《開源安全運維平臺：OSSIM最佳實踐 》李晨光 著? 清華大學(xué)出版社出版

內(nèi) 容 簡 介
在傳統(tǒng)的異構(gòu)網(wǎng)絡(luò)環(huán)境中，運維人員往往利用各種復(fù)雜的監(jiān)管工具來管理網(wǎng)絡(luò)，由于缺乏一種集成安
全運維平臺，當(dāng)遇到故障時總是處于被動“救火”狀態(tài)，如何將資產(chǎn)管理、流量監(jiān)控、漏洞管理、入侵監(jiān)
測、合規(guī)管理等重要環(huán)節(jié)，通過開源軟件集成到統(tǒng)一的平臺中，以實現(xiàn)安全事件關(guān)聯(lián)分析，可從本書介紹
的OSSIM 平臺中找到答案。本書借助作者在OSSIM 領(lǐng)域長達10 年開發(fā)應(yīng)用實踐經(jīng)驗之上，以大量生動
實例闡述了基于插件收集日志并實現(xiàn)標準化，安全事件規(guī)范化分類，關(guān)聯(lián)分析的精髓，書中為讀者展示的
所有知識和實例均來自大型企業(yè)中復(fù)雜的生產(chǎn)環(huán)境，并針對各種難題給出解決方案。

全書共分三篇，10 章：第一篇（第1~2 章）主要介紹OSSIM 架構(gòu)與工作原理、系統(tǒng)規(guī)劃、實施關(guān)鍵
要素和過濾分析SIEM 事件的要領(lǐng)。第二篇（第3~6 章）主要介紹OSSIM 所涉及的幾個后臺數(shù)據(jù)庫，重
點強調(diào)安全事件分類聚合、提取流程、關(guān)聯(lián)分析算法、Snort 規(guī)則分析等技巧。第三篇（第7~10 章）主要
介紹日志收集方法和標準化實現(xiàn)思路以及在OSSIM 中用HIDS/NIDS、NetFlow 抓包分析異常流量的方法，
深入分析了OpenVAS 架構(gòu)和腳本分析方法。

本書可以作為開源安全技術(shù)研究人員、網(wǎng)絡(luò)安全管理人員以及高校計算機專業(yè)師生學(xué)習(xí)參考使用。

本書的篇章結(jié)構(gòu)

書的結(jié)構(gòu)好比框架，而內(nèi)容則是具體組成元素，本書采用了文字、圖表和范例等形式，
將OSSIM復(fù)雜的結(jié)構(gòu)和工作流程直觀地展現(xiàn)給讀者。全書分為三部分，共10 章。

1. 基礎(chǔ)篇

第1章：本章從OSSIM 起源講起，介紹了目前運維人員現(xiàn)狀，逐步談到應(yīng)用SIEM的必
要性，進而介紹OSSIM 架構(gòu)與組成原理，另外還介紹了基于插件的日志采集思路，提出標
準化安全事件的全新理念，詳細分析了OSSIM的高可用架構(gòu)與實現(xiàn)方法。
第2章：本章從OSSIM實施關(guān)鍵要素、安裝策略、硬件選型開始，深入分析單機部署，
分布式體系、傳感器設(shè)置等重要安裝工作。分析安裝過程以圖文并茂的方式，指出了系統(tǒng)配
置過程，包括實體機、虛擬機不同環(huán)境中的安裝方法及注意事項。最后重點分析了SIEM 事
件控制臺的使用和事件過濾方法。

2. 提高篇

第3章：本章對于OSSIM 開發(fā)人員很有幫助，除了介紹OSSIM 數(shù)據(jù)庫組成、表結(jié)構(gòu)，
以及系統(tǒng)遷移備份等技巧以外，還包括各種常見MySQL故障等內(nèi)容。
第4 章：本章從關(guān)聯(lián)分析基礎(chǔ)講起，逐步深入到OSSIM 安全事件提取過程，介紹了常
用的關(guān)聯(lián)分析算法。還對報警事件的聚合原理做了詳細分析，并結(jié)合OSSIM 現(xiàn)狀采用多個
實例講解關(guān)聯(lián)規(guī)則和自定義策略的使用方法。
第5 章：本章主要介紹各種OSSIM 系統(tǒng)中的監(jiān)控調(diào)試工具的使用，以及系統(tǒng)瓶頸的診
斷方法。
第6 章：本章重點介紹Snort 原理和預(yù)處理程序發(fā)揮的作用，包括Snort 報警方法。深
入分析Snort 規(guī)則編寫在OSSIM中的應(yīng)用技巧以及網(wǎng)絡(luò)異常行為分析方法。

3. 實戰(zhàn)篇

第7 章：本章從日志標準化和收集分析方法講起，詳細分析各種服務(wù)、網(wǎng)絡(luò)設(shè)備所產(chǎn)生
的日志，包括Apache、FTP、Squid、DHCP等，并通過實例詳細介紹OSSIM插件開發(fā)過程。
第8 章：本章講解NetFlow 進行異常流量分析的方法，包括NetFlow數(shù)據(jù)采集和過濾方
法，介紹了分布式環(huán)境中，利用NetFlow 監(jiān)測異常流量的技巧，同時針對OSSIM 中Ntop、
Nagios、NetFlow 三種檢測工具的使用方法進行了對比。最后還介紹了Cacti 和Zabbix 第三
方開源監(jiān)控軟件集成的方法。
第9章：本章從OSSIM控制管理中心角色權(quán)限控制講起，全面介紹了OSSIM Web UI的
結(jié)構(gòu)，講解了OSSEC日志分析工具的配置使用和Ａgent的安裝方法。介紹了OSSIM中管理網(wǎng)
絡(luò)資產(chǎn)的實例，并對OpenVAS掃描模塊、腳本以及規(guī)則做了深入分析。展示了多個利用OSSIM
進行高級攻擊檢測的實例，以及利用OSSIM進行合規(guī)管理和系統(tǒng)統(tǒng)一報表輸出的方法。
第10 章：本章主要講解基于Web 方式下的抓包及數(shù)據(jù)包過濾方法，并采用該工具遠程
解決網(wǎng)絡(luò)故障的方法，重點介紹了tshark、tcpdump 等抓包工具的高級使用方法，最后以一個
典型IE 瀏覽器的0 day漏洞攻擊的實例來檢驗這種工具所發(fā)揮的作用。

總結(jié)

以上是生活随笔為你收集整理的《开源安全运维平台：OSSIM最佳实践》内容简介的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。