《开源安全运维平台:OSSIM最佳实践》内容简介
《开源安全运维平台:OSSIM最佳实践 》
李晨光 著
清华大学出版社出版
内 容 简 介
在传统的异构网络环境中,运维人员往往利用各种复杂的监管工具来管理网络,由于缺乏一种集成安
全运维平台,当遇到故障时总是处于被动“救火”状态,如何将资产管理、流量监控、漏洞管理、入侵监
测、合规管理等重要环节,通过开源软件集成到统一的平台中,以实现安全事件关联分析,可从本书介绍
的OSSIM 平台中找到答案。本书借助作者在OSSIM 领域长达10 年开发应用实践经验之上,以大量生动
实例阐述了基于插件收集日志并实现标准化,安全事件规范化分类,关联分析的精髓,书中为读者展示的
所有知识和实例均来自大型企业中复杂的生产环境,并针对各种难题给出解决方案。
全书共分三篇,10 章:第一篇(第1~2 章)主要介绍OSSIM 架构与工作原理、系统规划、实施关键
要素和过滤分析SIEM 事件的要领。第二篇(第3~6 章)主要介绍OSSIM 所涉及的几个后台数据库,重
点强调安全事件分类聚合、提取流程、关联分析算法、Snort 规则分析等技巧。第三篇(第7~10 章)主要
介绍日志收集方法和标准化实现思路以及在OSSIM 中用HIDS/NIDS、NetFlow 抓包分析异常流量的方法,
深入分析了OpenVAS 架构和脚本分析方法。
本书可以作为开源安全技术研究人员、网络安全管理人员以及高校计算机专业师生学习参考使用。
本书的篇章结构
书的结构好比框架,而内容则是具体组成元素,本书采用了文字、图表和范例等形式,
将OSSIM复杂的结构和工作流程直观地展现给读者。全书分为三部分,共10 章。
1. 基础篇
第1章:本章从OSSIM 起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必
要性,进而介绍OSSIM 架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标
准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。
第2章:本章从OSSIM实施关键要素、安装策略、硬件选型开始,深入分析单机部署,
分布式体系、传感器设置等重要安装工作。分析安装过程以图文并茂的方式,指出了系统配
置过程,包括实体机、虚拟机不同环境中的安装方法及注意事项。最后重点分析了SIEM 事
件控制台的使用和事件过滤方法。
2. 提高篇
第3章:本章对于OSSIM 开发人员很有帮助,除了介绍OSSIM 数据库组成、表结构,
以及系统迁移备份等技巧以外,还包括各种常见MySQL故障等内容。
第4 章:本章从关联分析基础讲起,逐步深入到OSSIM 安全事件提取过程,介绍了常
用的关联分析算法。还对报警事件的聚合原理做了详细分析,并结合OSSIM 现状采用多个
实例讲解关联规则和自定义策略的使用方法。
第5 章:本章主要介绍各种OSSIM 系统中的监控调试工具的使用,以及系统瓶颈的诊
断方法。
第6 章:本章重点介绍Snort 原理和预处理程序发挥的作用,包括Snort 报警方法。深
入分析Snort 规则编写在OSSIM中的应用技巧以及网络异常行为分析方法。
3. 实战篇
第7 章:本章从日志标准化和收集分析方法讲起,详细分析各种服务、网络设备所产生
的日志,包括Apache、FTP、Squid、DHCP等,并通过实例详细介绍OSSIM插件开发过程。
第8 章:本章讲解NetFlow 进行异常流量分析的方法,包括NetFlow数据采集和过滤方
法,介绍了分布式环境中,利用NetFlow 监测异常流量的技巧,同时针对OSSIM 中Ntop、
Nagios、NetFlow 三种检测工具的使用方法进行了对比。最后还介绍了Cacti 和Zabbix 第三
方开源监控软件集成的方法。
第9章:本章从OSSIM控制管理中心角色权限控制讲起,全面介绍了OSSIM Web UI的
结构,讲解了OSSEC日志分析工具的配置使用和Agent的安装方法。介绍了OSSIM中管理网
络资产的实例,并对OpenVAS扫描模块、脚本以及规则做了深入分析。展示了多个利用OSSIM
进行高级攻击检测的实例,以及利用OSSIM进行合规管理和系统统一报表输出的方法。
第10 章:本章主要讲解基于Web 方式下的抓包及数据包过滤方法,并采用该工具远程
解决网络故障的方法,重点介绍了tshark、tcpdump 等抓包工具的高级使用方法,最后以一个
典型IE 浏览器的0 day漏洞攻击的实例来检验这种工具所发挥的作用。
《开源安全运维平台:OSSIM最佳实践》内容简介的更多相关文章
- 《开源安全运维平台OSSIM最佳实践》
<开源安全运维平台OSSIM最佳实践> 经多年潜心研究开源技术,历时三年创作的<开源安全运维平台OSSIM最佳实践>一书即将出版.该书用80多万字记录了,作者10多年的IT行业 ...
- Python自动化运维 技术与最佳实践PDF高清完整版免费下载|百度云盘|Python基础教程免费电子书
点击获取提取码:7bl4 一.内容简介 <python自动化运维:技术与最佳实践>一书在中国运维领域将有"划时代"的重要意义:一方面,这是国内第一本从纵.深和实践角度探 ...
- 博云 x 某农商行 | 银行信息化运维系统升级的最佳实践
随着银行新一代信息化运维系统建设的推进,应用系统更新换代速度明显提升.数字化转型的发展对银行业务需求的敏捷性提出了越来越高的要求,促进敏捷开发和资源敏捷部署成为大势所趋. 背景 江苏某农村商业银行成立 ...
- sso 自动化运维平台
单点登录SSO(Single Sign-On)是身份管理中的一部分.本文中作者开发了一个自动化运维平台中的统一认证接口,单点登录平台通过提供统一的认证平台,实现单点登录.因此,应用系统并不需要开发用户 ...
- PB 级大规模 Elasticsearch 集群运维与调优实践
PB 级大规模 Elasticsearch 集群运维与调优实践 https://mp.weixin.qq.com/s/PDyHT9IuRij20JBgbPTjFA | 导语 腾讯云 Elasticse ...
- #研发解决方案#iDB-数据库自动化运维平台
郑昀 创建于2015/12/2 最后更新于2015/12/2 关键词:数据库,MySQL,自动化运维,AutoDDL,刷库,帐号授权,审核,回滚 提纲: 数据库自动化运维什么?别人家是怎么玩的? 我们 ...
- 【读书笔记】iOS-微信公众平台开发最佳实践
一,微信是由腾讯公司广州研发中心产品团队开发,该团队经理张小龙被称为“微信之父”,公司总裁马化腾确定该产品名称为“微信”. 二,常见问题及解决方案. 1,请求URL超时. 这种情况一般是由于服务器网速 ...
- saltstack---自动化运维平台
https://github.com/ixrjog/adminset[自动化运维平台:CMDB.CD.DevOps.资产管理.任务编排.持续交付.系统监控.运维管理.配置管理 ] https://ww ...
- 运维平台cmdb开发-day1
序读项目由来 终极目标,运维平台.自动化.装机,监控,安装软件,部署基础服务,资产管理,之前是excel,现在是客户端自动获取,变更记录 后台管理 api 采集资产 四种模式agent 定时,每天执行 ...
随机推荐
- CEGUI0.8.4引入到自己工程中
首先要确定你的CEGUI已经完全编译好,若未进行这一步请参照http://www.cnblogs.com/wenguang1996/p/5027522.html 打开VS2012新建C++工程,然后添 ...
- Hdu 5489 合肥网络赛 1009 Removed Interval
跳跃式LIS(nlogn),在普通的转移基础上增加一种可以跨越一段距离的转移,用一颗新的树状数组维护,同时,我们还要维护跨越完一次后面的转移,所以我用了3颗树状数组.. 比赛的时候一句话位置写错了,然 ...
- 字符串操作 replace
"hello".charAt(0); // "h" "hello, world".replace("hello", &q ...
- Ajax开发中服务端Response的Content-Type
转自http://www.cnblogs.com/hyl8218/archive/2010/03/10/1681484.html ajax开发中在请求服务器端的响应时, 对于每一种返回类型 规范的做法 ...
- Android drawable微技巧
家都知道,在Android项目当中,drawable文件夹都是用来放置图片资源的,不管是jpg.png.还是9.png,都可以放在这里.除此之外,还有像selector这样的xml文件也是可以放在dr ...
- fnciton
-----oracle将字段字符分隔作为临时表 select column_value as site_id from table (select fn_split_clob(dashboard_pr ...
- JS控制的几种页面跳转方式和传值
第一种:<script language="javascript" type="text/javascript">window.location.h ...
- angular的$scope
angularJS是一个MVVM的前端js框架. $scope的作用是angular向视图(html)传递数据的通道,它不负责处理和操作数据.也就是说要想向视图传递数据的话,必须定义$scope变量. ...
- Oracle 截取字符串
如下有一个创建函数的代码,是将一穿字符串按照逗号‘,’分割成若干段 create or replace function SplitStringByComma(aName in varchar2) r ...
- [原创]DC-DC输出端加电压会烧毁
在调试智能钥匙连续开锁出现故障的问题排查过程中,为了对比模拟开关TS5A3166对于开锁数据通信的影响,尝试短接模拟开关的输入输出脚,未曾想乌龙了一把,错把DC-DC芯片输入输出短接了(两者都是S ...