《开源安全运维平台:OSSIM最佳实践》内容简介
《開(kāi)源安全運(yùn)維平臺(tái):OSSIM最佳實(shí)踐 》李晨光 著? 清華大學(xué)出版社出版
內(nèi) 容 簡(jiǎn) 介
在傳統(tǒng)的異構(gòu)網(wǎng)絡(luò)環(huán)境中,運(yùn)維人員往往利用各種復(fù)雜的監(jiān)管工具來(lái)管理網(wǎng)絡(luò),由于缺乏一種集成安
全運(yùn)維平臺(tái),當(dāng)遇到故障時(shí)總是處于被動(dòng)“救火”狀態(tài),如何將資產(chǎn)管理、流量監(jiān)控、漏洞管理、入侵監(jiān)
測(cè)、合規(guī)管理等重要環(huán)節(jié),通過(guò)開(kāi)源軟件集成到統(tǒng)一的平臺(tái)中,以實(shí)現(xiàn)安全事件關(guān)聯(lián)分析,可從本書(shū)介紹
的OSSIM 平臺(tái)中找到答案。本書(shū)借助作者在OSSIM 領(lǐng)域長(zhǎng)達(dá)10 年開(kāi)發(fā)應(yīng)用實(shí)踐經(jīng)驗(yàn)之上,以大量生動(dòng)
實(shí)例闡述了基于插件收集日志并實(shí)現(xiàn)標(biāo)準(zhǔn)化,安全事件規(guī)范化分類,關(guān)聯(lián)分析的精髓,書(shū)中為讀者展示的
所有知識(shí)和實(shí)例均來(lái)自大型企業(yè)中復(fù)雜的生產(chǎn)環(huán)境,并針對(duì)各種難題給出解決方案。
全書(shū)共分三篇,10 章:第一篇(第1~2 章)主要介紹OSSIM 架構(gòu)與工作原理、系統(tǒng)規(guī)劃、實(shí)施關(guān)鍵
要素和過(guò)濾分析SIEM 事件的要領(lǐng)。第二篇(第3~6 章)主要介紹OSSIM 所涉及的幾個(gè)后臺(tái)數(shù)據(jù)庫(kù),重
點(diǎn)強(qiáng)調(diào)安全事件分類聚合、提取流程、關(guān)聯(lián)分析算法、Snort 規(guī)則分析等技巧。第三篇(第7~10 章)主要
介紹日志收集方法和標(biāo)準(zhǔn)化實(shí)現(xiàn)思路以及在OSSIM 中用HIDS/NIDS、NetFlow 抓包分析異常流量的方法,
深入分析了OpenVAS 架構(gòu)和腳本分析方法。
本書(shū)可以作為開(kāi)源安全技術(shù)研究人員、網(wǎng)絡(luò)安全管理人員以及高校計(jì)算機(jī)專業(yè)師生學(xué)習(xí)參考使用。
本書(shū)的篇章結(jié)構(gòu)
書(shū)的結(jié)構(gòu)好比框架,而內(nèi)容則是具體組成元素,本書(shū)采用了文字、圖表和范例等形式,
將OSSIM復(fù)雜的結(jié)構(gòu)和工作流程直觀地展現(xiàn)給讀者。全書(shū)分為三部分,共10 章。
1. 基礎(chǔ)篇
第1章:本章從OSSIM 起源講起,介紹了目前運(yùn)維人員現(xiàn)狀,逐步談到應(yīng)用SIEM的必
要性,進(jìn)而介紹OSSIM 架構(gòu)與組成原理,另外還介紹了基于插件的日志采集思路,提出標(biāo)
準(zhǔn)化安全事件的全新理念,詳細(xì)分析了OSSIM的高可用架構(gòu)與實(shí)現(xiàn)方法。
第2章:本章從OSSIM實(shí)施關(guān)鍵要素、安裝策略、硬件選型開(kāi)始,深入分析單機(jī)部署,
分布式體系、傳感器設(shè)置等重要安裝工作。分析安裝過(guò)程以圖文并茂的方式,指出了系統(tǒng)配
置過(guò)程,包括實(shí)體機(jī)、虛擬機(jī)不同環(huán)境中的安裝方法及注意事項(xiàng)。最后重點(diǎn)分析了SIEM 事
件控制臺(tái)的使用和事件過(guò)濾方法。
2. 提高篇
第3章:本章對(duì)于OSSIM 開(kāi)發(fā)人員很有幫助,除了介紹OSSIM 數(shù)據(jù)庫(kù)組成、表結(jié)構(gòu),
以及系統(tǒng)遷移備份等技巧以外,還包括各種常見(jiàn)MySQL故障等內(nèi)容。
第4 章:本章從關(guān)聯(lián)分析基礎(chǔ)講起,逐步深入到OSSIM 安全事件提取過(guò)程,介紹了常
用的關(guān)聯(lián)分析算法。還對(duì)報(bào)警事件的聚合原理做了詳細(xì)分析,并結(jié)合OSSIM 現(xiàn)狀采用多個(gè)
實(shí)例講解關(guān)聯(lián)規(guī)則和自定義策略的使用方法。
第5 章:本章主要介紹各種OSSIM 系統(tǒng)中的監(jiān)控調(diào)試工具的使用,以及系統(tǒng)瓶頸的診
斷方法。
第6 章:本章重點(diǎn)介紹Snort 原理和預(yù)處理程序發(fā)揮的作用,包括Snort 報(bào)警方法。深
入分析Snort 規(guī)則編寫(xiě)在OSSIM中的應(yīng)用技巧以及網(wǎng)絡(luò)異常行為分析方法。
3. 實(shí)戰(zhàn)篇
第7 章:本章從日志標(biāo)準(zhǔn)化和收集分析方法講起,詳細(xì)分析各種服務(wù)、網(wǎng)絡(luò)設(shè)備所產(chǎn)生
的日志,包括Apache、FTP、Squid、DHCP等,并通過(guò)實(shí)例詳細(xì)介紹OSSIM插件開(kāi)發(fā)過(guò)程。
第8 章:本章講解NetFlow 進(jìn)行異常流量分析的方法,包括NetFlow數(shù)據(jù)采集和過(guò)濾方
法,介紹了分布式環(huán)境中,利用NetFlow 監(jiān)測(cè)異常流量的技巧,同時(shí)針對(duì)OSSIM 中Ntop、
Nagios、NetFlow 三種檢測(cè)工具的使用方法進(jìn)行了對(duì)比。最后還介紹了Cacti 和Zabbix 第三
方開(kāi)源監(jiān)控軟件集成的方法。
第9章:本章從OSSIM控制管理中心角色權(quán)限控制講起,全面介紹了OSSIM Web UI的
結(jié)構(gòu),講解了OSSEC日志分析工具的配置使用和Agent的安裝方法。介紹了OSSIM中管理網(wǎng)
絡(luò)資產(chǎn)的實(shí)例,并對(duì)OpenVAS掃描模塊、腳本以及規(guī)則做了深入分析。展示了多個(gè)利用OSSIM
進(jìn)行高級(jí)攻擊檢測(cè)的實(shí)例,以及利用OSSIM進(jìn)行合規(guī)管理和系統(tǒng)統(tǒng)一報(bào)表輸出的方法。
第10 章:本章主要講解基于Web 方式下的抓包及數(shù)據(jù)包過(guò)濾方法,并采用該工具遠(yuǎn)程
解決網(wǎng)絡(luò)故障的方法,重點(diǎn)介紹了tshark、tcpdump 等抓包工具的高級(jí)使用方法,最后以一個(gè)
典型IE 瀏覽器的0 day漏洞攻擊的實(shí)例來(lái)檢驗(yàn)這種工具所發(fā)揮的作用。
總結(jié)
以上是生活随笔為你收集整理的《开源安全运维平台:OSSIM最佳实践》内容简介的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: zookeeper指北
- 下一篇: 手把手:用OpenCV亲手给小扎、Mus