计算机 类型
可以朗读 语音朗读
223千字 字数
2019-09-01 发行日期
展开全部

主编推荐语

OSSIM运维故障速查手册:安全事件处理与异常流量分析

内容简介

本书精选了OSSIM日常运维操作中总结的许多疑难问题,是OSSIM运维工程师故障速查手册,专门针对OSSIM故障解答来编写。本书主要介绍重点强调安全事件分类聚合、提取流程、关联分析算法、Snort规则分析等技巧,介绍日志收集方法和标准化实现思路以及在OSSIM中用HIDS/NIDS、Netflow抓包分析异常流量的方法,深入分析了Openvas架构和脚本分析方法。

目录

  • 版权信息
  • 内容提要
  • 作者简介
  • 前言
  • 资源与支持
  • 第1章 入侵检测Snort与Suricata
  • Q001 Snort检测规则存储在何处?如果触发规则Snort将会产生几种动作类型?
  • Q002 Snort 2.9版本中主要有哪些预处理插件,各有什么功能?
  • Q003 如何利用Scapy测试Snort规则?
  • Q004 Snort有几种工作模式,各有什么特点?
  • Q005 举例说明Snort采用什么规则检测可疑载荷?
  • Q006 Snort如何检测Chargen/Echo DoS攻击?
  • Q007 如何使用Snort的Packet logger模式将捕获到的信息记录到磁盘?
  • Q008 在同一个网段内如何部署多个IDS?
  • Q009 手动编译安装Snort时,需要做哪些准备工作?
  • Q010 如何在Linux下编译安装Snort?
  • Q011 如何将Snort报警存入MySQL数据库?
  • Q012 如何搭建基于BASE的可视化入侵检测系统?
  • Q013 OSSIM的PHP IDS组件采用什么方法来接收和分析数据?
  • Q014 IP碎片攻击对Snort会产生哪些危害?
  • Q015 在Snort规则中,msg、content、threshold、reference选项有何含义?
  • Q016 OSSIM中如何管理引用类型?
  • Q017 外部引用在OSSIM安全事件管理中起到什么作用?
  • Q018 OSSIM5中的Suricata支持PF_RING吗?
  • Q019 如何利用DARPA 2000数据集重构攻击场景?
  • Q020 在Snort中如何使用参数查看数据链路层的包头信息?
  • Q021 Snort的输出插件分为几类?各有什么作用?
  • Q022 sid-msg.map和gen-msg.map有什么区别?
  • Q023 在OSSIM 4.12检测器中Snort状态为DOWN,而Suricata为UP,这种状态正常吗?它们能同时为状态UP吗?
  • Q024 网络主动探测与被动探测有什么区别?
  • Q025 如何找出/var/log/suricata目录下24小时内访问过的日志并且找到后立即删除?
  • Q026 Snort传感器部署在企业网的什么位置?
  • Q027 Suricata与Snort有何区别?
  • Q028 如何调整Suricata同时处理的数据包的数量?
  • Q029 如何设置Suricata的运行模式?
  • Q030 Suricata事件输出分为哪几种?如何记录匹配的信息?
  • Q031 当Suricata检测到可疑数据包时,以二进制格式将其存储到什么文件?通过什么程序读取?
  • Q032 Suricata通过什么参数记录真实客户机的IP?
  • Q033 若让Suricata记录所有HTTP日志,则该如何修改配置文件?
  • Q034 如何保存经Suricata检测的所有数据包?
  • Q035 如何启用Suricata服务的Debug日志?
  • Q036 如何将Suricata的报警信息输出到Syslog文件中?
  • Q037 数据包在Suricata检测引擎中是如何匹配的?
  • Q038 Suricata检测引擎的配置属性分为几种?
  • Q039 在多核心OSSIM服务器上如何改善Suricata处理性能?
  • Q040 在高速复杂的网络环境中,如何提高Suricata规则检测时的数据分片传输效率?
  • Q041 在Suricata的stream引擎中对数据包重组需要占用CPU资源,为了避免无限制地重组数据包,应该修改什么参数对其进行限制?
  • Q042 Suricata的日志文件suricata.log保存在什么路径中?该路径由什么配置文件定义?
  • Q043 OSSIM下Suricata的抓包方式采用AF_PACKET还是PF_RING?
  • Q044 如何定制Suricata规则?
  • Q045 如何更新AlienVault NIDS规则和签名?
  • Q046 Snort可作为IPS使用吗?如何部署?
  • Q047 在OSSIM 3中,PF_RING有哪几种工作模式?
  • Q048 如何启用新的ET规则?
  • Q049 如何在OSSIM系统中配置无线入侵系统?
  • Q050 OSSIM平台上的iptables模块在什么位置?
  • Q051 举例说明OSSIM如何发现Nmap扫描行为。
  • Q052 AIDE有什么作用?
  • Q053 如何在CentOS Linux中安装AIDE?
  • Q054 如何在OSSIM中安装AIDE?
  • 本章测试
  • 第2章 基于主机的入侵检测——OSSEC
  • Q055 OSSEC Agent主要由哪些进程组成,各有什么
  • Q056 简述OSSEC Server/Agent工作流程及其关键进程的作用。
  • Q057 什么是Agent和Agentless监控?
  • Q058 如何测试OSSEC规则?
  • Q059 当因磁盘空间不足而造成OSSEC服务故障时,
  • Q060 分布式环境下OSSEC和Agent是如何通信的?
  • Q061 在Linux环境中如何安装OSSEC Agent?
  • Q062 Linux下安装OSSEC Agent报错时应如何解决?
  • Q063 Nmap扫描和OpenVAS扫描有什么区别?
  • Q064 OSSEC事件报警处理流程是什么?
  • Q065 如何在Windows 8环境下安装OSSEC Agent?
  • Q066 用于配置OSSEC Agent的文件位于何处?
  • Q067 当OSSEC Agent无法连接服务器时,该如何处理?
  • Q068 在Windows Server 2012中如何安装OSSEC Agent?
  • Q069 如何在Web中查看OSSEC Agent状态?
  • Q070 OSSEC日志存储在什么位置?
  • Q071 Web UI中OSSEC调用规则的后台文件位于何处?
  • Q072 如何监听OSSEC Server和Agent之间的数据通信?
  • Q073 Windows平台中已安装了OSSEC Agent,但在OSSIM服务器中没有接收到日志,这怎么解决?
  • Q074 OSSEC客户端无法连接到OSSEC服务器时,该如何处理?
  • Q075 /var/log/suricata/目录下JSON文件中的各个字段表示什么含义?
  • Q076 在OSSEC输出插件中的特定字符表示什么含义?
  • 本章测试
  • 第3章 漏洞扫描OpenVAS
  • Q077 OpenVAS的扫描日志存放在何处?
  • Q078 CVE、NVD、OSVDB、BugTraq、SecurityFocus、CNCVE表示什么含义?
  • Q079 OpenVAS主要进程和配置文件有哪些?
  • Q080 OpenVAS脚本采用什么语言编写?请描述脚本加载过程。
  • Q081 OpenVAS扫描初期如何加载脚本?
  • Q082 漏洞扫描器中的脚本如何对目标进行安全检测?
  • Q083 OpenVAS的扫描器openvas-scanner调用的私钥证书文件位于何处,证书由什么程序创建?
  • Q084 OpenVAS扫描过程分为几个阶段,服务器端有几个主要模块,它们之间工作流程如何?
  • Q085 OpenVAS扫描器工作状态出现Failed提示,表示什么含义?
  • Q086 用OpenVAS进行扫描时出现故障如何排除?
  • Q087 在什么情况下应终止漏洞扫描任务?
  • Q088 Nessus与OpenVAS的扫描效果有什么区别?
  • Q089 OSSIM使用OpenVAS扫描系统时,为何还保留Nessus规则?
  • Q090 使用alienvault-update命令对系统升级之后出现OpenVAS无法正常工作的情况,如何解决?
  • Q091 操作过程中无法连接到漏洞扫描器,这种故障该如何
  • Q092 漏洞扫描时间过短会发生哪些问题?
  • Q093 扫描资源池之外的机器会出现什么情况,如何处理?
  • Q094 如何手动更新CVE库?
  • Q095 OSSIM系统中设置多长时间的漏洞扫描周期合适?
  • Q096 OpenVAS导出报告中针对漏洞分类使用了几种颜色,各表示什么含义?
  • Q097 X-Scan、Fluxay、Nessus及OpenVAS这几款扫描软件有何区别?
  • 本章测试
  • 第4章 Memcache、RabbitMQ与Redis协同工作
  • Q098 为何单线程的Redis速度还能这么快?
  • Q099 Memcache的作用是什么?
  • Q100 如何增大Redis运行内存?
  • Q101 如何安装MemCached监控探针?
  • Q102 OSSIM为什么采用消息中间件?
  • Q103 RabbitMQ在OSSIM系统中起到什么作用?
  • Q104 如何查询OSSIM服务器上的消息队列以及连接信息?
  • Q105 如何重置RabbitMQ节点?
  • Q106 如何查看已启用的RabbitMQ插件?
  • Q107 OSSIM中的RabbitMQ如何打开Web管理后台?
  • Q108 OSSIM为何要引入Redis内存数据库,采用key/value存储?
  • Q109 OSSIM服务器使用RabbitMQ有何优势?
  • Q110 如何查看Redis服务器实时转储收到的请求?
  • Q111 如何进入或退出Erlang Shell界面?
  • 本章测试
  • 第5章 日志采集与分析
  • Q112 在OSSIM平台上日志可视化体现在何处?
  • Q113 iptables日志有几种记录形式?各有什么区别?
  • Q114 如何将iptables日志转发到指定文件中?
  • Q115 如何在Web界面中查看iptables事件?
  • Q116 如何发现日志时间被篡改?
  • Q117 为什么使用GNS3?
  • Q118 在实验环境中使用GNS3有哪些短板?
  • Q119 GNS3如何模拟3层交换机?
  • Q120 如何将GNS3与本地网卡桥接?
  • Q121 如何用OSSIM采集Squid日志?
  • Q122 如何通过Snare将Windows事件转发至Linux日志采集服务器?
  • Q123 如何用Syslog-Slogger测试Syslog服务器?
  • Q124 如何使用logger发送测试日志?
  • Q125 如何模拟Syslog流量?
  • Q126 WMI与Snare有什么区别?
  • Q127 OSSIM日志处理流程是什么?
  • Q128 原始安全事件需要具备哪些属性?
  • Q129 原始日志和归一化事件有什么不同?
  • Q130 将Windows日志转换为Syslog日志的工具有哪些?
  • Q131 如何选择合适的日志级别?
  • Q132 有哪些工具可以将Windows日志转换为Syslog?
  • Q133 如何利用Evtsys工具采集Windows日志并转发到Syslog服务器?
  • Q134 如何收集Apache日志?
  • Q135 为什么在Zabbix服务器上启用Syslog消息转发后,服务器会出现卡顿的现象?
  • Q136 如何利用Rsyslog协议采集日志?
  • Q137 如何用Rsyslog将日志发送到不同的日志收集器中?
  • Q138 如何在OSSIM中启用SNMP服务?
  • Q139 如何让Linux客户机通过Syslog将日志发送到OSSIM服务器?
  • Q140 alerts.log文件中突然产生大量日志,应如何处理?
  • Q141 Syslog中每条消息的最大长度是多少?
  • Q142 在OSSIM企业版中如何从Web UI中导出日志?
  • Q143 安全审计要求日志保存时间是多久?
  • Q144 如何通过WMI方式接收日志?
  • Q145 如何将VsFTP日志发送到OSSIM?
  • Q146 如何将客户端的sudo日志重定向到服务器端指定的
  • 本章测试
  • 第6章 关联分析技术
  • Q147 OSSIM的关联分析如何工作?
  • Q148 安全事件关联分析的目的是什么?
  • Q149 安全事件归一化处理的步骤是什么?
  • Q150 如何通过关联分析来判断攻击?
  • Q151 OSSIM如何将网络安全事件进行分类?
  • Q152 举例说明OSSIM关联分析指令的结构?
  • Q153 如何新建关联指令?
  • Q154 如何查看交叉关联规则?
  • Q155 在交叉关联规则中显示数据源及插件信息时为什么比较慢?
  • Q156 RISK、PRIORITY、RELIABILITY这3个参数在关联分析时有何关联?
  • Q157 在仪表盘中,Risk显示的Risk Metric中C、A值表示什么含义?
  • Q158 在评估主机风险时,事件属性Risk的C、A值会发生哪些变化?这些变化反映出什么问题?
  • Q159 OSSEC与Snort事件能合并吗?
  • Q160 如何聚合OSSEC报警信息?
  • Q161 如何判断OSSEC产生的同类报警?
  • Q162 如何在Web UI中配置关联指令?
  • Q163 OSSIM中关联规则的基本属性是什么,各有何含义?
  • Q164 SIEM控制台如何将不同数据源的事件进行聚合处理?
  • Q165 OSSIM关联规则树由什么构成?含义如何?
  • Q166 OSSIM关联分析引擎分为几种类型?可靠性和风险值在里面起到了什么作用?
  • Q167 如何理解安全事件的交叉关联分析?
  • Q168 风险评估三要素是什么?它们之间的关系如何?
  • Q169 为什么说可靠性的值是动态变化的?
  • Q170 如果内网一台邮件服务器的资产值设定为5,而优先级和可靠性的默认值设置为3,那么这台服务器的风险值为多少?
  • Q171 OSSIM关联引擎有何作用,工作过程是怎样的?
  • 本章测试
  • 第7章 资产管理
  • Q172 OSSIM平台中需要对资产的哪些特征进行监控?
  • Q173 如何为资产赋值?
  • Q174 OSSIM中资产列表位于什么位置?
  • Q175 资产扫描有6个选项,各表示什么含义?
  • Q176 如何设置Nmap扫描周期?
  • Q177 为什么扫描192.168.1.0/24网段内的资产时,结果中却包含其他网段的资产信息?
  • Q178 如何通过CSV文件导入资产信息?
  • Q179 如何设置OCS,使其进行周期性检测?
  • Q180 调节资产的可靠性值会对风险产生什么影响?
  • Q181 如何在OSSIM 5的Web UI中批量删除资产?
  • Q182 在OSSIM中进行资产扫描时,如果定义网段不当则会出现“Scanning network (172.16.0.0/12) with local Nmap,please wait...”提示,并且扫描停止。这一问题如何解决?
  • Q183 OSSIM中Prads程序的作用是什么?
  • Q184 Prads启动失败如何解决?
  • Q185 当监控的资产过多时,OSSIM系统页面的刷新为什么非常慢?
  • Q186 如何为资产启用插件?
  • Q187 在OSSIM中安装iTop的详细步骤是什么?
  • Q188 如何将OSSIM产生的报警转发到iTop的CMDB?
  • Q189 如何限制iTop上传文件的大小?
  • Q190 如何在外网访问iTop站点?
  • Q191 在iTop安装过程中若出现“iTop is read-only iTop is temporarily frozen,please wait…”系统提示,该如何处理?
  • 本章测试
  • 第8章 网络流量与主机高可用监控
  • Q192 在OSSIM中Monit与Nagios服务有什么区别?
  • Q193 RRDTool代表什么含义,它在OSSIM中起到什么作用?
  • Q194 RRDTool绘图流程包括哪些内容?
  • Q195 如何用Nagios监控MySQL?
  • Q196 如何在命令行下使用Nagios插件?
  • Q197 如何通过Nagios插件来检测负载?
  • Q198 如何利用Nagios插件来检查交换分区和内存?
  • Q199 添加Nagios来监控主机后,打开Web UI时报错该如何处理?
  • Q200 Nagios中显示的返回码包括哪几种,各表示什么含义?
  • Q201 Ntop流量采集方式有什么特点?
  • Q202 网络中数据包大小变化的背后隐藏了哪些玄机?Ntop如何统计流量的变化?
  • Q203 用Ntop分析网络数据时,需要在交换机上设置端口镜像吗?
  • Q204 如何重置Ntop的admin密码?
  • Q205 当OSSIM系统中存在多个传感器时,如何选择Ntop的默认传感器?
  • Q206 打开Ntop时出现“Sensor not available”提示,应如何处理?
  • Q207 打开Ntop主界面时速度缓慢,如何处理?
  • Q208 如何设置Ntop中的流向统计功能?
  • Q209 若在分布式系统中为传感器设置多块网卡,使用Ntop时提示“Sensor not available please select for the above dropdown”,该如何处理?
  • Q210 在Ntop中设置Local Network Traffic Map时出现错误提示,应如何处理?
  • Q211 如何在OSSIM中安装Ntopng?
  • Q212 蠕虫爆发时,流量、协议以及数据包大小会发生哪些异常,Ntop如何感知这些变化?
  • Q213 如何监控OSSIM服务器和传感器中的磁盘、网络、系统进程及Postfix?
  • Q214 如何通过Ntop显示受控服务器的IP流量?
  • Q215 如何采用phpMyAdmin工具监控OSSIM服务器的流量?
  • 本章测试
  • 第9章 NetFlow流量分析
  • Q216 OSSIM服务器中的NetFlow模块由几部分组成,分别有什么作用?
  • Q217 nfdump模块由哪些进程组成,各有什么功能?
  • Q218 NetFlow数据流存储路径定义在什么文件中?修改配置后若生效该如何处理?
  • Q219 如何在传感器中启用NetFlow功能?
  • Q220 在OSSIM分布式系统中,NetFlow数据存储在服务器端还是传感器端?
  • Q221 OSSIM系统中如何分析NetFlow数据包?
  • Q222 “LIST LAST 500 SESSIONS”“TOP 10 SRC IPS”“TOP 10 DST IPS”等参数表示什么含义?
  • Q223 分布式环境下如何监测NetFlow数据流?
  • Q224 如何清理NetFlow采集的数据?
  • Q225 NetFlow采集的抽样数据可保存多长时间?
  • Q226 如何通过命令行读取NetFlow数据?
  • Q227 NetFlow数据集能在Web UI的仪表盘中显示吗?
  • Q228 在分布式部署的OSSIM环境中,传感器如何区别来自不同传感器的NetFlow数据?
  • Q229 在OSSIM平台上利用NetFlow采集路由器流量会对路由器的工作造成影响吗?
  • Q230 在OSSIM平台上将NetFlow数据与谷歌地图结合有什么优点?
  • Q231 NetFlow能否检测出SYN泛洪攻击?
  • Q232 在nfsend进程中出现“Connection refused”报错时该如何处理?
  • Q233 OSSIM如何分析网络异常行为?
  • Q234 sFlow协议有什么功能?哪些软件可以分析sFlow的数据包?
  • Q235 sFlow与NetFlow的协议有何区别?
  • Q236 NetFlow接收不到流数据该如何处理?
  • 本章测试
  • 第10章 OSSIM前端汉化技巧
  • Q237 OSSIM 5.3中的Web UI菜单调用源码位于何处?
  • Q238 locale参数的作用是什么?如何查询和修改locale?
  • Q239 如何汉化OSSIM中的Web UI菜单?
  • Q240 在汉化OSSIM时需要修改源代码吗?
  • Q241 对于汉化后的Web UI界面,若使用IE 10浏览器应该如何选择编码方式才能显示中文?
  • Q242 在OSSIM终端界面上如何显示和输入中文字符?
  • Q243 Windows环境下使用什么工具编辑PHP文件?需要注意些什么?
  • Q244 用SecureCRT远程连接到OSSIM系统,当直接修改汉化后的PHP代码时,浏览器中显示都是乱码,如何处理?
  • Q245 如何修改Favicon图标?
  • Q246 如何修改Logo图标?
  • Q247 如何修改Web UI中的Title标识?
  • Q248 如何修改选项卡名称?
  • Q249 如何更换OSSIM系统的Web UI背景?
  • Q250 OSSIM系统中的ADOdb包有什么作用?它的配置文件在什么位置?
  • Q251 在OSSIM Web UI仪表盘中,雷达图主要显示传感器收集事件的数量。在该雷达图中,可以描述多少个不同的传感器的信息?
  • Q252 如何将Loading Widget修改成中文字符?
  • Q253 如何修改OSSIM的Web UI菜单?
  • Q254 如何修改Web UI仪表盘的名称?
  • Q255 如何修改Alarm数据的300s刷新时间?
  • Q256 OSSIM中的Web UI如何实现动态加载页面?
  • Q257 如何将UTC(世界标准时间)转化为本地时间?
  • Q258 jQuery插件中的/usr/shre/ossim/www/js/geo_
  • Q259 脚本jquery.dynatree.js有什么作用?若发生故障会影响Web UI的哪些功能?
  • 本章测试
  • 第11章 压力测试及性能监控
  • Q260 如何利用Netperf测试网络性能?
  • Q261 如何使用I/O分析工具dstat?
  • Q262 如何用sysbench测试数据库?
  • Q263 如何用dd工具测试系统I/O性能?
  • Q264 如何使用OSSIM自带的性能测试工具?
  • Q265 如何测试系统的IOPS?
  • Q266 当OSSIM服务器产生大量套接字连接时,如何查看全局统计信息?
  • Q267 OSSIM系统空间不足时如何查找大文件?
  • Q268 如何检测OSSIM系统的整体状态?
  • Q269 如何使用图形化监控工具nmon?
  • Q270 如何用atop监控Linux系统资源和进程?
  • Q271 如何找出最消耗内存的进程?
  • Q272 如何测试OSSIM Web UI页面的响应速度?
  • Q273 如何对OSSIM系统目录的大小进行排序?
  • Q274 如何使用OSSIM的流量监控工具iftop?
  • Q275 如何利用Apache自带的ab工具测试OSSIM的响应速度?
  • Q276 如何详细了解OSSIM系统进程的网络带宽占用情况?
  • Q277 OSSIM下如何使用nload软件监控流量?
  • Q278 如何对OSSIM系统进行压力测试?
  • Q279 OSSIM中如何应用hping3进行测试?
  • Q280 OSSIM下如何安装工具Knocker?
  • Q281 OSSIM下如何安装sendip工具?
  • Q282 OSSIM中如何安装Smokeping?
  • Q283 如何在OSSIM Server上安装Cacti?
  • Q284 如何在OSSIM传感器上安装Zabbix?
  • Q285 如何利用Munin工具进行性能监控?
  • Q286 如何安装Glances工具?
  • 本章测试
  • 第12章 数据抓包分析技巧
  • Q287 如何预防网络嗅探?
  • Q288 SPAN端口镜像技术有何局限?
  • Q289 采集数据流分为几类,各有什么特点?
  • Q290 通过Traffic Capture抓包的数据存放在什么位置?
  • Q291 若在千兆网络环境中存储30天的完整抓包数据,需要多大的硬盘空间?
  • Q292 协议分析包括哪些内容,常用的分析工具有哪些?
  • Q293 如何用tcpdump监听由传感器发送到端口的数据包?
  • Q294 如何用tcpdump获取Syslog数据包?
  • Q295 如何将tcpdump抓包存入文件?
  • Q296 采用OSSIM监控千兆网络环境会遇到哪些问题?
  • Q297 使用SecureCRT远程连接到OSSIM进行抓包,如何显示从网卡eth0获取的TCP 22端口之外的全部流量?
  • Q298 如何利用Traffic Capture远程排除网络故障?
  • Q299 在使用OSSIM Web UI的Traffic Capture时提示“This traffic capture is empty”,应如何处理?
  • Q300 Traffic Capture分析数据包时如何对协议进行过滤?
  • Q301 Traffic Capture数据包捕获的时间范围是多少?
  • Q302 Traffic Capture数据包过滤技巧有哪些?
  • 本章测试
  • 附录 Snort安装包用途及安装路线
展开全部

评分及书评

评分不足
1个评分

出版方

人民邮电出版社

人民邮电出版社是工业和信息化部主管的大型专业出版社,成立于1953年10月1日。人民邮电出版社坚持“立足信息产业、面向现代社会、传播科学知识、服务科教兴国”,致力于通信、计算机、电子技术、教材、少儿、经管、摄影、集邮、旅游、心理学等领域的专业图书出版。