺服器 45
Q045 如何通過隨身碟安裝OSSIM系統? 45
Q046 如何克隆OSSIM虛擬機以及為虛擬機設定克隆? 45
Q047 在安裝OSSIM時,命令行下面的提示信息保存在什麼位置? 47
Q048 執行alienvault-update命令升級後,為什麼原來的配置會被覆蓋? 48
Q049 執行alienvault-update命令升級之後,快取檔案如何清除? 48
Q050 如何選擇OSSIM伺服器? 48
Q051 安裝OSSIM時能識別硬碟,但無法識別網卡,該如何處理? 49
Q052 選擇OSSIM伺服器硬體時,需要注意些什麼問題? 49
Q053 安裝OSSIM時需要插網線嗎? 50
Q054 初裝OSSIM時僅配置了單塊網卡,後期需要再新增一塊網卡,該如何
操作呢? 50
Q055 安裝OSSIM時需要選擇多核CPU還是單核CPU?CPU核心的數量越多
越好嗎? 51
Q056 如何為OSSIM伺服器/感測器選擇網卡? 51
Q057 OSSIM為何只能識別出2TB以內的硬碟? 52
Q058 如何在OSSIM下安裝GCC編譯工具? 52
Q059 如何手動載入網卡驅動? 52
Q060 在虛擬機下安裝OSSIM結束後重啟系統,結果系統一直停在啟動界面,這該
如何處理? 53
Q061 OSSIM安裝完成後,如何設定Web UI來初始化設定嚮導? 53
Q062 如何通過CSV格式的檔案導入多個網段信息? 58
Q063 如何通過檔案導入網路資產? 59
Q064 在OSSIM配置嚮導中,報告無法找到網段內的伺服器,該如何處理? 60
Q065 如何再次調出Web UI初始化配置嚮導? 60
Q066 如果跳過了Web配置嚮導,如何通過Web界面安裝OSSEC Agent? 61
Q067 在Hyper-V 3.0中安裝OSSIM 5.4時,在Suricata配置過程中“卡住了”該如何
處理? 62
Q068 如何查看OSSIM的GRUB程式版本? 63
Q069 OSSIM系統中的IPMI服務有什麼作用?為什麼在虛擬機啟動OSSIM時會
遇到IPMI服務啟動失敗的問題? 63
Q070 如採用要混合式安裝方式來安裝OSSIM,在安裝界面中應選擇哪一項? 64
Q071 如何進入OSSIM高級安裝模式? 64
Q072 在虛擬機下安裝OSSIM時無法找到磁碟,應如何處理? 65
Q073 在VMware虛擬機環境中,如何為OSSIM安裝VMware Tools增強工具? 65
Q074 初學者如何正確選擇虛擬機版本? 67
Q075 如何嗅探虛擬機流量? 68
Q076 在VMware ESXi虛擬機環境中安裝OSSIM時應注意哪些內容? 69
Q077 遺忘Web UI登錄密碼後如何將其恢復? 70
Q078 如何在Hyper-V虛擬機下安裝OSSIM? 71
Q079 在Hyper-V虛擬機中如何嗅探網路流量? 77
Q080 採用筆記本電腦安裝OSSIM時,如何防止其休眠? 77
Q081 如何將負載分攤在多個感測器上? 78
Q082 為什麼不建議通過USB設備安裝OSSIM系統? 79
Q083 為什麼在安裝OSSIM 5的過程中不提示用戶分區? 79
Q084 虛擬機環境下常見的OSSIM安裝錯誤有哪些? 80
Q046 如何克隆OSSIM虛擬機以及為虛擬機設定克隆? 45
Q047 在安裝OSSIM時,命令行下面的提示信息保存在什麼位置? 47
Q048 執行alienvault-update命令升級後,為什麼原來的配置會被覆蓋? 48
Q049 執行alienvault-update命令升級之後,快取檔案如何清除? 48
Q050 如何選擇OSSIM伺服器? 48
Q051 安裝OSSIM時能識別硬碟,但無法識別網卡,該如何處理? 49
Q052 選擇OSSIM伺服器硬體時,需要注意些什麼問題? 49
Q053 安裝OSSIM時需要插網線嗎? 50
Q054 初裝OSSIM時僅配置了單塊網卡,後期需要再新增一塊網卡,該如何
操作呢? 50
Q055 安裝OSSIM時需要選擇多核CPU還是單核CPU?CPU核心的數量越多
越好嗎? 51
Q056 如何為OSSIM伺服器/感測器選擇網卡? 51
Q057 OSSIM為何只能識別出2TB以內的硬碟? 52
Q058 如何在OSSIM下安裝GCC編譯工具? 52
Q059 如何手動載入網卡驅動? 52
Q060 在虛擬機下安裝OSSIM結束後重啟系統,結果系統一直停在啟動界面,這該
如何處理? 53
Q061 OSSIM安裝完成後,如何設定Web UI來初始化設定嚮導? 53
Q062 如何通過CSV格式的檔案導入多個網段信息? 58
Q063 如何通過檔案導入網路資產? 59
Q064 在OSSIM配置嚮導中,報告無法找到網段內的伺服器,該如何處理? 60
Q065 如何再次調出Web UI初始化配置嚮導? 60
Q066 如果跳過了Web配置嚮導,如何通過Web界面安裝OSSEC Agent? 61
Q067 在Hyper-V 3.0中安裝OSSIM 5.4時,在Suricata配置過程中“卡住了”該如何
處理? 62
Q068 如何查看OSSIM的GRUB程式版本? 63
Q069 OSSIM系統中的IPMI服務有什麼作用?為什麼在虛擬機啟動OSSIM時會
遇到IPMI服務啟動失敗的問題? 63
Q070 如採用要混合式安裝方式來安裝OSSIM,在安裝界面中應選擇哪一項? 64
Q071 如何進入OSSIM高級安裝模式? 64
Q072 在虛擬機下安裝OSSIM時無法找到磁碟,應如何處理? 65
Q073 在VMware虛擬機環境中,如何為OSSIM安裝VMware Tools增強工具? 65
Q074 初學者如何正確選擇虛擬機版本? 67
Q075 如何嗅探虛擬機流量? 68
Q076 在VMware ESXi虛擬機環境中安裝OSSIM時應注意哪些內容? 69
Q077 遺忘Web UI登錄密碼後如何將其恢復? 70
Q078 如何在Hyper-V虛擬機下安裝OSSIM? 71
Q079 在Hyper-V虛擬機中如何嗅探網路流量? 77
Q080 採用筆記本電腦安裝OSSIM時,如何防止其休眠? 77
Q081 如何將負載分攤在多個感測器上? 78
Q082 為什麼不建議通過USB設備安裝OSSIM系統? 79
Q083 為什麼在安裝OSSIM 5的過程中不提示用戶分區? 79
Q084 虛擬機環境下常見的OSSIM安裝錯誤有哪些? 80
第4章 OSSIM系統維護與管理 87
Q085 如何離線升級OSSIM? 87
Q086 如何通過代理伺服器升級系統? 87
Q087 OSSIM升級過程中出現的Ign、Hit、Get分別代表什麼含義? 88
Q088 在OSSIM中,update和upgrade參數有何區別? 88
Q089 如何確保分散式OSSIM系統的安全? 89
Q090 若在OSSIM伺服器上啟用SELinux服務,後果會如何? 90
Q091 OSSIM儀錶盤典型視圖分為幾類,各有何特點? 90
Q092 通過OSSIM 4.3能直接升級到OSSIM 5.4嗎? 92
Q093 如何定製OSSIM系統的啟動畫面? 92
Q094 OSSIM系統中的server.log日誌檔案有什麼作用?如果此檔案增漲到10GB以上,該如何處理? 92
Q095 apt-get的常見用途有哪些? 93
Q096 OSSIM中的IDM表示什麼含義?如何啟動IDM服務? 94
Q097 開源OSSIM系統所使用的檔案系統是什麼,有什麼局限性? 94
Q098 當OSSIM的資料庫受損時,如何恢復OSSIM? 95
Q099 為什麼在OSSIM 3.1系統上輸入ossim-update命令進行升級後OCS模組會
消失? 96
Q100 OSSIM訊息中心為什麼總顯示網際網路連線中斷? 97
Q101 OSSIM系統的軟體包中包含amd64字樣,這表示什麼含義? 97
Q102 如何將Tickets加入知識庫? 98
Q103 如何管理OSSIM系統服務? 100
Q104 OSSIM系統當使用alienvault-update升級後.deb檔案位於何處?升級過程中報錯
怎么辦? 101
Q105 如何校驗已安裝的Debian軟體包? 101
Q106 OSSIM下有什麼好用的包管理器嗎? 102
Q107 在OSSIM系統中如何分配tmpfs檔案系統的大小? 103
Q108 OSSIM系統如何同步時間? 103
Q109 如何通過刪除日誌的方式來釋放OSSIM平台上的磁碟空間? 103
Q110 如何檢測OSSIM系統整體的健康狀態? 105
Q111 如何記錄Web UI中SQL查詢日誌信息的情況?這些內容在何處? 105
Q112 如何禁止系統向root用戶傳送電子郵件? 105
Q113 可使用什麼命令來查詢UUID號? 106
Q114 智慧型移動終端如何訪問OSSIM? 106
Q115 如何修改OSSIM登錄的逾時時間? 107
Q116 如何調整OSSIM系統管理員的密碼登錄策略? 108
Q117 如何允許/禁止root通過SSH登錄OSSIM系統? 108
Q118 如何安裝Gnome和Fvwm桌面環境? 108
Q119 如何進入OSSIM系統的單用戶模式? 108
Q120 忘記root密碼怎么辦? 110
Q121 在分散式OSSIM系統環境中如何啟動和關閉系統? 111
Q122 如何設定郵件報警? 112
Q123 如何校驗OSSIM中安裝的軟體包? 113
Q124 在使用apt-get install安裝軟體的過程中強行中斷安裝,結果下次再執行安裝
腳本時報告資料庫錯誤,這該如何解決? 113
Q125 使用apt-get install安裝程式時遇到了“Could not get lock/var/lib/dpkg/lock”提示,這是由於什麼原因造成的? 114
Q126 OSSIM系統中/var/run/目錄下的pid檔案有什麼作用? 114
Q127 如何更改OSSIM默認的網路接口? 115
Q128 在OSSIM系統中如何尋找和終止殭屍進程(zombie)? 115
Q129 OSSIM在哪些地方會消耗大量記憶體? 116
Q130 如何查看admin用戶活動的詳細信息? 116
Q131 如何查看當前登錄到OSSIM系統中的用戶的Session ID? 117
Q132 如何將本地光碟設定為軟體源? 118
Q133 當使用crontab –e編輯時,無法退出編輯環境,這如何處理? 118
Q134 如何開啟OSSIM的Cron日誌? 119
Q135 UUID在OSSIM系統中有什麼用途? 119
Q136 OSSIM中如何安裝X-window環境? 120
Q137 OSSIM如何防止關鍵進程停止? 121
Q138 OSSIM會將信息傳送到外網嗎? 121
Q139 OSSIM平台如何修復包的依賴關係? 123
Q140 異常關機會對OSSIM平台產生哪些影響? 123
Q141 刪除OSSIM系統里的檔案時,磁碟空間不釋放應如何處理? 124
Q142 如何手動修改伺服器IP位址? 124
Q143 如何消除終端控制台上的登錄選單? 124
Q144 在低版本的OSSIM中,如何讓控制台支持高解析度? 125
Q145 如何查看防火牆規則? 125
Q146 如何解決時間不同步的問題? 126
Q147 OSSIM在最後的安裝階段為什麼會停滯不前? 126
Q148 如何配置OSSIM伺服器與感測器之間的×××連線? 127
Q149 如何重裝感測器? 129
Q150 如何安裝並配置多個感測器? 129
Q151 如何為OSSIM安裝Webmin管理工具? 135
Q152 如何為OSSIM安裝phpMyAdmin工具? 137
Q153 感測器中用於抓包的網卡需要分配IP嗎? 139
Q154 如何將HTTP重定向為HTTPS訪問? 139
Q155 在OSSIM的Web UI登錄界面中,在登錄驗證前用戶名和密碼是如何
加密的? 139
Q156 在OSSIM登錄界面中如何實現用戶Session登錄驗證的安全性? 140
Q157 如何定製Apache 404頁面? 140
Q158 OSSIM系統每次啟動時為什麼顯示“apache2 [warn] NameVirtualHost *:80 has no
VirtualHosts”? 140
Q159 Apache中出現“Could not reliably determine the server’s fully qualified domain name”提示時,應如何處理? 141
Q160 遷移OSSIM系統時需要備份哪些數據? 141
Q161 在OSSIM中,PCI DSS和ISO 27001代表什麼含義? 142
Q162 如何輸出30天內的資產可用性報告? 143
Q163 如何使用grep命令去掉配置檔案的注釋行和空格行? 143
Q164 如何生成一個指定大小的檔案? 144
Q165 如何在伺服器/感測器中發現隱藏的進程或連線埠? 144
Q166 如何解決因系統索引節點(inode)耗盡而引發的系統故障? 145
Q167 OSSIM系統是如何實現高可用性的? 147
Q168 OSSIM伺服器如何橫向擴展? 151
Q086 如何通過代理伺服器升級系統? 87
Q087 OSSIM升級過程中出現的Ign、Hit、Get分別代表什麼含義? 88
Q088 在OSSIM中,update和upgrade參數有何區別? 88
Q089 如何確保分散式OSSIM系統的安全? 89
Q090 若在OSSIM伺服器上啟用SELinux服務,後果會如何? 90
Q091 OSSIM儀錶盤典型視圖分為幾類,各有何特點? 90
Q092 通過OSSIM 4.3能直接升級到OSSIM 5.4嗎? 92
Q093 如何定製OSSIM系統的啟動畫面? 92
Q094 OSSIM系統中的server.log日誌檔案有什麼作用?如果此檔案增漲到10GB以上,該如何處理? 92
Q095 apt-get的常見用途有哪些? 93
Q096 OSSIM中的IDM表示什麼含義?如何啟動IDM服務? 94
Q097 開源OSSIM系統所使用的檔案系統是什麼,有什麼局限性? 94
Q098 當OSSIM的資料庫受損時,如何恢復OSSIM? 95
Q099 為什麼在OSSIM 3.1系統上輸入ossim-update命令進行升級後OCS模組會
消失? 96
Q100 OSSIM訊息中心為什麼總顯示網際網路連線中斷? 97
Q101 OSSIM系統的軟體包中包含amd64字樣,這表示什麼含義? 97
Q102 如何將Tickets加入知識庫? 98
Q103 如何管理OSSIM系統服務? 100
Q104 OSSIM系統當使用alienvault-update升級後.deb檔案位於何處?升級過程中報錯
怎么辦? 101
Q105 如何校驗已安裝的Debian軟體包? 101
Q106 OSSIM下有什麼好用的包管理器嗎? 102
Q107 在OSSIM系統中如何分配tmpfs檔案系統的大小? 103
Q108 OSSIM系統如何同步時間? 103
Q109 如何通過刪除日誌的方式來釋放OSSIM平台上的磁碟空間? 103
Q110 如何檢測OSSIM系統整體的健康狀態? 105
Q111 如何記錄Web UI中SQL查詢日誌信息的情況?這些內容在何處? 105
Q112 如何禁止系統向root用戶傳送電子郵件? 105
Q113 可使用什麼命令來查詢UUID號? 106
Q114 智慧型移動終端如何訪問OSSIM? 106
Q115 如何修改OSSIM登錄的逾時時間? 107
Q116 如何調整OSSIM系統管理員的密碼登錄策略? 108
Q117 如何允許/禁止root通過SSH登錄OSSIM系統? 108
Q118 如何安裝Gnome和Fvwm桌面環境? 108
Q119 如何進入OSSIM系統的單用戶模式? 108
Q120 忘記root密碼怎么辦? 110
Q121 在分散式OSSIM系統環境中如何啟動和關閉系統? 111
Q122 如何設定郵件報警? 112
Q123 如何校驗OSSIM中安裝的軟體包? 113
Q124 在使用apt-get install安裝軟體的過程中強行中斷安裝,結果下次再執行安裝
腳本時報告資料庫錯誤,這該如何解決? 113
Q125 使用apt-get install安裝程式時遇到了“Could not get lock/var/lib/dpkg/lock”提示,這是由於什麼原因造成的? 114
Q126 OSSIM系統中/var/run/目錄下的pid檔案有什麼作用? 114
Q127 如何更改OSSIM默認的網路接口? 115
Q128 在OSSIM系統中如何尋找和終止殭屍進程(zombie)? 115
Q129 OSSIM在哪些地方會消耗大量記憶體? 116
Q130 如何查看admin用戶活動的詳細信息? 116
Q131 如何查看當前登錄到OSSIM系統中的用戶的Session ID? 117
Q132 如何將本地光碟設定為軟體源? 118
Q133 當使用crontab –e編輯時,無法退出編輯環境,這如何處理? 118
Q134 如何開啟OSSIM的Cron日誌? 119
Q135 UUID在OSSIM系統中有什麼用途? 119
Q136 OSSIM中如何安裝X-window環境? 120
Q137 OSSIM如何防止關鍵進程停止? 121
Q138 OSSIM會將信息傳送到外網嗎? 121
Q139 OSSIM平台如何修復包的依賴關係? 123
Q140 異常關機會對OSSIM平台產生哪些影響? 123
Q141 刪除OSSIM系統里的檔案時,磁碟空間不釋放應如何處理? 124
Q142 如何手動修改伺服器IP位址? 124
Q143 如何消除終端控制台上的登錄選單? 124
Q144 在低版本的OSSIM中,如何讓控制台支持高解析度? 125
Q145 如何查看防火牆規則? 125
Q146 如何解決時間不同步的問題? 126
Q147 OSSIM在最後的安裝階段為什麼會停滯不前? 126
Q148 如何配置OSSIM伺服器與感測器之間的×××連線? 127
Q149 如何重裝感測器? 129
Q150 如何安裝並配置多個感測器? 129
Q151 如何為OSSIM安裝Webmin管理工具? 135
Q152 如何為OSSIM安裝phpMyAdmin工具? 137
Q153 感測器中用於抓包的網卡需要分配IP嗎? 139
Q154 如何將HTTP重定向為HTTPS訪問? 139
Q155 在OSSIM的Web UI登錄界面中,在登錄驗證前用戶名和密碼是如何
加密的? 139
Q156 在OSSIM登錄界面中如何實現用戶Session登錄驗證的安全性? 140
Q157 如何定製Apache 404頁面? 140
Q158 OSSIM系統每次啟動時為什麼顯示“apache2 [warn] NameVirtualHost *:80 has no
VirtualHosts”? 140
Q159 Apache中出現“Could not reliably determine the server’s fully qualified domain name”提示時,應如何處理? 141
Q160 遷移OSSIM系統時需要備份哪些數據? 141
Q161 在OSSIM中,PCI DSS和ISO 27001代表什麼含義? 142
Q162 如何輸出30天內的資產可用性報告? 143
Q163 如何使用grep命令去掉配置檔案的注釋行和空格行? 143
Q164 如何生成一個指定大小的檔案? 144
Q165 如何在伺服器/感測器中發現隱藏的進程或連線埠? 144
Q166 如何解決因系統索引節點(inode)耗盡而引發的系統故障? 145
Q167 OSSIM系統是如何實現高可用性的? 147
Q168 OSSIM伺服器如何橫向擴展? 151
第5章 OSSIM組成結構 157
Q169 OSSIM開源框架的分層處理架構是什麼? 157
Q170 OSSIM系統框架中各模組的工作流程是怎樣的? 158
Q171 OSSIM採用模組化架構的優勢是什麼? 160
Q172 根據OSSIM部署圖來分析OSSIM多層體系結構是怎樣的? 161
Q173 如果分散式OSSIM系統的感測器出現問題,會影響哪些模組的工作? 162
Q174 OSSIM的工作流程包括哪些內容? 162
Q175 配置檔案/etc/ossim/ossim_setup.conf中記錄了哪些內容? 163
Q176 感測器上的採集外掛程式與監控外掛程式有什麼區別? 163
Q177 OSSIM免費版和商業版有哪些主要區別? 166
Q178 OSSIM中的SPADE有什麼作用? 167
Q179 OSSIM代理的作用是什麼? 168
Q180 代理與外掛程式有什麼區別? 169
Q181 Framework有什麼作用,如何查看其工作狀態? 169
Q182 修改OSSIM伺服器配置檔案config.xml後如何重新啟動引擎? 170
Q183 Agent程式採集的日誌中的各個欄位表示什麼含義? 170
Q184 在混合式OSSIM伺服器模式與感測器安裝模式中,它們安裝的包有哪些
區別? 171
Q185 OSSIM伺服器和感測器的通信連線埠有哪些,其作用是什麼? 173
Q186 如何增刪系統的數據源外掛程式? 175
Q187 如何列出OSSIM分散式系統的活動代理信息? 175
Q188 如何將SIEM中顯示的日誌添加到數據源組中? 175
Q189 如何使用Tickets? 176
Q190 Alarms與Tickets有什麼區別? 177
Q191 在OSSIM報警中對網路模式如何分類? 178
Q192 Ansible使用什麼協定通信? 180
Q193 SSH和Ansible服務在OSSIM中起到什麼作用? 180
Q194 如何建立基於OpenSSL的安全認證中心? 182
Q195 如何在OSSIM中設定×××連線? 183
Q196 OSSIM中定義的未授權行為包括哪些? 185
Q170 OSSIM系統框架中各模組的工作流程是怎樣的? 158
Q171 OSSIM採用模組化架構的優勢是什麼? 160
Q172 根據OSSIM部署圖來分析OSSIM多層體系結構是怎樣的? 161
Q173 如果分散式OSSIM系統的感測器出現問題,會影響哪些模組的工作? 162
Q174 OSSIM的工作流程包括哪些內容? 162
Q175 配置檔案/etc/ossim/ossim_setup.conf中記錄了哪些內容? 163
Q176 感測器上的採集外掛程式與監控外掛程式有什麼區別? 163
Q177 OSSIM免費版和商業版有哪些主要區別? 166
Q178 OSSIM中的SPADE有什麼作用? 167
Q179 OSSIM代理的作用是什麼? 168
Q180 代理與外掛程式有什麼區別? 169
Q181 Framework有什麼作用,如何查看其工作狀態? 169
Q182 修改OSSIM伺服器配置檔案config.xml後如何重新啟動引擎? 170
Q183 Agent程式採集的日誌中的各個欄位表示什麼含義? 170
Q184 在混合式OSSIM伺服器模式與感測器安裝模式中,它們安裝的包有哪些
區別? 171
Q185 OSSIM伺服器和感測器的通信連線埠有哪些,其作用是什麼? 173
Q186 如何增刪系統的數據源外掛程式? 175
Q187 如何列出OSSIM分散式系統的活動代理信息? 175
Q188 如何將SIEM中顯示的日誌添加到數據源組中? 175
Q189 如何使用Tickets? 176
Q190 Alarms與Tickets有什麼區別? 177
Q191 在OSSIM報警中對網路模式如何分類? 178
Q192 Ansible使用什麼協定通信? 180
Q193 SSH和Ansible服務在OSSIM中起到什麼作用? 180
Q194 如何建立基於OpenSSL的安全認證中心? 182
Q195 如何在OSSIM中設定×××連線? 183
Q196 OSSIM中定義的未授權行為包括哪些? 185
第6章 感測器 187
Q197 OSSIM感測器的作用是什麼,如何查看感測器的狀態? 187
Q198 當感測器發生故障時能否查詢感測器上載入外掛程式的狀態? 187
Q199 感測器能以串聯方式部署在網路中嗎? 189
Q200 如何通過感測器掃描資產? 189
Q201 如何查看分散式系統的感測器狀態? 189
Q202 如何讓Ansible獲取遠程主機運行時間、線上用戶及平均負載信息? 191
Q203 如何通過Ansible將腳本分發到遠程主機並執行? 192
Q204 為何會出現感測器刪除失敗的情況? 193
Q205 OSSIM訊息中心將數據源分為幾類,它們的含義是什麼? 193
Q198 當感測器發生故障時能否查詢感測器上載入外掛程式的狀態? 187
Q199 感測器能以串聯方式部署在網路中嗎? 189
Q200 如何通過感測器掃描資產? 189
Q201 如何查看分散式系統的感測器狀態? 189
Q202 如何讓Ansible獲取遠程主機運行時間、線上用戶及平均負載信息? 191
Q203 如何通過Ansible將腳本分發到遠程主機並執行? 192
Q204 為何會出現感測器刪除失敗的情況? 193
Q205 OSSIM訊息中心將數據源分為幾類,它們的含義是什麼? 193
第7章 外掛程式處理 198
Q206 OSSIM中的數據源外掛程式如何將日誌轉換為安全事件,以實現統一存儲? 198
Q207 OSSIM代理如何將採集的日誌傳送到OSSIM伺服器? 200
Q208 OSSIM採用什麼技術來解決網路設備的日誌格式不統一的問題? 201
Q209 OSSIM中安全事件的標準格式是什麼? 201
Q210 OSSIM Agent的外掛程式採集日誌流程是什麼? 203
Q211 在Apache外掛程式中如何定義Apache訪問日誌的正則表達式?如何通過腳本檢測
外掛程式? 206
Q212 經過OSSIM數據源外掛程式歸一化之後的日誌存儲在什麼位置? 206
Q213 編寫日誌外掛程式分幾個步驟? 208
Q214 在OSSIM系統中如何導入檢測外掛程式? 209
Q215 OSSIM採集外掛程式分為幾大類,它們通過什麼協定採集數據? 209
Q216 外掛程式進程ossim-agent被手動停止後之後為何會自己重啟? 211
Q217 在OSSIM感測器中能同時啟用Snort和Suricata外掛程式嗎? 211
Q218 如何導入自定義外掛程式? 212
Q207 OSSIM代理如何將採集的日誌傳送到OSSIM伺服器? 200
Q208 OSSIM採用什麼技術來解決網路設備的日誌格式不統一的問題? 201
Q209 OSSIM中安全事件的標準格式是什麼? 201
Q210 OSSIM Agent的外掛程式採集日誌流程是什麼? 203
Q211 在Apache外掛程式中如何定義Apache訪問日誌的正則表達式?如何通過腳本檢測
外掛程式? 206
Q212 經過OSSIM數據源外掛程式歸一化之後的日誌存儲在什麼位置? 206
Q213 編寫日誌外掛程式分幾個步驟? 208
Q214 在OSSIM系統中如何導入檢測外掛程式? 209
Q215 OSSIM採集外掛程式分為幾大類,它們通過什麼協定採集數據? 209
Q216 外掛程式進程ossim-agent被手動停止後之後為何會自己重啟? 211
Q217 在OSSIM感測器中能同時啟用Snort和Suricata外掛程式嗎? 211
Q218 如何導入自定義外掛程式? 212
第8章 SIEM控制台操作 217
Q219 如何把SIEM控制台中發現的重要日誌加入到知識庫? 217
Q220 如何為知識庫的條目新增附屬檔案? 219
Q221 在SIEM控制台事件中查看視圖時有幾種觀察模式,它們有什麼區別? 220
Q222 如何在SIEM警報中顯示計算機名? 221
Q223 在SIEM控制台事件的表單中,N/A表示什麼意思? 222
Q224 如何設定SIEM事件的保存期限? 222
Q225 如何恢復SIEM事件資料庫? 223
Q226 SIEM控制台上包含哪些重要元素? 223
Q227 如何在SIEM事件控制台中過濾事件? 227
Q228 如何將高風險的事件進行快速分類? 233
Q229 如何刪除與恢復安全事件? 234
Q230 SIEM控制台中顯示的事件存儲在什麼地方? 234
Q231 如何在Web頁面清理SIEM資料庫中的事件? 235
Q232 為什麼不能跨VLAN顯示伺服器的FQDN名稱? 236
Q233 SIEM日誌顯示中出現的0.0.0.0地址表示什麼含義? 236
Q234 無法顯示SIEM安全事件時應如何處理? 237
Q235 SIEM數據源與外掛程式之間有何聯繫? 237
Q236 什麼是AVAPI事件?如何過濾AVAPI事件? 238
Q237 在OSSIM Web UI中出現的EPS參數表示什麼含義? 241
Q220 如何為知識庫的條目新增附屬檔案? 219
Q221 在SIEM控制台事件中查看視圖時有幾種觀察模式,它們有什麼區別? 220
Q222 如何在SIEM警報中顯示計算機名? 221
Q223 在SIEM控制台事件的表單中,N/A表示什麼意思? 222
Q224 如何設定SIEM事件的保存期限? 222
Q225 如何恢復SIEM事件資料庫? 223
Q226 SIEM控制台上包含哪些重要元素? 223
Q227 如何在SIEM事件控制台中過濾事件? 227
Q228 如何將高風險的事件進行快速分類? 233
Q229 如何刪除與恢復安全事件? 234
Q230 SIEM控制台中顯示的事件存儲在什麼地方? 234
Q231 如何在Web頁面清理SIEM資料庫中的事件? 235
Q232 為什麼不能跨VLAN顯示伺服器的FQDN名稱? 236
Q233 SIEM日誌顯示中出現的0.0.0.0地址表示什麼含義? 236
Q234 無法顯示SIEM安全事件時應如何處理? 237
Q235 SIEM數據源與外掛程式之間有何聯繫? 237
Q236 什麼是AVAPI事件?如何過濾AVAPI事件? 238
Q237 在OSSIM Web UI中出現的EPS參數表示什麼含義? 241
第9章 可視化報警 243
Q238 如何產生報警事件? 243
Q239 OSSIM中將報警事件分為幾類,分別表示什麼含義? 244
Q240 如何通過Alarm快速識別網路? 248
Q241 報警分組有什麼作用? 251
Q242 如何通過X-Scan工具來觸發OSSIM報警? 252
Q243 如何採用Armitage對目標主機進行測試? 253
Q244 如何通過Metasploit挖掘Windows XP的MS08-067漏洞? 258
Q245 如何通過OSSIM實現SSH登錄失敗報警? 262
Q246 如何區別IDS的誤報與漏報? 265
Q247 如何設定SSH登錄報警策略? 266
Q248 OSSIM如何感知SSH暴力破解***? 268
Q239 OSSIM中將報警事件分為幾類,分別表示什麼含義? 244
Q240 如何通過Alarm快速識別網路? 248
Q241 報警分組有什麼作用? 251
Q242 如何通過X-Scan工具來觸發OSSIM報警? 252
Q243 如何採用Armitage對目標主機進行測試? 253
Q244 如何通過Metasploit挖掘Windows XP的MS08-067漏洞? 258
Q245 如何通過OSSIM實現SSH登錄失敗報警? 262
Q246 如何區別IDS的誤報與漏報? 265
Q247 如何設定SSH登錄報警策略? 266
Q248 OSSIM如何感知SSH暴力破解***? 268
第10章 OSSIM資料庫 273
Q249 OSSIM資料庫有哪幾種,各有什麼作用? 273
Q250 採用SecureCRT訪問資料庫時出現亂碼,這是什麼原因引起的,如何
避免? 275
Q251 MySQL資料庫許可權的存儲機制是什麼? 276
Q252 如何讓OSSIM中的MySQL資料庫支持遠程訪問? 278
Q253 如何通過phpMyAdmin資料庫解決“Access denied for user 'root'@'localhost'(using password:YES)”報錯問題? 280
Q254 採用phpMyAdmin訪問資料庫時為什麼會出現亂碼? 282
Q255 如何在OSSIM伺服器上訪問資料庫?常見的資料庫操作命令包含哪些? 282
Q256 如何分屏顯示alienvault.alarm表中的內容? 283
Q257 如何查看OSSIM資料庫的大小? 283
Q258 OSSIM中的SQLite資料庫有什麼作用,它存儲在什麼位置? 284
Q259 RRDTool與資料庫MySQL之間有什麼區別? 284
Q260 如何將SQL檔案插入到OSSIM資料庫中? 284
Q261 如何把一個.sql.gz檔案導入到資料庫中? 285
Q262 如何最佳化資料庫中的表? 285
Q263 如何重置OSSIM資料庫? 286
Q264 如何恢復OSSIM資料庫的出廠設定? 287
Q265 影響OSSIM資料庫的性能因素有哪些? 288
Q266 如何利用MySQLReport監控資料庫性能? 288
Q267 如何設定OSSIM資料庫的自動備份時間?在什麼位置查看備份數據? 289
Q268 /etc/ossim/server/config.xml配置檔案記錄了哪些關鍵信息? 290
Q269 OSSIM系統中出現“MySQL:ERROR 1040:Too many connections”報錯提示時
如何處理? 291
Q270 如何用mytop監控MySQL資料庫? 292
Q271 如何遠程導出OSSIM資料庫的表結構? 293
Q272 在使用ossim-db命令時出現“Access denied for user 'root'@'localhost'(using password:NO)”提示,該如何解決? 293
Q273 如何模擬負載? 294
Q274 當MySQL進程的CPU使用率過高時,如何最佳化? 294
Q275 如何啟動OSSIM資料庫的慢查詢日誌? 295
Q276 如何使用mysqldump完整備份OSSIM資料庫? 296
Q277 如何用XtraBackup備份OSSIM資料庫? 296
Q278 如何用mysqlslap測試OSSIM資料庫? 297
Q279 當OSSIM系統資料庫發生損壞時,如何重建資料庫? 299
Q280 如何查看OSSIM系統的SIEM資料庫備份策略? 299
Q281 OSSIM系統出現acid表錯誤時如何處理? 299
Q282 升級過程中資料庫表意外損壞,該如何修復? 300
Q283 如何清理OSSIM資料庫? 301
Q284 存儲在資料庫中的資產IP位址被加密了嗎,如何查看該IP位址呢? 302
Q285 OSSIM系統中的Active Event Window(days)表示什麼含義,該值設定為多大
比較合適? 302
Q286 如何顯示acid_event表中的前5條記錄? 303
Q287 為OSSIM添加擴展資料庫時出現連線資料庫錯誤,該如何處理? 303
Q288 如何通過MONyog工具監控MySQL伺服器? 304
Q289 日誌中的IP位址在資料庫中採用何種形式存儲? 306
Q290 如何通過MySQL Workbench連線OSSIM資料庫? 307
附錄1 主要配置檔案注釋 315
附錄2 OSSIM 5 Web界面選單功能注釋 316
附錄3 終端控制台程式注釋 319
附錄4 關鍵字匯英漢對照 321
Q250 採用SecureCRT訪問資料庫時出現亂碼,這是什麼原因引起的,如何
避免? 275
Q251 MySQL資料庫許可權的存儲機制是什麼? 276
Q252 如何讓OSSIM中的MySQL資料庫支持遠程訪問? 278
Q253 如何通過phpMyAdmin資料庫解決“Access denied for user 'root'@'localhost'(using password:YES)”報錯問題? 280
Q254 採用phpMyAdmin訪問資料庫時為什麼會出現亂碼? 282
Q255 如何在OSSIM伺服器上訪問資料庫?常見的資料庫操作命令包含哪些? 282
Q256 如何分屏顯示alienvault.alarm表中的內容? 283
Q257 如何查看OSSIM資料庫的大小? 283
Q258 OSSIM中的SQLite資料庫有什麼作用,它存儲在什麼位置? 284
Q259 RRDTool與資料庫MySQL之間有什麼區別? 284
Q260 如何將SQL檔案插入到OSSIM資料庫中? 284
Q261 如何把一個.sql.gz檔案導入到資料庫中? 285
Q262 如何最佳化資料庫中的表? 285
Q263 如何重置OSSIM資料庫? 286
Q264 如何恢復OSSIM資料庫的出廠設定? 287
Q265 影響OSSIM資料庫的性能因素有哪些? 288
Q266 如何利用MySQLReport監控資料庫性能? 288
Q267 如何設定OSSIM資料庫的自動備份時間?在什麼位置查看備份數據? 289
Q268 /etc/ossim/server/config.xml配置檔案記錄了哪些關鍵信息? 290
Q269 OSSIM系統中出現“MySQL:ERROR 1040:Too many connections”報錯提示時
如何處理? 291
Q270 如何用mytop監控MySQL資料庫? 292
Q271 如何遠程導出OSSIM資料庫的表結構? 293
Q272 在使用ossim-db命令時出現“Access denied for user 'root'@'localhost'(using password:NO)”提示,該如何解決? 293
Q273 如何模擬負載? 294
Q274 當MySQL進程的CPU使用率過高時,如何最佳化? 294
Q275 如何啟動OSSIM資料庫的慢查詢日誌? 295
Q276 如何使用mysqldump完整備份OSSIM資料庫? 296
Q277 如何用XtraBackup備份OSSIM資料庫? 296
Q278 如何用mysqlslap測試OSSIM資料庫? 297
Q279 當OSSIM系統資料庫發生損壞時,如何重建資料庫? 299
Q280 如何查看OSSIM系統的SIEM資料庫備份策略? 299
Q281 OSSIM系統出現acid表錯誤時如何處理? 299
Q282 升級過程中資料庫表意外損壞,該如何修復? 300
Q283 如何清理OSSIM資料庫? 301
Q284 存儲在資料庫中的資產IP位址被加密了嗎,如何查看該IP位址呢? 302
Q285 OSSIM系統中的Active Event Window(days)表示什麼含義,該值設定為多大
比較合適? 302
Q286 如何顯示acid_event表中的前5條記錄? 303
Q287 為OSSIM添加擴展資料庫時出現連線資料庫錯誤,該如何處理? 303
Q288 如何通過MONyog工具監控MySQL伺服器? 304
Q289 日誌中的IP位址在資料庫中採用何種形式存儲? 306
Q290 如何通過MySQL Workbench連線OSSIM資料庫? 307
附錄1 主要配置檔案注釋 315
附錄2 OSSIM 5 Web界面選單功能注釋 316
附錄3 終端控制台程式注釋 319
附錄4 關鍵字匯英漢對照 321