开源安全运维平台OSSIM最佳实践

《开源安全运维平台OSSIM最佳实践》经多年潜心研究开源技术，历时三年创作的《开源安全运维平台OSSIM最佳实践》一书即将出版。该书用80多万字记录了，作者10多年的IT行业技术积累，重点展示了开源安全管理平台OSSIM在大型企业网运维管理中的实践。目录第一篇基础篇第1章OSSIM架构与原理21.1OSSIM概况21.1.1从SIM到OSSIM31.1.2安全信息和事件管理（SIEM）41.1.3OSSIM的前世今生51.2OSSIM架构与组成111.2.1主要模块的关系121.2.2安全插件（Plugins）141.2.3采集与监控插件的区别151.2.4检测器（Detector）181.2.5代理（Agent）181.2.6报警格式的解码191.2.7OSSIMAgent201.2.8代理与插件的区别241.2.9传感器（Sensor）241.2.10关联引擎261.2.11数据库（Database）281.2.12Web框架（Framework）291.2.13Ajax创建交互301.2.14归一化处理311.2.15标准的安全事件格式311.2.16OSSIM服务端口351.3基于插件的日志采集371.3.1安全事件分类371.3.2采集思路371.4Agent事件类型431.4.1普通日志举例431.4.2plugin_id一对多关系441.4.3MAC事件日志举例461.4.4操作系统事件日志举例461.4.5系统服务事件日志举例461.5RRDTool绘图引擎471.5.1背景471.5.2RRDTool与关系数据库的不同481.5.3RRD绘图流程481.6OSSIM工作流程491.7缓存与消息队列491.7.1缓存系统491.7.2消息队列处理501.7.3RabbitMQ511.7.4选择Key/Value存储521.7.5Ossim下操作Redis531.7.6RedisServer配置详解561.7.7RabbitMQ、Redis与Memcached监控571.8OSSIM高可用架构591.8.1OSSIM高可用实现技术591.8.2安装环境601.8.3配置本地主机601.8.4配置远程主机611.8.5同步数据库611.8.6同步本地文件611.9OSSIM防火墙621.9.1理解Filter机制621.9.2规则匹配过程641.9.3Iptables规则库管理651.10OSSIM的计划任务661.10.1Linux计划任务661.10.2OSSIM中的计划任务681.11小结70第2章OSSIM部署与安装712.1OSSIM安装策略712.1.1定制IDS策略712.1.2传感器位置722.2分布式OSSIM体系732.2.1特别应用742.2.2多IDS系统应用742.3安装前的准备工作752.3.1软硬件配备752.3.2传感器部署762.3.3分布式OSSIM系统探针布局782.3.4OSSIM服务器的选择782.3.5网卡的选择802.3.6手动加载网卡驱动802.3.7采用多核还是单核CPU812.3.8查找硬件信息812.3.9OSSIMUSM和Sensor安装模式的区别822.3.10OSSIM商业版和免费版比较832.3.11OSSIM实施特点842.3.12OSSIM管理员分工852.4混合服务器/传感器安装模式862.4.1安装前的准备工作862.4.2开始安装OSSIM862.4.3遗忘WebUI登录密码的处理方法902.5初始化系统902.5.1设置初始页面912.5.2OTX——情报交换系统972.6VmwareESXi下安装OSSIM注意事项1002.6.1设置方法1002.6.2虚拟机下无法找到磁盘的对策1022.7OSSIM分布式安装实践1022.7.1基于OpenSSL的安全认证中心1022.7.2安装步骤1022.7.3分布式部署（VPN连接）举例1032.7.4安装多台OSSIM（Sensor）1052.7.5Sensor重装流程1102.8添加VPN连接1112.8.1需求1112.8.2Server端配置（10.0.0.30）1112.8.3配置sensor（10.0.0.31）1122.9安装最后阶段1132.10OSSIM安装后续工作1142.10.1时间同步问题1142.10.2系统升级1152.10.3apt-get常见操作1182.10.4扫描资产1192.10.5通过代理升级系统1192.10.6防火墙设置1202.10.7让控制台支持高分辨率1212.10.8手动修改服务器IP地址1212.10.9修改系统网关和DNS地址1212.10.10更改默认网络接口1222.10.11消除登录菜单1222.10.12进入OSSIM单用户模式1222.11OSSIM启动与停止1232.12安装远程管理工具1252.12.1安装Webmin管理工具1252.12.2安装PhpmyAdmin1252.12.3用PhpmyAdmin同步功能迁移数据库1272.13分布式系统查看传感器状态1282.13.1设置指示器1282.13.2注意事项1302.14安装桌面环境1312.14.1安装GNOME环境1312.14.2安装FVWM环境1322.14.3安装虚拟机1352.15自动化配置管理工具Ansible1372.15.1SSH的核心作用1382.15.2Ansible配置1392.15.3Ansible实战1392.15.4丰富的模块1442.15.5Ansible与其他配置管理的对比1442.16SIEM控制台基础1442.16.1SIEM控制台日志过滤技巧1452.16.2将重要日志加入到知识库1512.16.3SIEM中显示不同类别日志1532.16.4常见搜索信息1562.16.5仪表盘显示1562.16.6事件删除与恢复1572.16.7深入使用SIEM控制台1582.16.8SIEM事件聚合1622.16.9SIEM要素1632.16.10SIEM警报中显示计算机名1702.16.11SIEM事件保存期限1702.16.12SIEM数据源与插件的关系1712.16.13SIEM日志显示中出现0.0.0.0地址的含义1722.16.14无法显示SIEM安全事件时处理方法1732.16.15SIEM数据库恢复1732.16.17EPS的含义1742.16.17常见OSSIM安装/使用错误1752.17可视化网络攻击报警Alarm分析1772.17.1报警事件的产生1772.17.2报警事件分类1782.17.3五类报警数据包样本下载1832.17.4报警分组1832.17.5识别告警真伪1852.17.6触发OSSIM报警1852.18小结193第二篇提高篇第3章OSSIM数据库概述1953.1OSSIM数据库组成1953.1.1MySQL1953.1.2本地访问1963.1.3检查、分析表1983.1.4启用MySQL慢查询记录1993.1.5远程访问1993.1.6MongoDB2003.1.7SQLite2013.2OSSIM数据库分析工具2013.2.1负载模拟方法2023.2.2用MySQLWorkbench工具分析数据库2033.3查看OSSIM数据库表结构解析2093.4MySQL基本操作2123.5OSSIM系统迁移2133.5.1迁移准备2133.5.2恢复OSSIM2143.6OSSIM数据库常见问题解答2161.当OSSIM4系统数据库发生损坏时，如何重建数据库。2.如何查询OSSIM数据库的host开头的表。3.如何备份OSSIM的SIEM数据库。4.如何查看MySQL数据库信息。5.如何查看OSSIM系统的SIEM数据库备份情况。6.如何终止OSSIM数据库的僵尸进程。7.如果负载过大在OSSIM系统中出现“MySQL:ERROR1040:Toomanyconnections”情况如何处理。8.如何远程导出OSSIM数据库表结构。9.OSSIM系统出现acid表错误时如何处理。10.能修改OSSIM系统中MySQL数据库密码？11.当意外中断数据库写操作会会对数据库的表造成损坏，如何检查表。12.如何清理OSSIM数据库。13.如何用xtrabackup备份OSSIM数据库。14.如何快速清除SIEM数据库。15.如何记录OSSIM数据库的执行过程。16.如何优化表。17.如何用mysqldump备份数据库。3.7小结226第4章OSSIM关联分析技术2274.1关联分析技术背景2274.1.1当前的挑战2274.1.2基本概念2284.1.3安全事件之间的关系2284.2关联分析基础2294.2.1从海量数据到精准数据2294.2.2网络安全事件的分类2304.2.3Alarm与Ticket的区别2344.2.4使用Ticket2354.2.5加入知识库2364.2.6安全事件提取2374.2.7OSSIM的关联引擎2384.2.8事件的交叉关联2394.3报警聚合2404.3.1报警样本举例2404.3.2事件聚合2414.3.3事件聚合举例2424.3.4事件聚合在OSSIM中的表现形式2434.3.5SIEM中的冗余报警2444.3.6合并相似事件2454.3.7同类事件的判别2454.3.8合并流程2464.3.9事件映射2464.3.10Ossec的报警信息的聚类2474.3.11Ossec与Snort事件合并2484.4风险评估方法2494.4.1风险评估三要素2494.4.2Risk&Priority&Reliability的关系实例2504.4.3动态可信度值（Reliability）2534.4.4查看SIEM不同事件2544.5OSSIM系统风险度量方法2564.5.1风险判定2564.5.2事件积累过程2584.6OSSIM中的关联分类2594.6.1关联分类2594.6.2关联指令分类2604.6.3指令组成2624.6.4读懂指令规则2644.6.5DirectiveInfo2654.7新建关联指令2664.8OSSIM的关联规则2704.8.1关联指令配置界面2714.8.2构建规则2744.9深入关联规则2764.9.1基本操作2764.9.2理解规则树2774.9.3攻击场景构建2814.9.4报警聚合计算方法2824.10自定义策略实现SSH登录失败告警2824.11小结286第5章OSSIM系统监测工具2875.1Linux性能评估2875.1.1性能评估工具2875.1.2查找消耗资源的进程2895.2OSSIM压力测试2895.2.1软硬件测试环境2895.2.2测试项目2905.2.3测试工具2905.2.4IDS测试工具Nidsbench2935.3性能分析工具实例2955.3.1sar2965.3.2vmstat2965.3.3用iostat分析I/O子系统2975.3.4dstat2985.3.5iotop3005.3.6atop3005.3.7替代netstat的工具ss。3005.4OSSIM平台中MySQL运行状况3015.4.1影响MySQL性能的因素3015.4.2系统的IOPS3025.5Syslog压力测试工具——Mustsyslog使用3035.5.1安装mustsyslog3045.5.2日志模板设计3065.5.3日志标签说明3065.5.4域标签举例3065.6常见问题解答3071.OSSIM系统空间不足在哪里查找大型文件。2.何时应考虑增加系统内存。3.检测OSSIM系统整体状态的命令行工具4.监控MySQL利器-mytop5.监控Linux系统资源和进程的工具。6.如何找出最消耗内存的进程（smem）7.如何对OSSIM系统目录大小进行排序?(ncdu)。8.OSSIM的流量监控工具iftop。9.如何利用Apache自带工具ab测试OSSIM响应速度。10.如何详细了解OSSIM系统进程的网络带宽占用情况11.为OSSIM系