《開源安全運維平臺-OSSIM最佳實踐》即將出版

?

?????? 經(jīng)多年潛心研究開源技術，歷時三年創(chuàng)作的《開源安全運維平臺OSSIM最佳實踐》一書即將出版。該書用100多萬字記錄了作者10多年的OSSIM研究應用成果，重點展示了開源安全管理平臺OSSIM在大型企業(yè)網(wǎng)運維管理中的實踐。國內目前也有各式各樣的運維系統(tǒng)，經(jīng)過筆者對比分析得出這些工具無論在功能上、性能上還是在安全和穩(wěn)定性易用性上都無法跟OSSIM系統(tǒng)想媲美，而且很多國內的開源安全運維項目在發(fā)布幾年后就逐步淡出了舞臺，而OSSIM持續(xù)發(fā)展了十多年。

樣章試讀：http://book.51cto.com/art/201601/504062.htm? ?

內容提要

全書共分三篇，10章：第一篇（1~2章）分主要介紹OSSIM架構與工作原理、系統(tǒng)規(guī)劃、實施關鍵要素和過濾分析SIEM事件的要領。第二篇（3~6章）主要介紹OSSIM所涉及的幾個后臺數(shù)據(jù)庫，重點強調安全事件分類聚合、提取流程、關聯(lián)分析算法、Snort規(guī)則分析等技巧。第三篇（7~10章）主要介紹日志收集方法和標準化實現(xiàn)思路以及在OSSIM中用HIDS/NIDS、Netflow抓包分析異常流量的方法，深入分析了Openvas架構和腳本分析方法。

?? 全書裝幀精美，反映了國內信息安全領域的前沿問題，為安全事件關聯(lián)分析提供了切實可行的實現(xiàn)方法，解決了企業(yè)中安全事件可視化分析的難題，可以作為開源技術研究人員、網(wǎng)絡安全管理人員以及高校計算機專業(yè)師生學習參考使用。

前? 言

一、為什么要寫作本書

1. 現(xiàn)狀

日常工作中，運維人員大部分時間和精力都用于處理簡單、重復的問題，由于故障預警機制不完善，往往故障發(fā)生后才會進行處理，運維人員經(jīng)常處于被動“救火”狀態(tài)。

沒有高效的管理工具支持，就很難快速處理故障。市面上有很多運維監(jiān)控工具，例如商業(yè)版的、 Solarwinds、ManageEngine以及WhatsUp等，開源的MRTG、Nagios、Cacti、Zabbix、OpenNMS、Ganglia等。由于它們彼此之間所生成的數(shù)據(jù)沒有關聯(lián)，無法共享，即便部署了這些工具，很多運維人員并沒有從中真正解脫出來，成千上萬條警告信息堆積在一起，很難識別問題的根源，結果被海量日志所淹沒，無法解脫出來。

另外在傳統(tǒng)運維環(huán)境中，當查看各種監(jiān)控系統(tǒng)時需要多次登錄，查看繁多的界面，更新管理絕大多數(shù)工作主要是手工操作，即使一個簡單的系統(tǒng)變更，需要運維人員逐一登錄系統(tǒng)，若遇到問題，管理員便會在各種平臺間來回查詢，或靠人肉方式搜索故障關鍵詞，不斷的重復著這種工作方式。企業(yè)需要一種集成安全的運維平臺，滿足專業(yè)化、標準化和流程化的需要來實現(xiàn)運維工作的自動化管理，通過關聯(lián)分析及時發(fā)現(xiàn)故障隱患。

2. 手工整合的演化過程

在人工管理初期，主要依靠一些簡單的Shell腳本完成一些基礎工作，后來雖然采用Cacti來做性能監(jiān)控，Nagios做主機監(jiān)控、PHP+SSH等方式進行管理，但各種運維工具仍無法實現(xiàn)數(shù)據(jù)共享，此時整個防御體系面對網(wǎng)絡威脅“反應遲鈍”，每當故障來襲，總是“馬后炮”，難以查找***者的蹤跡，就好像一個人總被蚊子叮咬，想打蚊子可手眼又跟不上的感覺。

經(jīng)過分析后，開始嘗試將資產(chǎn)管理模塊、***檢測模塊、流量監(jiān)控模塊、漏洞掃描模塊集成到一臺服務器中進行統(tǒng)一管理，實現(xiàn)了標準化日志、統(tǒng)一處理等任務，在系統(tǒng)改造中以下問題尤為突出：

l安裝時,各軟件間依賴問題依然難以解決。

l各子系統(tǒng)界面重復驗證和界面風格不統(tǒng)一。

l各子系統(tǒng)之間數(shù)據(jù)無法共享。

l無法實現(xiàn)數(shù)據(jù)之間關聯(lián)分析。

l無法生成統(tǒng)一格式的報表。

l缺乏統(tǒng)一的儀表板以展示重要信息。

l系統(tǒng)維護難度增大。

將這些開源工具集成比較困難，該方案架構并不合理，出現(xiàn)了性能瓶頸，對于安全事件的關聯(lián)分析、合規(guī)管理及知識庫查詢依然無法實現(xiàn),而自己建設開發(fā)隊伍從頭開始做CMDB、監(jiān)控、自動化、流程這種閉門造車的方案，成本開銷很大，另一種就是尋找開源解決方案。

3. 終極工具——OSSIM集成安全運維的平臺

發(fā)現(xiàn)一個好的管理平臺并不是偶然，管理員從最原始的命令行的運維時代，進化到統(tǒng)一管理平臺，的確要走很多彎路，其實這一過程就是普通管理員到專家的蛻變。只有經(jīng)歷過磨難的管理員才能深刻體會到這一點。一款優(yōu)秀的安全運維平臺，需要將事件與IT 流程相關聯(lián)，篩選出運維人員最關心的事件，提高工作效率。在開源海洋中，各種技術風格迥異，文檔不全，成熟度又低，管控風險大，這些坑你趕來踩嗎？

經(jīng)過作者長期實踐，目前能滿足上述要求的開源產(chǎn)品唯有OSSIM系統(tǒng)，它是唯一能進入Gartner 魔力象限的系統(tǒng)，它由Alienvault公司開發(fā)，現(xiàn)分為開源OSSIM和商業(yè)版USM兩種，通過該平臺實現(xiàn)對用戶操作規(guī)范的約束和對計算機資源進行監(jiān)控，包括服務器、數(shù)據(jù)庫、中間件、存儲備份、網(wǎng)絡基礎設施，通過自動監(jiān)控管理平臺實現(xiàn)故障綜合處理和集中管理，能夠為您的網(wǎng)絡構建起一套敏感的、全方位的中樞神經(jīng)系統(tǒng)，達到感知網(wǎng)絡威脅的效果。OSSIM4系統(tǒng)主要菜單如下：

它功能之復雜，遠非個人在能短時間內就能解決的，如對于開發(fā)OSSIM，更是需要了解更多知識，它的組件、數(shù)據(jù)庫和涉及開發(fā)工具，如下圖所示。

對于上述難點問題，就需要一本專業(yè)書籍，能幫助用戶解決。在該書沒出世之前，只能“硬啃”。

二、創(chuàng)作過程

說起來，我和OSSIM還是挺有緣分。研究生時曾開發(fā)過開源統(tǒng)一安全管理平臺項目，主要目標是將不同網(wǎng)絡設備和服務器的日志，通過標準化轉化為事件，然后統(tǒng)一進行日志分析與設備聯(lián)動。在完成這個項目過程中，主要參考OSSIM源代碼，先后嘗試了基于統(tǒng)計、基于距離和基于決策樹的算法，攻破了網(wǎng)絡安全事件聚合的難題。

這些年先后為幾十家單位成功部署了OSSIM系統(tǒng)，并提供技術支持。在OSSIM項目實施過程中不斷總結遇到的各種問題，經(jīng)過三年的技術沉淀與積累，目前已經(jīng)撰寫出600多頁的OSSIM應用教程，但是這些零散的手稿不成體系。從2015年初，開始將這些系統(tǒng)部署的經(jīng)驗進行合理組織，全書規(guī)劃成三篇，共十章內容，這些內容包含OSSIM系統(tǒng)的各種知識和技巧，使讀者今后再遇到問題能夠舉一反三。即使OSSIM更新升級后，讀者也能結合書中介紹的概念和操作方法，同樣能夠掌握，那么本書的目標就達到了。

從事IT工作的人都比較忙，很少有完整的時間能清閑下來，對于一般人而言沒有時間，就是最好的幌子，而善于利用時間的人往往能夠利用各種間隙，進行創(chuàng)作構思。在本書創(chuàng)作中并不是一帆風順，有時候為了驗證一個技術問題，需要反復實驗，為了一句話需要經(jīng)過反復推敲。

初稿出爐，必須經(jīng)過不斷修改潤色，才適合閱讀，本書剛剛寫完時才500多頁，但是在一遍又一遍的修改筆誤和錯別字之后，萌發(fā)出新的想法，每復查一遍，我都會對原稿做一些改動，數(shù)量上要數(shù)第一次改動擴充最大，以后逐漸減少，直到滿意為止。

本書不是什么神功秘籍，無法讓你在短時間內從一個小白變成一個牛人。書中以OSSIM 4平臺為基礎進行講解，將各種開源軟件合理的融入進來，并把本人多年OSSIM實施經(jīng)驗以案例的形式表達出來。學習OSSIM的道路并不是一帆風順，希望讀者朋友再遇到困難時，本書能夠為您答疑解惑。

三、篇章結構

書的結構好比框架，而內容則是具體組成元素，本書采用了文字、圖表和范例等形式，將OSSIM復雜的結構和工作流程直觀的展現(xiàn)給讀者。全書分為三部分，共10章。

1. 基礎篇

第1章：本章從OSSIM起源講起，介紹了目前運維人員現(xiàn)狀，逐步談到應用SIEM的必要性，進而介紹OSSIM架構與組成原理，另外還介紹了基于插件的日志采集思路，提出標準化安全事件的全新理念，詳細分析了OSSIM的高可用架構與實現(xiàn)方法。

第2章：本章從OSSIM實施關鍵要素、安裝策略、硬件選型開始，深入分析單機部署，分布式體系、傳感器設置等重要安裝工作。分析了安裝過程以圖文并茂的方式，指出了系統(tǒng)配置過程，包括實體機，虛擬機不同環(huán)境中的安裝方法及注意事項。最后重點分析了SIEM事件控制臺的使用和事件過濾方法。

2. 提高篇

第3章：本章對于OSSIM開發(fā)人員很有幫助，除了介紹OSSIM數(shù)據(jù)庫組成、表結構，以及系統(tǒng)遷移備份等技巧，以外還包括各種常見MySQL故障等內容。

第4章：本章從關聯(lián)分析基礎講起，逐步深入到OSSIM安全事件提取過程，介紹了常用的關聯(lián)分析算法。還對報警事件的聚合原理作了詳細分析，并結合OSSIM現(xiàn)狀采用多個實例講解關聯(lián)規(guī)則和自定義策略的使用方法。

第5章：本章主要介紹各種OSSIM系統(tǒng)中的監(jiān)控調試工具的使用，以及系統(tǒng)瓶頸的診斷方法。

第6章：本章重點介紹了Snort 原理和預處理程序發(fā)揮的作用，包括Snort報警方法。深入分析Snort規(guī)則編寫在OSSIM中的應用技巧以及網(wǎng)絡異常行為分析方法。

3. 實戰(zhàn)篇

第7章：本章從日志標準化和收集分析方法講起，詳細分析各種服務、網(wǎng)絡設備所產(chǎn)生的日志，包括Apache、Ftp、Squid、Dhcp等，并通過實例詳細介紹OSSIM插件開發(fā)過程。

第8章：本章講解Netflow進行異常流量分析的方法，包括Netflow數(shù)據(jù)采集和過濾方法，介紹了分布式環(huán)境中，利用Netflow監(jiān)測異常流量的技巧，同時針對OSSIM中Ntop、Nagios、Netflow三種檢測工具的使用方法進行了對比。最后還介紹了Cacti和Zabbix第三方開源監(jiān)控軟件集成的方法。

第9章：本章從OSSIM控制管理中心角色權限控制講起，全面介紹了OSSIM Web UI的結構，講解了Ossec日志分析工具的配置使用和Ａgent的安裝方法。介紹了OSSIM中管理網(wǎng)絡資產(chǎn)的實例，并對Openvas掃描模塊、腳本以及規(guī)則做了深入分析。展示了多個利用OSSIM進行高級***檢測的實例，以及利用OSSIM進行合規(guī)管理和系統(tǒng)統(tǒng)一報表輸出的方法。

第10章：本章主要講解基于Web方式下的抓包及數(shù)據(jù)包過濾方法，并采用該工具遠程解決網(wǎng)絡故障的方法，重點介紹了tshark、tcpdump等抓包工具的高級使用方法，最后以一個典型IE瀏覽器的0 day漏洞***的實例來檢驗這種工具所發(fā)揮的作用。

四、本書約定

?

（1）關于版本

本書軟件的安裝環(huán)境為DebianLinux 6.0（Squeeze），內核為2.6.32。在安裝其他軟件時，必須符合該版本要求。

（2）關于菜單的描述

OSSIM的前臺界面復雜，書中經(jīng)常會用一串帶箭頭的單詞表達菜單的路徑，例如Web UI 的Dashboards→Overview→Executive，表示Web界面下鼠標依次經(jīng)過菜單Dashboards、Overview最后到達Executive儀表板。

（3）路徑問題

本書中除特別說明，所涉及路徑均指在OSSIM系統(tǒng)下的路徑，而不是其他的Linux發(fā)行版。終端控制臺指通過root登錄系統(tǒng)，然后輸入“ossim-setup”啟動OSSIM終端控制臺的界面，如圖1所示。

圖1 ?終端控制臺

在終端控制臺下，選擇JailbreakSystem菜單就能進入Rootshell，登錄日志會保存在/var/log/ossim/root_access.log文件中。

（4）SIEM事件分析控制臺

書中的SIEM控制臺是指通過Web UI 進入系統(tǒng)，在菜單Analysis→SIEM下的界面，如圖2所示。

圖2 ?SIEM事件分析控制臺

（5）關于OSSIM Server端與Sensor端的約定

本書各章中講述的OSSIMServer端，是指通過AlienvaultUSM安裝的系統(tǒng)，包括OSSIM四大組件，Sensor端是通過Alienvault Sensor安裝的系統(tǒng)。

（6）關于地圖顯示問題

所有地圖信息引自谷歌地圖，大家在做實驗前確保能連上谷歌地圖，而且使用系統(tǒng)中OTX，前提條件也需要能連接到谷歌。

（7）瀏覽器約定

OSSIM Web UI適合采用Safari7.0以上、Google Chrome44.0以上IE10.0以上瀏覽器訪問。

五、本書讀者對象

本書主要面向以下類型讀者：

l互聯(lián)網(wǎng)和安全行業(yè)的系統(tǒng)安全從業(yè)人員。

l銀行、證卷和保險行業(yè)IT運維人員。

l政府、高校和科研機構等單位IT運維人員。

六、光盤內容

本書配套光盤包括：OSSIM入門多媒體教程、OSSIM安裝ISO、OSSIM源碼三部分內容，其中視頻內容有以下章節(jié)：

l第一集：OSSIM的由來及應用部署

l第二集：網(wǎng)絡威脅感知技術探討

l第三集：OSSIM單機部署安裝與分布式安裝

l第四集：OSSIM儀表盤操作初步

l第五集：SIEM控制臺與Alarm事件告警解析

l第六集：資產(chǎn)管理與漏洞掃描

l第七集：Openvas組成及升級實踐

l第八集：Netflow應用

l第九集：OSSIM權限設置與策略管理

l第十集：用OSSIM發(fā)現(xiàn)蠕蟲***

l第十一集：報表合規(guī)管理

l第十二集：命令行模式下控制臺綜合管理

七、關于作者

李晨光，畢業(yè)于中國科學院研究生院，目前就職于世界500強企業(yè)，資深網(wǎng)絡架構師、51CTO學院講師、IBM精英講師、UNIX/Linux系統(tǒng)安全專家，現(xiàn)任中國計算機學會（CCF）高級會員；在國內《計算機安全》、《程序員》、《計算機世界》、《網(wǎng)絡運維與管理》、《***防線》等專業(yè)雜志發(fā)表論文六十余篇。曾獨著暢銷書《Linux企業(yè)應用案例精解》、《Linux企業(yè)應用案例精解第2版》，《Unix/Linux網(wǎng)絡日志分析與流量監(jiān)控》等經(jīng)典學習教程，均被中科院圖書館、國內重點高校圖書館和國立臺灣大學圖書館等200多家圖書館收藏。《Unix/Linux網(wǎng)絡日志分析與流量監(jiān)控》一書，于2015年獲最受讀者喜愛的本版類圖書獎。

曾著圖書價值

?

本人所著圖書全部收錄在國內211、985重點高校和科研機構圖書館。

查詢結果出自：http://www.las.ac.cn/

?

?

?多部著作獲獎并重印

?

讀者好評率95%以上

?

《中華讀書報》報道該書的原文：http://epaper.gmw.cn/zhdsb/images/2015-01/28/19/2015012819_pdf.pdf

?

《網(wǎng)絡運維與管理》雜志于2014年7月份刊發(fā)了本人人物專訪。

?

本人經(jīng)常受邀在國內系統(tǒng)架構師大會和網(wǎng)絡信息安全大會發(fā)表技術演講，2012年擔任中國系統(tǒng)架構師大會（SACC）運維開發(fā)專場嘉賓主持人。2013年在IT168舉辦企業(yè)內網(wǎng)信息安全實踐沙龍活動在發(fā)表技術演講。2014（第十屆）中國網(wǎng)絡主管論壇北京站發(fā)表技術演講。2014年《網(wǎng)絡運維與管理》雜志對本人進行獨家專訪并刊發(fā)于13期雜志中、2015年4月在WOT互聯(lián)網(wǎng)運維與開發(fā)者大會發(fā)表技術演講，如圖3所示。

圖3? 作者在各種全國大會中發(fā)表技術演講

八、支持與勘誤

由于OSSIM本身結構復雜，知識點眾多，在本書撰寫過程中難免有所疏漏，希望廣大讀者能把問題反饋給筆者，本人不勝感激。為了方便讀者學習實踐，書中涉及所有軟件和實驗環(huán)境都已發(fā)布在作者博客http://chenguang.blog.51cto.com/350944/1679097，在此博客中的OSSIM專欄包含了大量實戰(zhàn)經(jīng)驗，大家可以一邊閱讀本書，一般參考博客，互為印證，如有問題大家可以留言，我將定期為讀者解答。

九、致謝

首先感謝我的父母多年來養(yǎng)育之恩，感謝我在各個求學階段的老師們，感謝每一位讀者，你們將是本書繼續(xù)完善的新動力，尤其要感謝我的妻子，有了她精心的照顧，我才能全身心投入到創(chuàng)作中。最后要感謝清華大學出版社的編輯們，為了提升本書質量他們花費了大量心血。本書若有不足之處，敬請讀者不吝指正。

??????????????????????????????????????????????????????????? 李晨光?

????????????????????????????????????????????????????????????????????????????????? ?????????????????????? 2015年9月

本書關鍵詞：

日志標準化；? 可視化事件；? 網(wǎng)絡安全態(tài)勢感知技術；? 關聯(lián)分析；? 網(wǎng)絡風險評估；? 漏洞掃描；協(xié)議分析； 流量分析； 合規(guī)管理； 報表輸出； 分布式部署； IDS/NIDS/HIDS; IP信譽評價；開放威脅交換OTX；知識庫；數(shù)據(jù)庫備份

目? 錄

第一篇? 基礎篇

第1章? OSSIM架構與原理?

1.1? OSSIM概況?2
1.1.1? 從SIM到OSSIM?3
1.1.2? 安全信息和事件管理（SIEM）?4
1.1.3? OSSIM的前世今生?5

1.2? OSSIM架構與組成?11
1.2.1? 主要模塊的關系?12
1.2.2? 安全插件（Plugins）?14
1.2.3? 采集與監(jiān)控插件的區(qū)別?15
1.2.4? 檢測器（Detector）?18
1.2.5? 代理（Agent）?18
1.2.6? 報警格式的解碼?19
1.2.7? OSSIM Agent?20
1.2.8? 代理與插件的區(qū)別?24
1.2.9? 傳感器（Sensor）?24
1.2.10? 關聯(lián)引擎?26
1.2.11? 數(shù)據(jù)庫（Database）?28
1.2.12? Web 框架（Framework）?29
1.2.13? Ajax創(chuàng)建交互?30
1.2.14? 歸一化處理?31
1.2.15? 標準的安全事件格式?31
1.2.16? OSSIM服務端口?35
1.3? 基于插件的日志采集?37
1.3.1? 安全事件分類?37
1.3.2? 采集思路?37
1.4? Agent事件類型?43
1.4.1? 普通日志舉例?43
1.4.2? plugin_id一對多關系?44
1.4.3? MAC事件日志舉例?46
1.4.4? 操作系統(tǒng)事件日志舉例?46
1.4.5? 系統(tǒng)服務事件日志舉例?46
1.5? RRDTool繪圖引擎?47
1.5.1? 背景?47
1.5.2? RRD Tool與關系數(shù)據(jù)庫的不同?48
1.5.3? RRD繪圖流程?48
1.6? OSSIM工作流程?49
1.7? 緩存與消息隊列?49
1.7.1? 緩存系統(tǒng)?49
1.7.2? 消息隊列處理?50
1.7.3? RabbitMQ?51
1.7.4? 選擇Key/Value存儲?52
1.7.5? Ossim下操作Redis?53
1.7.6? Redis Server配置詳解?56
1.7.7? RabbitMQ、Redis與Memcached監(jiān)控?57
1.8? OSSIM 高可用架構?59
1.8.1? OSSIM高可用實現(xiàn)技術?59
1.8.2? 安裝環(huán)境?60
1.8.3? 配置本地主機?60
1.8.4? 配置遠程主機?61
1.8.5? 同步數(shù)據(jù)庫?61
1.8.6? 同步本地文件?61
1.9? OSSIM防火墻?62
1.9.1? 理解Filter機制?62
1.9.2? 規(guī)則匹配過程?64
1.9.3? Iptables規(guī)則庫管理?65
1.10? OSSIM的計劃任務?66
1.10.1? Linux計劃任務?66
1.10.2? OSSIM中的計劃任務?68
1.11? 小結?70

第2章? OSSIM部署與安裝?

2.1? OSSIM安裝策略?71
2.1.1? 定制IDS策略?71
2.1.2? 傳感器位置?72
2.2? 分布式OSSIM體系?73
2.2.1? 特別應用?74
2.2.2? 多IDS系統(tǒng)應用?74
2.3? 安裝前的準備工作?75
2.3.1? 軟硬件配備?75
2.3.2? 傳感器部署?76
2.3.3? 分布式OSSIM系統(tǒng)探針布局?78
2.3.4? OSSIM服務器的選擇?78
2.3.5? 網(wǎng)卡的選擇?80
2.3.6? 手動加載網(wǎng)卡驅動?80
2.3.7? 采用多核還是單核CPU?81
2.3.8? 查找硬件信息?81
2.3.9? OSSIM USM和Sensor安裝模式的區(qū)別?82
2.3.10? OSSIM商業(yè)版和免費版比較?83
2.3.11? OSSIM實施特點?84
2.3.12? OSSIM管理員分工?85

2.4? 混合服務器/傳感器安裝模式?86
2.4.1? 安裝前的準備工作?86
2.4.2? 開始安裝OSSIM?86
2.4.3? 遺忘Web UI登錄密碼的處理方法?90

2.5? 初始化系統(tǒng)?90
2.5.1? 設置初始頁面?91
2.5.2? OTX——情報交換系統(tǒng)?97
2.6? Vmware ESXi下安裝OSSIM注意事項?100
2.6.1? 設置方法?100
2.6.2? 虛擬機下無法找到磁盤的對策?102
2.7? OSSIM分布式安裝實踐?102
2.7.1? 基于OpenSSL的安全認證中心?102
2.7.2? 安裝步驟?102
2.7.3? 分布式部署（***連接 ）舉例?103
2.7.4? 安裝多臺OSSIM（Sensor）?105
2.7.5? Sensor重裝流程?110
2.8? 添加***連接?111
2.8.1? 需求?111
2.8.2? Server端配置（10.0.0.30）?111
2.8.3? 配置sensor（10.0.0.31）?112
2.9? 安裝最后階段?113
2.10? OSSIM安裝后續(xù)工作?114
2.10.1? 時間同步問題?114
2.10.2? 系統(tǒng)升級?115
2.10.3? apt-get 常見操作?118
2.10.4? 掃描資產(chǎn)?119
2.10.5? 通過代理升級系統(tǒng)?119
2.10.6? 防火墻設置?120
2.10.7? 讓控制臺支持高分辨率?121
2.10.8? 手動修改服務器 IP地址?121
2.10.9? 修改系統(tǒng)網(wǎng)關和DNS地址?121
2.10.10? 更改默認網(wǎng)絡接口?122
2.10.11? 消除登錄菜單?122
2.10.12? 進入OSSIM單用戶模式?122
2.11? OSSIM啟動與停止?123
2.12? 安裝遠程管理工具?125
2.12.1? 安裝Webmin管理工具?125
2.12.2? 安裝PhpmyAdmin?125
2.12.3? 用PhpmyAdmin同步功能遷移數(shù)據(jù)庫?127
2.13? 分布式系統(tǒng)查看傳感器狀態(tài)?128
2.13.1? 設置指示器?128
2.13.2? 注意事項?130
2.14? 安裝桌面環(huán)境?131
2.14.1? 安裝GNOME環(huán)境?131
2.14.2? 安裝FVWM環(huán)境?132
2.14.3? 安裝虛擬機?135
2.15? 自動化配置管理工具Ansible?137
2.15.1? SSH的核心作用?138
2.15.2? Ansible配置?139
2.15.3? Ansible實戰(zhàn)?139
2.15.4? 豐富的模塊?144
2.15.5? Ansible 與其他配置管理的對比?144
2.16? SIEM控制臺基礎?144
2.16.1? SIEM控制臺日志過濾技巧?145
2.16.2? 將重要日志加入到知識庫?151
2.16.3? SIEM中顯示不同類別日志?153
2.16.4? 常見搜索信息?156
2.16.5? 儀表盤顯示?156
2.16.6? 事件刪除與恢復?157
2.16.7? 深入使用SIEM控制臺?158
2.16.8? SIEM事件聚合?162
2.16.9? SIEM要素?163
2.16.10? SIEM警報中顯示計算機名?170
2.16.11? SIEM事件保存期限?170
2.16.12? SIEM數(shù)據(jù)源與插件的關系?171
2.16.13? SIEM日志顯示中出現(xiàn)0.0.0.0地址的含義?172
2.16.14? 無法顯示SIEM安全事件時處理方法?173
2.16.15? SIEM數(shù)據(jù)庫恢復?173
2.16.17? EPS的含義?174
2.16.17? 常見OSSIM 安裝/使用錯誤?175
2.17? 可視化網(wǎng)絡***報警Alarm分析?177
2.17.1? 報警事件的產(chǎn)生?177
2.17.2? 報警事件分類?178
2.17.3? 五類報警數(shù)據(jù)包樣本下載?183
2.17.4? 報警分組?183
2.17.5? 識別告警真?zhèn)?185
2.17.6? 觸發(fā)OSSIM報警?185
2.18? 小結?193

第二篇? 提高篇

第3章? OSSIM數(shù)據(jù)庫概述?

3.1? OSSIM數(shù)據(jù)庫組成?195
3.1.1? MySQL?195
3.1.2? 本地訪問?196
3.1.3? 檢查、分析表?198
3.1.4? 啟用MySQL慢查詢記錄?199
3.1.5? 遠程訪問?199
3.1.6? MongoDB?200
3.1.7? SQLite?201
3.2? OSSIM數(shù)據(jù)庫分析工具?
3.2.1? 負載模擬方法?202
3.2.2? 用MySQL Workbench工具分析 數(shù)據(jù)庫?203
3.3? 查看OSSIM數(shù)據(jù)庫表結構解析?209
3.4? MySQL基本操作?212
3.5? OSSIM系統(tǒng)遷移?213
3.5.1? 遷移準備?213
3.5.2? 恢復OSSIM?214
3.6? OSSIM數(shù)據(jù)庫常見問題解答?216

????????????????? 1.當OSSIM 4系統(tǒng)數(shù)據(jù)庫發(fā)生損壞時，如何重建數(shù)據(jù)庫。

? ? ? ? ? ? ? ? ? 2.如何查詢OSSIM數(shù)據(jù)庫的host開頭的表。

? ? ? ? ? ? ? ? ? 3.如何備份OSSIM的SIEM數(shù)據(jù)庫。

? ? ? ? ? ? ? ? ? 4.如何查看MySQL數(shù)據(jù)庫信息。

? ? ? ? ? ? ? ? ? 5.如何查看OSSIM系統(tǒng)的SIEM數(shù)據(jù)庫備份情況。

? ? ? ? ? ? ? ? ? 6.如何終止OSSIM數(shù)據(jù)庫的僵尸進程。

? ? ? ? ? ? ? ? ? 7.如果負載過大在OSSIM 系統(tǒng)中出現(xiàn)“MySQL :ERROR 1040:Too many connections”情況如何處理。

? ? ? ? ? ? ? ? ? 8.如何遠程導出OSSIM數(shù)據(jù)庫表結構。

? ? ? ? ? ? ? ? ? 9.OSSIM系統(tǒng)出現(xiàn)acid表錯誤時如何處理。

? ? ? ? ? ? ? ? ? 10.能修改OSSIM系統(tǒng)中MySQL數(shù)據(jù)庫密碼？

? ? ? ? ? ? ? ? ? 11.當意外中斷數(shù)據(jù)庫寫操作會會對數(shù)據(jù)庫的表造成損壞，如何檢查表。

? ? ? ? ? ? ? ? ? 12.如何清理OSSIM數(shù)據(jù)庫。

? ? ? ? ? ? ? ? ? 13.如何用xtrabackup備份OSSIM 數(shù)據(jù)庫。

? ? ? ? ? ? ? ? ? 14.如何快速清除SIEM數(shù)據(jù)庫。

? ? ? ? ? ? ? ? ? 15.如何記錄OSSIM數(shù)據(jù)庫的執(zhí)行過程。

? ? ? ? ? ? ? ? ? 16.如何優(yōu)化表。

? ? ? ? ? ? ? ? ? 17.如何用mysqldump備份數(shù)據(jù)庫。
3.7? 小結?226

第4章? OSSIM關聯(lián)分析技術?
4.1? 關聯(lián)分析技術背景?227
4.1.1? 當前的挑戰(zhàn)?227
4.1.2? 基本概念?228
4.1.3? 安全事件之間的關系?228
4.2? 關聯(lián)分析基礎?229
4.2.1? 從海量數(shù)據(jù)到精準數(shù)據(jù)?229
4.2.2? 網(wǎng)絡安全事件的分類?230
4.2.3? Alarm與Ticket的區(qū)別?234
4.2.4? 使用Ticket?235
4.2.5? 加入知識庫?236
4.2.6? 安全事件提取?237
4.2.7? OSSIM的關聯(lián)引擎?238
4.2.8? 事件的交叉關聯(lián)?239
4.3? 報警聚合?240
4.3.1? 報警樣本舉例?240
4.3.2? 事件聚合?241
4.3.3? 事件聚合舉例?242
4.3.4? 事件聚合在OSSIM中的表現(xiàn)形式?243
4.3.5? SIEM中的冗余報警?244
4.3.6? 合并相似事件?245
4.3.7? 同類事件的判別?245
4.3.8? 合并流程?246
4.3.9? 事件映射?246
4.3.10? Ossec 的報警信息的聚類?247
4.3.11? Ossec與Snort 事件合并?248
4.4? 風險評估方法?249
4.4.1? 風險評估三要素?249
4.4.2? Risk & Priority & Reliability的關系實例?250
4.4.3? 動態(tài)可信度值（Reliability）?253
4.4.4? 查看SIEM不同事件?254
4.5? OSSIM系統(tǒng)風險度量方法?256
4.5.1? 風險判定?256
4.5.2? 事件積累過程?258
4.6? OSSIM中的關聯(lián)分類?259
4.6.1? 關聯(lián)分類?259
4.6.2? 關聯(lián)指令分類?260
4.6.3? 指令組成?262
4.6.4? 讀懂指令規(guī)則?264
4.6.5? Directive Info?265
4.7? 新建關聯(lián)指令?266
4.8? OSSIM的關聯(lián)規(guī)則?270
4.8.1? 關聯(lián)指令配置界面?271
4.8.2? 構建規(guī)則?274
4.9? 深入關聯(lián)規(guī)則?276
4.9.1? 基本操作?276
4.9.2? 理解規(guī)則樹?277
4.9.3? ***場景構建?281
4.9.4? 報警聚合計算方法?282
4.10? 自定義策略實現(xiàn)SSH登錄失敗告警?282
4.11? 小結?286

第5章? OSSIM系統(tǒng)監(jiān)測工具?
5.1? Linux性能評估?287
5.1.1? 性能評估工具?287
5.1.2? 查找消耗資源的進程?289
5.2? OSSIM壓力測試?289
5.2.1? 軟硬件測試環(huán)境?289
5.2.2? 測試項目?290
5.2.3? 測試工具?290
5.2.4? IDS測試工具Nidsbench?293
5.3? 性能分析工具實例?295
5.3.1? sar?296
5.3.2? vmstat?296
5.3.3? 用iostat分析I/O子系統(tǒng)?297
5.3.4? dstat?298
5.3.5? iotop?300
5.3.6? atop?300
5.3.7? 替代netstat的工具ss。?300
5.4? OSSIM平臺中MySQL運行狀況?301
5.4.1? 影響MySQL性能的因素?301
5.4.2? 系統(tǒng)的IOPS?302
5.5? 2Syslog壓力測試工具——Mustsyslog使用?303
5.5.1? 安裝mustsyslog?304
5.5.2? 日志模板設計?306
5.5.3? 日志標簽說明?306
5.5.4? 域標簽舉例?306
5.6? 常見問題解答?

???????????? 1.OSSIM系統(tǒng)空間不足在哪里查找大型文件。

? ? ? ? ? ? ?2. 何時應考慮增加系統(tǒng)內存。

? ? ? ? ? ? ?3.檢測OSSIM系統(tǒng)整體狀態(tài)的命令行工具

? ? ? ? ? ? ?4.監(jiān)控MySQL利器-mytop

? ? ? ? ? ? ?5.監(jiān)控Linux系統(tǒng)資源和進程的工具。

? ? ? ? ? ? ?6.如何找出最消耗內存的進程（smem）

? ? ? ? ? ? ?7.如何對OSSIM系統(tǒng)目錄大小進行排序?(ncdu)。

? ? ? ? ? ? ?8.OSSIM的流量監(jiān)控工具iftop。

? ? ? ? ? ? ?9.如何利用Apache自帶工具ab測試OSSIM 響應速度。

? ? ? ? ? ? ?10.如何詳細了解OSSIM系統(tǒng)進程的網(wǎng)絡帶寬占用情況

? ? ? ? ? ? ?11.為OSSIM系統(tǒng)進行壓力測試tcpreplay。

? ? ? ? ? ? ?12.壓力測試工具Tsung使用。

? ? ? ? ? ? ?13. hping3的使用
5.7? 小結?322

第6章? Snort規(guī)則分析?

6.1? 預處理程序?323
6.1.1? 預處理器介紹?323
6.1.2? 調整預處理程序?330
6.1.3? 網(wǎng)絡***模式分類?330
6.2? Snort日志分析利器?332
6.3? Snort日志分析?333
6.3.1? 工作模式及輸出插件?333
6.3.2? 數(shù)據(jù)包記錄模式?335
6.3.3? 網(wǎng)絡***檢測模式HIDS?338
6.3.4? 輸出插件?338
6.4? Snort 規(guī)則編寫?345
6.4.1? Snort 規(guī)則分析?346
6.4.2? 規(guī)則組成及含義?347
6.4.3? 編寫SNORT規(guī)則?353
6.4.4? 手工修改Suricata規(guī)則?356
6.4.5? 啟用新建的ET規(guī)則?356
6.4.6? 應用新規(guī)則?357
6.4.7? 主動探測與被動探測?358
6.5? 可疑流量檢測技術?358
6.5.1? 通過特征檢測?358
6.5.2? 檢測可疑的載荷?358
6.5.3? 檢測具體元素?359
6.5.4? OSSIM中的Snort規(guī)則與SPADE檢測?360
6.5.5? 惡意代碼行為特征分析?360
6.5.6? 蜜罐檢測?361
6.6??? Snort規(guī)則進階?362
6.6.1? 可疑流量的報警?362
6.6.2? 空會話***漏洞報警?363
6.6.3? 用戶權限獲取?363
6.6.4? 失敗的權限提升報警規(guī)則?364
6.6.5? 企圖獲取管理員權限?364
6.6.6? 成功獲取管理員權限?364
6.6.7? 拒絕服務?365
6.7? 高速網(wǎng)絡環(huán)境的應用?367
6.7.1? Suricata VS Snort?367
6.7.2? PF_RING工作模式?368
6.8? 網(wǎng)絡異常行為分析?368
6.8.1? 流程分析?368
6.8.2? 舉例?370
6.10? 小結?371

第三篇? 實戰(zhàn)篇

第7章? OSSIM日志收集與分析?

7.1? 日志分析現(xiàn)狀?324
7.1.1? 日志記錄內容?325
7.1.2? 日志中能看出什么？?326
7.1.3? 日志分析的基本工具及缺陷?327
7.1.4? 海量日志收集方式?327
7.2? 日志消息格式與存儲?327
7.2.1? 日志消息格式?327
7.2.2? OSSIM下的日志查詢比較?328
7.2.3? 日志的導出?330
7.2.4? 日志分類可視化?331
7.2.5? 基于文本格式的日志?332
7.2.6? 基于壓縮模式的日志文件?333
7.2.7? 日志轉儲到數(shù)據(jù)庫?334
7.2.8? 日志處理及保存時間?335
7.2.9? 日志系統(tǒng)保護?335
7.2.10? 日志輪詢?335
7.2.11? OSSIM分布式系統(tǒng)中日志存儲問題?336
7.3? 日志協(xié)議Syslog?336
7.3.1? 常見日志收集方式?337
7.3.2? 日志的標準化?338
7.3.3? 主流日志格式介紹?338
7.3.4? Syslog日志記錄級別?340
7.3.5? Syslog.conf配置文件?340
7.3.6? 用Tcpdump分析Syslog數(shù)據(jù)包?342
7.3.7? Syslog的安全漏洞?342
7.3.8? 配置SNMP?342
7.4? 原始日志格式對比?343
7.5? 插件配置步驟?344
7.6? 插件導入?345
7.7? 插件注冊操作實例?345
7.8? Agent插件處理日志舉例?349
7.8.1? 收集與處理過程?349
7.8.2? 常見Windows日志轉換syslog工具?352
7.8.3? Windows日志審核?353
7.8.4? 收集Windows平臺日志?353
7.8.5? 收集Cisco 路由器日志?354
7.9? rsyslog?355
7.9.1? Rsyslog配置詳解?355
7.9.2? rsyslog配置參數(shù)含義?356
7.9.3? 選擇合適的日志級別?356
7.10? 網(wǎng)絡設備日志分析與舉例?357
7.10.1? 路由器日志分析?358
7.10.2? 交換機日志分析?358
7.10.3? 防火墻日志分析?360
7.10.4? 收集CheckPoint設備日志?362
7.10.5? Aruba（無線AP）的日志?364
7.11? Apache日志分析?364
7.11.1? 日志作用?364
7.11.2? 日志格式分析?365
7.11.3? 日志統(tǒng)計舉例?365
7.11.4? 錯誤日志分析?367
7.12? Nginx日志分析?369
7.12.1 基本格式?369
7.12.2? 將Nginx日志發(fā)送到Syslog?370
7.13? FTP日志分析?370
7.13.1? FTP日志分析?371
7.13.2? 分析vsftpd.log和xferlog?372
7.13.3? 將Linux的 Vsftp日志發(fā)送到OSSIM?373
7.14? iptables 日志分析?375
7.14.1? iptables日志分析?375
7.14.2? iptables日志管理范例?377
7.14.3? 輸出iptables日志到指定文件?378
7.15? Squid服務日志分析?380
7.15.1? Squid日志分類?381
7.15.2? 典型Squid訪問日志分析?381
7.15.3? Squid時間戳轉換?382
7.15.4? 將Squid的日志收集到OSSIM?383
7.16? DHCP 服務器日志?384
7.17? 收集Windows日志?386
7.17.1? OSSIM日志處理流程?387
7.17.2? 通過Snare轉發(fā)Windows日志?387
7.17.3? 通過WMI收集Windows日志?391
7.17.4? 配置OSSIM?392
7.17.5? Snare與WMI的區(qū)別?394
7.18? 小結?394

第8章? OSSIM流量分析與監(jiān)控?

8.1? 用NetFlow分析異常流量?395
8.1.1? 流量采集對業(yè)務的影響?396
8.1.2? NetFlow 的Cache管理?397
8.1.3? NetFlow的輸出格式?397
8.1.4? NetFlow的采樣機制?397
8.1.5? NetFlow采樣過濾?397
8.2? NetFlow在監(jiān)測惡意代碼中的優(yōu)勢?399
8.2.1? NetFlow的性能影響?400
8.2.2? NetFlow在蠕蟲病毒監(jiān)測的應用?400
8.2.3? 網(wǎng)絡掃描和蠕蟲檢測的問題?401
8.2.4? NetFlow與谷歌地圖的集成顯示?404
8.2.5? 其他異常流量檢測結果分析?405
8.3? OSSIM下NetFlow實戰(zhàn)?406
8.3.1? NetFlow組成?406
8.3.2? 關鍵參數(shù)解釋?408
8.3.3? Sensor中啟用NetFlow?409
8.3.4? Nfsen數(shù)據(jù)流的存儲位置?410
8.3.5? NetFlows抽樣數(shù)據(jù)保存時間?412
8.3.6? NetFlow的讀取方式?412
8.3.7? nfdump的作用?414
8.3.8? 將NetFlow數(shù)據(jù)集成到Web UI的儀表盤?414
8.3.9? 分布式環(huán)境下NetFlow數(shù)據(jù)流處理?415
8.4? OSSIM流量監(jiān)控工具綜合應用?419
8.4.1? Ntop流量采集方式?419
8.4.2? Ntop監(jiān)控?420
8.4.3? 數(shù)據(jù)大小分析?425
8.4.4? 流量分析?426
8.4.5? 協(xié)議分析?430
8.4.6? 負載分析?431
8.4.7? Ntop應用-網(wǎng)絡視頻的監(jiān)視?432
8.4.8? Ntop 的風險旗幟標示?? ?434
8.4.9? 升級到Ntopng?437
8.5? 故障排除?439
8.5.1? 多網(wǎng)卡問題?439
8.5.2? Ntop Web頁面打開緩慢對策?439
8.5.3? “Sensor not available”故障對策?440
8.5.4? 暫停Ntop服務?440
8.5.5? 管理員密碼遺忘對策?441
8.6? 用Nagios監(jiān)視?441
8.6.1? Nagios實現(xiàn)原理?442
8.6.2? 利用NRPE 插件實現(xiàn)服務器監(jiān)控?443
8.6.3? Nagios的Web 界面?445
8.6.4? Naigos插件?451
8.6.5? Nagios擴展NRPE?456
8.6.6? 監(jiān)控開銷?457
8.6.7? OSSIM系統(tǒng)中應用Nagios監(jiān)控資源?457
8.6.8? Nagios報錯處理?459
8.6.9? 被動資產(chǎn)檢測PRADS?460
8.6.10? 性能監(jiān)控利器Munin?461
8.7? Nagios配置文件?462
8.7.1? 主機定義?463
8.7.2? 服務定義?464
8.8? 第三方監(jiān)控工具集成?464
8.8.1? OSSIM 2.3的集成?465
8.8.2? OSSIM 4.1的集成?466
8.8.3? OSSIM 4.6的集成?466
8.8.4? Sensor安裝Cacti?467
8.8.5? 安裝Zabbix?469
8.9? 硬件監(jiān)控?470
8.9.1? IPMI?470
8.9.2? lm-sensors?472
8.9.3? hddtemp?473
8.10? 小結?473

第9章? OSSIM應用實戰(zhàn)

9.1使用OSSIM系統(tǒng)?474
9.1.1? 初識OSSIM? WebUI?474
9.1.2? OSSIM 4.8界面?477
9.1.3? OSSIM控制中心：AlienVault Center?480
9.1.4? 基于角色的訪問權限控制?480
9.1.5 儀表盤詳解?483
9.2? OSSIM的Web UI菜單結構?485
9.3? OSSEC架構與配置?487
9.3.1? OSSEC架構?487
9.3.2? OSSEC Agent端進程?488
9.3.3? OSSEC Server端?491
9.3.4? OSSEC配置文件和規(guī)則庫?492
9.3.5? 測試規(guī)則?494
9.3.6? 分布式系統(tǒng)中OSSEC Agent的管理?495
9.3.7? OSSEC日志存儲?496
9.3.8? OSSEC Agent安裝?496
9.3.9? OSSEC觸發(fā)的關聯(lián)分析報警?507
9.3.10? 其他HIDS應用?510
9.4? 資產(chǎn)Assets管理?512
9.4.1? 資產(chǎn)發(fā)現(xiàn)?512
9.4.2? 資產(chǎn)地圖定位?513
9.4.3? 掃描控制參數(shù)?514
9.4.4? 資產(chǎn)列表?514
9.4.5? 資產(chǎn)管理工具?516
9.4.6? 資產(chǎn)分組?518
9.4.7? 資產(chǎn)快速查找?519
9.4.8? 設置Nmap掃描頻率?520
9.4.9? OCS檢測頻率?520
9.5? Openvas掃描模塊分析?520
9.5.1? 掃描流程控制?521
9.5.2? 掃描插件分析?522
9.5.3? 腳本加載過程?526
9.5.4? NASL腳本介紹?527
9.6? OpenVAS腳本分析?527
9.6.1? OpenVAS腳本類別?528
9.6.2? 同步Openvas插件?528
9.7? 漏洞掃描實踐?533
9.7.1? 漏洞庫?533
9.7.2? 常見漏洞發(fā)布網(wǎng)站?535
9.7.3? 手動更新CVE庫?536
9.7.4? 采用OpenVAS掃描?536
9.7.5? 掃描過程?541
9.7.6? 變更掃描策略?543
9.7.7? Nmap與Openvas的區(qū)別?546
9.7.8? 分布式漏洞掃描?547
9.7.9? 設置掃描用戶憑證?548
9.7.10? 掃描頻率?549
9.7.11? 漏洞掃描超時問題?550
9.8? Openvas掃描故障排除?550
9.8.1? 常見Openvas故障三則?550
9.8.2? OpenVAS故障分析?554
9.9? 配置OSSIM報警?558
9.9.1? 基本操作?558
9.9.2? 實例?559
9.10? OSSIM在蠕蟲預防中的應用?562
9.10.1? 多維度分析功能?563
9.10.2? 發(fā)現(xiàn)異常流量?563
9.10.3? 蠕蟲分析?564
9.10.4? 流量分析?565
9.10.5? 協(xié)議分析?567
9.11? 時間線分析方法?568
9.11.1? 時間線分析法的優(yōu)勢?568
9.11.2? 實例?568
9.12? 利用OSSIM進行高級***檢測?570
9.12.1? 誤用檢測與異常檢測?570
9.12.2? 繪制Shellcode代碼執(zhí)行流程圖?573
9.12.3? 收集異常行為流量樣本?574
9.13? 合規(guī)管理及統(tǒng)一報表輸出?575
9.13.1? 合規(guī)管理目標?575
9.13.2? 主要技術?575
9.13.3? 什么是合規(guī)？?576
9.13.4? 理解PCI合規(guī)遵從?576
9.13.5? 報表類型?579
9.13.6? 日志合規(guī)檢測?581
9.13.7? 報表合規(guī)性?584
9.14? 小結?587

第10章? 基于B/S架構的數(shù)據(jù)包捕獲分析

?
10.1? 數(shù)據(jù)包捕獲?588
10.1.1? 數(shù)據(jù)包捕獲設定?589
10.1.2? 抓包區(qū)域說明?590
10.1.3? 抓包時提示“This traffic capture is empty”的解決辦法?
10.1.4? 遠程故障排除案例?591
10.2? 數(shù)據(jù)包過濾種類?592
10.3? 過濾匹配表達式實例?594
10.3.1? 過濾基礎?594
10.3.2? 協(xié)議過濾?594
10.3.3? 對端口的過濾?595
10.3.4? 對包長度的過濾?595
10.3.5? ngrep過濾?596
10.4? 命令行工具tshark和dumpcap?597
10.4.1? tshark應用基礎?597
10.4.2? Dumpcap使用?598
10.4.3? 用tshark分析pcap?599
10.5? 使用tcpdump過濾器?601
10.5.1? tcpdump過濾器基礎?602
10.5.2? 其他常見過濾器使用方法?603
10.5.3? 通過Traffic Capture抓包存放位置?604
10.6? 針對IE瀏覽器漏洞的***分析?604
10.6? 小結?611

參考文獻?620

?

? ?此外，在隨書光盤中提供OSSIM 安裝鏡像+學習視頻+OSSIM源碼，作者博客中還提供了書中涉及的虛擬機環(huán)境，各種工具軟件和讀者答疑服務。

??? 許多初學者操作OSSIM猶如無頭蒼蠅，什么都想研究，喜歡鉆牛角尖，遇到問題總是先問，再解決問題。，任何問題都需要定位分析，再解決，再總結。面對問題要靜下心來通過自己對基礎的認識來分析可能的原因，然后逐步縮小范圍，最后位問題。
???? 冰凍三尺，非一日之寒,這本書希望讀者朋友能夠在研究SIEM糾結的時候想起還可依賴它。因為本書不僅僅在講解一些知識，同時也包含了作者以及身邊同事的一些工作經(jīng)歷，以及那些痛苦與糾結，我們希望在這本書的陪伴下，你在糾結之時選擇的不是放棄自我，而是堅持到勝利的那一刻。

總結

以上是生活随笔為你收集整理的《开源安全运维平台-OSSIM最佳实践》将于2015年底出版的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。