《開源安全運維平台:ossim最佳實踐 》李晨光 著 清華大學出版社出版
內 容 簡 介
在傳統的異構網路環境中,運維人員往往利用各種複雜的監管工具來管理網路,由於缺乏一種整合安
全運維平台,當遇到故障時總是處於被動「救火」狀態,如何將資產管理、流量監控、漏洞管理、入侵監
測、合規管理等重要環節,通過開源軟體整合到統一的平台中,以實現安全事件關聯分析,可從本書介紹
的ossim 平台中找到答案。本書借助作者在ossim 領域長達10 年開發應用實踐經驗之上,以大量生動
例項闡述了基於外掛程式收集日誌並實現標準化,安全事件規範化分類,關聯分析的精髓,書中為讀者展示的
所有知識和例項均來自大型企業中複雜的生產環境,並針對各種難題給出解決方案。
全書共分三篇,10 章:第一篇(第1~2 章)主要介紹ossim 架構與工作原理、系統規劃、實施關鍵
要素和過濾分析siem 事件的要領。第二篇(第3~6 章)主要介紹ossim 所涉及的幾個後台資料庫,重
點強調安全事件分類聚合、提取流程、關聯分析演算法、snort 規則分析等技巧。第三篇(第7~10 章)主要
介紹日誌收集方法和標準化實現思路以及在ossim 中用hids/nids、netflow 抓包分析異常流量的方法,
深入分析了openvas 架構和指令碼分析方法。
本書可以作為開源安全技術研究人員、網路安全管理人員以及高校計算機專業師生學習參考使用。
本書的篇章結構
書的結構好比框架,而內容則是具體組成元素,本書採用了文字、圖表和範例等形式,
將ossim複雜的結構和工作流程直觀地展現給讀者。全書分為三部分,共10 章。
1. 基礎篇
第1章:本章從ossim 起源講起,介紹了目前運維人員現狀,逐步談到應用siem的必
要性,進而介紹ossim 架構與組成原理,另外還介紹了基於外掛程式的日誌採集思路,提出標
準化安全事件的全新理念,詳細分析了ossim的高可用架構與實現方法。
第2章:本章從ossim實施關鍵要素、安裝策略、硬體選型開始,深入分析單機部署,
分布式體系、感測器設定等重要安裝工作。分析安裝過程以**並茂的方式,指出了系統配
置過程,包括實體機、虛擬機器不同環境中的安裝方法及注意事項。最後重點分析了siem 事
件控制台的使用和事件過濾方法。
2. 提高篇
第3章:本章對於ossim 開發人員很有幫助,除了介紹ossim 資料庫組成、表結構,
以及系統遷移備份等技巧以外,還包括各種常見mysql故障等內容。
第4 章:本章從關聯分析基礎講起,逐步深入到ossim 安全事件提取過程,介紹了常
用的關聯分析演算法。還對報警事件的聚合原理做了詳細分析,並結合ossim 現狀採用多個
例項講解關聯規則和自定義策略的使用方法。
第5 章:本章主要介紹各種ossim 系統中的監控除錯工具的使用,以及系統瓶頸的診
斷方法。
第6 章:本章重點介紹snort 原理和預處理程式發揮的作用,包括snort 報**法。深
入分析snort 規則編寫在ossim中的應用技巧以及網路異常行為分析方法。
3. 實戰篇
第7 章:本章從日誌標準化和收集分析方法講起,詳細分析各種服務、網路裝置所產生
的日誌,包括apache、ftp、squid、dhcp等,並通過例項詳細介紹ossim外掛程式開發過程。
第8 章:本章講解netflow 進行異常流量分析的方法,包括netflow資料採集和過濾方
法,介紹了分布式環境中,利用netflow 監測異常流量的技巧,同時針對ossim 中ntop、
nagios、netflow 三種檢測工具的使用方法進行了對比。最後還介紹了cacti 和zabbix 第三
方開源監控軟體整合的方法。
第9章:本章從ossim控制管理中心角色許可權控制講起,全面介紹了ossim web ui的
結構,講解了ossec日誌分析工具的配置使用和agent的安裝方法。介紹了ossim中管理網
絡資產的例項,並對openvas掃瞄模組、指令碼以及規則做了深入分析。展示了多個利用ossim
進行高階攻擊檢測的例項,以及利用ossim進行合規管理和系統統一報表輸出的方法。
第10 章:本章主要講解基於web 方式下的抓包及資料報過濾方法,並採用該工具遠端
解決網路故障的方法,重點介紹了tshark、tcpdump 等抓包工具的高階使用方法,最後以乙個
典型ie 瀏覽器的0 day漏洞攻擊的例項來檢驗這種工具所發揮的作用。
基於OSSIM 的開源安全運維平台
基於ossim 的開源安全運維平台 乙個安全運維平台能否有效就要看收集資料的能力,如果資料來源都有缺失,那上層的關聯分析很可能會產生偏差。對於網路安全裝置而言,主要採集其安全日誌 包括報警 和裝置執行狀態資訊。這本ossim最佳實踐向您展示了其基於外掛程式的強大資料採集和處理能力。然而目前市場上的安...
基於OSSIM 的開源安全運維平台
基於ossim 的開源安全運維平台 乙個安全運維平台能否有效就要看收集資料的能力,如果資料來源都有缺失,那上層的關聯分析很可能會產生偏差。對於網路安全裝置而言,主要採集其安全日誌 包括報警 和裝置執行狀態資訊。這本ossim最佳實踐向您展示了其基於外掛程式的強大資料採集和處理能力。然而目前市場上的安...
容器運維最佳實踐
本文介紹了一組使容器更易於運維的最佳實踐。這些實踐涉及安全性 監控和日誌記錄等廣泛的主題,旨在使應用程式更容易在kubernetes engine 和一般的容器中執行。這裡討論的許多實踐都受到12因子方法的啟發 12因素方法是乙個構建雲原生應用程式的優質資源。這些最佳實踐的重要等級不一樣。例如,對於...