《开源OSSIM企业运维疑难问题解析》

《Troubleshooting OSSIM Enterprise Network Maintenance》


      时光荏苒、日月如梭。如今看到2008年写的技术文章到现在已经10年了,在此期间每周我都会把工作中遇到的各种技术问题总结下来。写博客是一种向外界传递个人观点和兴趣的一种方式,而兴趣是写作动力源泉,多年来坚持不懈的创作,换来了丰厚的回报。2018年我的第五本技术专著即将面世。

图书简介:

     

    本书共分22章,通过本人历时两年时间创作而成。重点讲解了SIEM与网络安全态势感知技术、OSSIM部署、系统安装维护技巧、OSSIM工作原理、传感器设置、插件处理、事件过滤、可视化报警、OSSIM数据库、***检测系统、漏洞扫描评估系统、中间件、日志采集与关联分析技术、资产管理、流量监控和高可用管理、OSSIM前端汉化技术、抓包分析与压力测试等OSSIM平台相关的疑难杂症处理方法,精选了安全运维人员在安装、使用、开发过程中会遇到的进千个疑难杂症,进行详细的解答,本书撰写形式新颖,采用针对性很强的问答方式并附有直观性的插图,阅读趣味性强,特别适合初中级OSSIM工程师参考学习。



检验你对OSSIM的了解程度

为了检验大家对OSSIM系统的了解程度下面例举了一些简单的测试题。如需参考问题答案,大家可开始《开源OSSIM企业运维疑难问题解析》的学习


1.jpg2.jpg3.jpg4.jpg


屏幕快照 2018-02-15 上午7.27.52.png

李晨光 作品





目 录


第一章 SIEM与网络安全态势感知. 16


Q001. 什么是SIEM?. 16

Q002. SIEM处理流程是什么?. 16

Q003目前有哪些开源SIEM产品?. 17

Q004市场上有哪些知名的商业SIEM产品?. 17

Q005 SOC和SIEM有哪些区别?. 17

Q006 传统SIEM有哪些不足?. 17

Q007 SIEM中的安全运维监控包含哪些主要内容?. 18

Q008 为什么要选择OSSIM作为运维监控平台?. 19

Q009在OSSIM架构中为何要引入威胁情报系统?. 22

Q010.在Ossim中OTX 代表什么?. 23

Q011为什么要对IP进行信誉评级?. 23

Q012如何激活OTX功能?. 24

Q013.如何手动更新IP信誉数据,如何查看这些数据?. 26

Q014如何读懂IP信誉数据库的记录格式?. 26

Q015 为什么在浏览器中无法显示由Google地图绘制的AlienVault IP信誉数据?. 27

Q016  OTX已注册账户,64位令牌位于何处?. 28

Q017.OSSIM所使用的谷歌API密钥在什么位置?. 28

Q018已在OSSIM系统中添加OTX key,为何仪表盘上没有显示?. 28

Q019 将已申请的OTX key,导入OSSIM 系统中,为何提示连接失败?. 29

Q022外部威胁情报和内部威胁情报分别来自何处?. 29

Q023 如何利用OSSIM系统内置的威胁情报识别网络APT***事件?. 30

Q024. 简述OpenSOC组成结构及主要功能,OpenSOC和OSSIM之间的区别是什么?. 31

Q025. Apache Metron是新生代的OpenSOC吗?部署难度大吗?. 32

本章测试. 33


第二章 OSSIM部署基础. 34


Q026.总结OSSIM主要版本演化过程. 34

Q027如何关闭/重启OSSIM?. 36

Q028什么是Gartner魔力象限图?如何读懂这张图?. 36

Q029 OSSIM管理员应具备什么专业素质?. 37

Q030.Ossim能安装在Windows平台上吗?. 38

Q031.对于低配配置PC能安装OSSIM吗?. 38

Q032. 如何保证OSSIM Server和Sensor之间发送数据的安全性?. 38

Q033. OSSIM属于大数据平台吗?. 38

Q034 OSSIM能作为堡垒机使用吗?. 38

Q035堡垒机的syslog日志能否转发至OSSIM统一存储?. 39

Q036.大数据安全分析平台具有哪些特征?. 39

Q037. OSSIM技术成熟吗?. 40

Q038.OSSIM平台属于CPU密集型(计算密集型)还是I/O密集型系统?. 40

Q039.Ossim中集成了哪些安全工具?. 40

Q040.OSSIM平台有几类系统用户,分别用来启动哪些进程或服务?. 40

Q041. kali Linux和ossim有什么区别?. 40

42.安装OSSIM Server组件时是否包含了Sensor组件?. 40

43 Ossim V5.5里集成了ntop工具吗?. 41

Q044.搭建一个完整的OSSIM实验环境需要哪些设备?. 41

45 OSSIM能否安装在XEN或KVM虚拟化系统上?. 41

46 OSSIM 支持在OpenStack上部署吗?. 41

47如何进入OSSIM的后台管理界面? 41

48 OSSIM如何处理海量数据?. 41

49 OSSIM中HIDS、NIDS指的是那几个开源工具?. 41

50 OSSIM server和sensor角色可以互换吗?. 41

51.OSSIM是基于Debian Linux开发,能否安装在其他Linux发型版上,例如RHAS、CentOS、SuSe Linux?  41

52 交换机镜像模式能中利用OSSIM分析多大的流量?如将服务器加装万兆网卡,能否分析万兆流量?  41

Q053分布式OSSIM系统传感器如何部署?. 41

54 Ossim能检测到DDOS***吗?能记录DDos***日志?. 42

55.Vmware vsphere 对vswitch 设置混杂模式 、Hype V上设置镜像,跟在物理交换机上做SPAN 三者功效一样吗?  42

56 Ossim能输出的报表类型有哪些? 42

57.Ossim实现报表预览打印通过什么技术实现?. 43

58.AlienVault USM中可输出那些类型的报表?. 43

59 OSSIM采用什么语言开发?,若要进行二次开发,需选用何种类型的开发人员?. 44

60 ossim能和防火墙实现联动吗?. 44

61 Ossim能阻断***源?. 44

62 Ossim能用于APT和ShellCode高级***检测?. 45

63 OSSIM能用于网络取证分析?. 46

64 Ossim Web兼容哪些浏览器?. 46

65如何部署OSSIM客户端?. 46

66.ELK平台有何特点?. 46

67 OSSIM和ELK有什么不同?. 47

68 ossim支持多少客户端. 47

69如何部署分布式OSSIM平台?. 47

70.Ossim在阿里云的网络下部署,snort可以抓到整个网络内的流量吗?. 48

72 目前国内哪些企业在应用OSSIM,其规模多大?. 48

73 OSSIM系统中哪些服务是单线程、哪些服务是多线程?. 48

74如何查看OSSIM系统中多进程?. 48

75 如何分析OSSIM系统访问网站的HTTP请求数?. 48

76为什么只能看到OSSIM服务器自身产生的流量,捕获不到局域网其他机器的流量?. 48

77.如何查看ossim-agent进程正在调用的文件?. 49

78.分布式环境中如何添加Sensor 49

79 如何查看某个进程打开了哪些文件?. 54

Q080. Ossim硬件最低配置要求是什么?. 55

Q081生产环境下选用什么OSSIM版本?. 56

Q082.目前招聘ossim工程师的职位有哪些?. 56

Q083 OSSIM适合于哪些企业?. 56

Q084 OSSIM安装简单能方便实现可视化数据分析,是否意味着对操作人员的素质要求降低?  56

Q085如何维护OSSIM?. 56

Q086能够对原版OSSIM系统进行裁剪吗?. 56

Q087终端控制台上如何区分OSSIM Server还是Sensor?. 56

88.如何查找TCP 40001端口被什么进程监听?. 56

89.如何监听系统中某个用户的网络活动?. 56

90 如何查看监听端口443的进程?. 57

91 如何查找/var/log/apache2/access.log这个日志文件正在使用的进程号?. 57

92.OSSIM在经过防火墙时需要打开哪些端口?. 57

本章测试. 58


第三章 OSSIM服务器安装. 59



Q094.如何通过U盘在安装OSSIM系统?. 59

095. OSSIM USM企业版提供了虚拟机镜像下载,能否安装在物理服务器中?. 59

96如何克隆OSSIM虚拟机以及为虚拟机做快照?. 59

97如何为Hyper-V 的虚拟机生成快照功能?. 60

98.安装时切换到命令行下面的提示信息保存在什么位置?. 60

99如何知道本机能否安装Debian ? 61

100.执行alienvault-update升级后,致使原来的配置被覆盖,为什么呢?. 61

101.执行alienvault-update命令升级之后的缓存文件如何清除?. 61

102如果升级出现异常,如何查询升级故障日志?. 62

103.为什么OSSIM没有采用最新Linux内核?. 62

104.OSSIM 5.X使用Debian Linux 3.2内核,为什么不升级到4.0内核呢?. 62

105 Admin登陆WebUI权限过大,实际应用中需要受限,OSSIM如何处理这种场景需求?. 62

106如何选择OSSIM服务器?. 62

107.安装OSSIM时能识别硬盘但无法识别网卡该如何处理?. 62

Q108选择OSSIM服务器硬件需要注意些什么问题?. 63

Q109安装ossim时需要插网线吗?. 64

Q110.在下列拓扑中,为何在WebUI页面中显示的SensorIP地址会变成路由器的e0口地址?  64

Q111在物理服务器上安装OSSIM,为什么写入grup数据,会遇到找不到sda设备的情况?. 64

Q112.OSSIM初装是仅配了单网卡,后期添加双网卡用于分析镜像流量该如何操作?. 64

Q113安装OSSIM需要选用多核还是单核CPU?CPU核心数量是越多越好吗?. 65

Q114 OSSIM服务器/传感器如何选择网卡?. 65

Q115. OSSIM为何只能识别出2TB以内的硬盘?. 65

Q116.在IBM服务器x3400 M3上安装OSSIM,现在新加一块2T的硬盘在RAID阵列中为什么无法识别?  66

Q117.为什么增加硬盘后做RIAD反而不能识别硬盘?. 66

Q118如何手动加载网卡驱动?. 66

Q119.安装ossim过程中需要联网吗?. 66

Q120.虚拟机下安装OSSIM结束后,系统重启,进入到下面图示的界停滞如何处理?. 67

Q121.非正常关机后再启动系统一直停在启动界面如何处理?. 67

Q122.当OSSIM安装完成之后如何设置WebUI初始化设置向导?. 67

Q123.如何通过CSV格式文件导入多个网段信息?. 72

Q124.如何通过文件导入网络资产?. 72

Q125. 在OSSIM配置向导中出现无法找到网段内的服务器报错该如何处理?. 73

Q126.若实现不重装系统再次调出WebUI初始化设置向导,如何操作?. 73

Q127.在Hyper-V 3.0中安装OSIM5.4 时到Suricata配置过程中卡住了如何处理?. 74

Q128.混合方式安装OSSIM 5.x发现Sensor状态为Down,为什么?. 75

Q129如何查看OSSIM的grub程序版本?. 75

Q130.Dell PowerEdge R420安装OSSIM5的安装技巧. 75

Q131. 为什么在虚拟机系统中安装OSSIM,当启动系统时出现rng-tools Plymouth 启动报错failed?  76

Q132. 系统启动过程中如何切换到字符界面? 76

Q133. Ossim 磁盘空间满导致无法启动该如何处理?. 76

Q134. OSSIM系统中IPMI服务有什么作用?为什么虚拟机启动OSSIM时会遇到IPMI服务启动失败的问题?  76

Q135.若要混合式安装OSSIM,在下图中,需选择那一项?. 76

Q136.如何进入OSSIM高级安装模式?. 77

Q137.安装过程中出现下图中所示的问题,说明了什么?. 77

Q138.通过虚拟机安装ossim时,网卡初始设置为NAT模式,后来改成桥接模式后导致网络不通为什么?  78

Q139.安装OSSIM3时,如何定义系统分区?. 78

Q140.刚装好的系统为什么OSSIM收集到的都是本地日志?. 79

Q141.安装故障案例. 79

Q142.如何在Ossim 的 rescue mode 模式下操作?. 79

Q143.ossim安装在物理联想服务器上,为什么写grup时总提示找不到sda?. 79

Q144.虚拟机下安装OSSIM,无法找到磁盘如何处理?. 80

Q145.Vware虚拟机环境中,如何为OSSIM安装Vmware Tools增强工具?. 80

Q146.如何嗅探虚拟机流量?. 82

Q147.用于分析端口镜像的网卡需要分配IP地址吗?. 84

Q148.Vmware ESXi虚拟机环境中安装OSSIM应注意哪些内容?. 84

149.在宿主机为CentOS系统中安装Vmware workstation 12虚拟机后,再安装OSSIM为什么不适合?  86

Q150.遗忘Web UI登录密码如何处理?. 86

Q151.如何在Hyper-V虚拟机下安装OSSIM?. 86

152.Hyper-V虚拟机中如何嗅探网络流量?. 92

Q153.采用笔记本电脑安装OSSIM时,如何防止其休眠?. 93

154.如何将负载分摊在多个Sensor上?. 93

Q155.常见安装错误故障提示(附图). 94

本章测试. 96


第四章 OSSIM系统维护与管理. 98


156.如何离线升级OSSIM?. 98

157.OSSIM中的update(更新)和upgrade(升级)有何区别?. 98

158.如何为OSSIM添加硬盘?. 99

159.如何确保分布式OSSIM系统的安全?. 99

160.通过浏览器访问OSSIM Server时输入用户,密码后提示口令错误如何处理?. 99

161.若在ossim服务器上启用SELinux服务后果如何?为什么?. 100

162.OSSIM仪表盘典型视图分为几类?有何特点?. 100

163.通过OSSIM v4.3能直接升级到OSSIM v5.4吗? 102

164.如何定制OSSIM系统启动画面?. 102

165.OSSIM系统中server.log日志文件有何作用?如遇此文件膨胀到10+GB该如何处理?. 102

165.如何通过代理服务器升级系统?. 103

166.apt-get 常见操作包含哪些内容?. 104

167.OSSIM升级过程中,指令upgrade和update有什么区别?. 104

168.OSSIM中IDM表示什么含义如何启动IDS服务?. 104

169.开源OSSIM系统所使用的文件系统有什么特点?有什么局限性?. 105

170.如何恢复OSSIM?. 106

171.为什么在OSSIM3.1系统上输入ossim-update升级后OCS模块消失?. 108

172.在OSSIM消息中心为什么总显示internet连接中断?. 108

173.ossim系统里的软件包中包含“amd64”字样,表示什么含义?. 108

174如何将Tickets加入知识库. 109

175.如何管理OSSIM系统服务?. 111

176.Ossim系统当使用update升级后的deb文件位于何处?. 111

177.如何校验已安装的Debian软件包?. 112

178. OSSIM下有什么好用的包管理器吗?. 112

179.如何分配OSSIM系统中tmpfs文件系统大小?. 113

180.Ossim系统如何同步时间. 113

181.如何通过删除日志来释放OSSIM平台上的磁盘空间?. 113

182.如何检测OSSIM系统整体健康状态?. 115

183.系统反应迟钝,WebUI刷新数据很慢,此时SSH连接很卡,如何排查?. 116

184如何记录WebUI中SQL查询日志信息的情况?这些内容就在何处?. 116

185.如何实现不接收系统电子邮件稿件?. 116

186.通过什么命令查询UUID号?. 116

187.服务器状态为DOWN,是什么原因导致,故障日志记录在何处?. 116

188.遗忘Web UI登录密码如何重置. 116

189.移动智能终端如何访问OSSIM?. 116

190.如何重启Ossim系统中各项服务. 118

191.如何修改Ossim登录超时时间. 119

192.如何调整Ossim 系统管理员密码登录策略. 119

194如何安装GNOME桌面环境?. 119

195如何安装FVWM环境?. 119

196.如何进入OSSIM系统的单用户模式?. 120

197.分布式OSSIM系统环境中如何启动和关闭系统?. 121

198如何用xshell、secureCrt远程登录OSSIM 122

199.如何设置邮件报警? 122

200.当使用apt-get install 安装软件过程中强行中断安装,下次再执行安装脚本是报告数据库错误,如何解决?  123

201.通过apt-get install 安装程序时遇到“Could not get lock /var/lib/dpkg/lock”提示,这是由于什么原因造成?如何解决?  124

202.Ossim系统中/var/run目录下的pid文件有何作用?. 124

203.如何更改Ossim默认网络接口. 124

204.Ossim系统中寻找和杀掉僵尸进程. 124

205.OSSIM在哪些地方体现消耗大量内存?. 125

206.如何查看admin用户活动详细信息?. 126

207.如何查看当前登录ossim系统的用户session ID?. 127

208首次安装OSSIM,登陆WebUI后提示“Operation was not completed due to a database error”一般是什么原因?  127

209如何将光盘设置为软件源?. 127

210.OSSIM中下如何添加和删除一条默认路由?. 128

211  当定期执行脚本当使用”crontab –e”编辑时,无法退出编辑环境如何处理?. 128

212.如何开启OSSIM的cron日志?. 128

213.如何查询/var/目录下2级子目录的大小,并且按升序(数据从小到大)排列?. 128

214.在OSSIM Server中将单个主机名映射到多个IP可以吗?. 129

215在OSSIM系统在举例说明,UUID有什么作用?. 129

216.Debian(Jessie8)GUI(GNOME)允许Root登录/自动登录并安装X-window环境? 129

217.OSSIM如何防止关键进程停止?. 130

218.OSSIM会将信息发送到外网吗?. 131

219.OSSIM平台如何修复包的依赖关系?. 131

220.异常关机对OSSIM平台有哪些影响?. 132

221.删除OSSIM系统里的文件时,磁盘空间不释放如何处理?. 133

222.如何手动修改服务器 IP地址?. 133

223.如何修改OSSIM的IP地址?. 134

224.如何在外网访问OSSIM?. 134

225.如何修改系统网关和DNS地址?. 135

226.如何更改默认网络接口. 135

227.如何消除终端控制台上登录菜单?. 135

227.OSSIM4.5之前的老版本出现WinScp无法登录OSSIM系统改如何处理?. 135

228.在低版本OSSIM中,如何让控制台支持高分辨率?. 136

229.如何打开和关闭系统防火墙?. 136

230.时间同步问题. 136

231.在OSSIM安装最后阶段为什么停在那里不动?系统里发生了什么情况?. 137

232.OSSIM系统中/etc/cron.d/alienvault_ip_reputation每月每天每小时的第15分钟执行一次,如果当前时间是2017-12-28:22:15:00那么接下来三次执行时间分别是多少?. 138

233.如何配置***连接?. 138

234.“阉割”OSSIM功能的5种另类用法. 140

235.如何重装Sensor?. 141

236.如何安装、配置多个Sensor?. 141

237.如何为OSSIM安装Webmin管理工具?. 147

238.如何为OSSIM安装PhpmyAdmin工具?. 147

239.传感器中用于抓包的网卡需要分配IP吗?. 149

240.如何将http重定向为https访问?. 149

241.在OSSIM WebUI login.php界面中,在登录验证前对用户名和密码如何进行加密的?. 149

242.OSSIM登录界面中如何实现用户session登录验证的安全?. 149

243.如何定制Apache404页面?. 150

244.Ossim Web站点根目录位置由什么配置文件定义路径在何处?. 150

245.OSSIM系统每次启动为什么显示”apache2 [warn] NameVirtualHost *:80 has no VirtualHosts“?  150

246.Apache出现“Could not reliably determine the server’s fully qualified domain name”提示如何处理?  150

247./usr/lib/apache2/modules/下的模块mod_wsgi.so有什么作用?. 151

248.如何迁移OSSIM系统?. 151

249.Ossim中PCIDSS和ISO 27001代表什么含义?. 152

250.如何输出30天内资产可用性报告?. 152

251.如何使用grep命令去掉配置文件的注释行和空格行?. 153

252.如何生成一个指定大小的文件. 153

253.如何在Server/sensor中发现隐藏的进程或端口?. 153

本章测试. 153


第五章 OSSIM组成结构. 156


255.请简述OSSIM开源框架的分层处理架构?. 156

256.简述OSSIM系统框架中各模块的工作流程. 157

Q257. 请画出Ossim架构原理图. 159

Q258.画出OSSIM服务器和后端数据库分离拓扑图?. 159

259.模块化架构系统的优势有哪些?. 162

260.根据OSSIM部署图说明OSSIM三层体系结构. 162

261.图中这个风险数值如何计算出来?表示什么含义?. 164

262.图5-11中优先级和可靠性表示什么含义?. 164

263如果分布式OSSIM系统的Sensor出现问题将影响那些模块的工作?. 164

264.对于高度复杂的OSSIM平台而言采用了什么技术来实现各个子模块之间消息的高速传输?  164

265.OSSIM工作流程包括哪些内容?. 164

266.配置文件/etc/ossim/ossim_setup.conf记录了哪些内容?有什么作用?. 165

267.传感器上的采集插件与监控插件有什么区别?. 165

268.OSSIM商业版和社区版有哪些主要区别?. 167

269.OSSIM中的检测器(Detector)包含哪些内容?. 168

270网络异常行为包括那几种?各自特征如何?. 169

271.网络流异常检测方法那几种?各有什么特点?. 170

272.OSSIM中的SPADE(统计包异常检测引擎)起到什么作用?. 171

273.OSSIM 代理(Agent)采用什么语言开发,作用是什么?. 171

274.代理Agent与插件Plugin有什么区别?. 173

275.Framework有什么作用?如何查看其工作状态?. 173

276.修改了OSSIM Server配置文件config.xml后如何重新启动引擎?. 173

277.简述Agent事件类型及实例分析. 174

278.OSSIM USM和Sensor安装模式他们安装包有哪些区别?. 177

279.简述ossim Server和Sensor通讯端口及作用。. 179

280.Ossim系统是把收集来的数据都统一存储到数据库里吗?. 180

281.如何访问传感器的Web页面?. 180

282.OSSIM初学者采用什么样的环境学习?. 180

283.如何把文件拷贝到ossim平台上?如何把ossim里的文件拷出?. 180

284. Ossim中Agent插件定义在那个目录?. 181

285. 如何查看Ossim系统正在使用的插件列表?. 181

286.如何增删系统的数据源插件?. 181

287更改配置后,如何在命令行下重启动ossim?. 181

288.怎样查看系统里安装了哪些Ossim的软件包?. 181

289.如何列出Ossim分布式系统的活动代理信息. 181

290. 当Ossim系统安装后,如何知道安装了哪些Ossim包或alienvault包呢?. 182

291.如何将SIEM显示***日志添加到数据源组中?. 182

292.Ossim Server启动的关键服务有哪些?如何启动?. 182

293.OSSIM服务启动顺序如何调整?. 182

294如何使用Ticket?. 183

295.Alarm与Ticket的什么区别? 183

296.Alarm报警中将网络***模式如何分类?. 185

297.SSH 与 SSL 有哪些主要区别?. 187

298.Ansible默认使用什么协议管理传感器?这样设计的优点是什么?. 187

299.SSH和Ansible服务在OSSIM中起到什么作用? 187

300.OSSIM的安全认证中心有哪几种?. 188

301.OSSIM中定义的未授权行为包括哪些?. 191

本章测试. 192

第六章 传感器sensor 195

302传感器的作用是什么?其功能范围包括哪些内容?如何查看传感器状态?. 195

303.当传感器鼓掌时状态会打叉,此时能否查询传感器上加载插件的状态吗?. 195

304.传感器能串联在网络中吗?. 195

305.如何实现将Docker容器进行OSSIM传感器,以实现将容器放在任何客户端系统中?. 196

306.OSSIM的Ansible提供了哪些模块?. 196

307.如何通过Sensor扫描资产?. 196

308.如何查看分布式系统查看传感器状态?. 196

309.为了在OSSIM的Web中显示谷歌地图,需要在Ossim服务器上连接***,还是客户机上连接***?  199

310如何让ansible来获取远程主机运行时间,在线用户平均负载信息?. 199

311如何让ansible把脚本分发到远程主机并执行?. 199

312如何添加、删除sensor?为何有时候会删除失败的情况?. 200

313传感器故障后如法查看监控数据如何处理?. 201

本章测试. 201


第七章 插件处理. 202


314.OSSIM采用何种技术解决各种网络安全设备日志格式及描述内容不统一的问题?. 202

315.传感器中负责归一化处理的插件类型及功能介绍. 202

316.OSSIM中安全事件的标准格式是什么?. 202

317.举例说明OSSIM Agent的插件采集日志流程. 203

318.为什么在数据源中找不到Extreme交换机. 206

319.在Apache插件中如何定义Apache访问日志的正则?举例说明插件匹配过程?. 206

320.常见OSSIM 数据源插件的日志存储位置有哪些?. 206

321.下图中所示的“Data Sources”列出的数据源能否自己添加?如何添加?添加的数据源如何看到效果?  208

322.如何将plugins中location定义的文件写入两个文件中?. 208

323.OSSIM支持华为和H3C网络设备插件吗?. 209

324.OSSIM支持Nginx插件吗?. 209

325.日志收集插件脚本编写流程分几个步骤?. 209

326.OSSIM系统中如何导入检测插件?. 209

327.OSSIM采集插件分为几大类,采集插件通过什么协议采集数据?. 210

328.插件进程ossim-agent被手动停止后之后为何会自己重启?. 211

329.在OSSIM 传感器中SNORT和suricata插件能同时启用吗? 212

330.如何导入自定义插件?. 213

本章测试. 213


第八章 SIEM控制台操作


Q329.如何把SIEM控制台中发现的重要日志加入知识库?. 214

330.SIEM控制台事件查看视图有几种观察模式?各有什么区别?. 216

331.如何实现在SIEM警报中显示计算机名. 217

332.在SIEM控制台事件的表单中显示“N/A”表示什么意思?. 217

333.如何设定SIEM事件保存期限?. 217

334.如何恢复SIEM事件数据库?. 218

335.OSSIM控制台中出现“AV-FREE-FEED”开头的报警,表示什么含义?. 219

336.SIEM控制台上包含哪些重要元素?. 219

337.如果在SIEM事件控制台上过滤事件?. 225

338.如何将高风险的事件进行快速分类?. 230

339如何删除与恢复安全事件?. 231

340.SIEM控制台下的这个事件数量记录在什么数据库的什么表中?. 232

341如何在命令行下手动删除SIEM里的事件?. 233

342.如何在Web页面清理SIEM数据库中的事件?. 233

343. 在Ossim中无法显示SIEM日志如何处理?. 234

344.在SIEM日志显示中常出现0.0.0.0的地址代表什么含义? 234

345使用OSSIM时,在SIEM控制台发现一些事件的源、目的地址为0.0.0.0 234

346.用OSSIM监控多个VLAN的服务器时为什么不能显示FQDN名?. 234

347.SIEM日志显示中出现0.0.0.0地址的含义. 235

348无法显示SIEM安全事件时如何处理?. 236

349.SIEM数据源与插件之间有何联系?. 236

350.什么是AVAPI事件?如何过滤掉AVAPI事件?. 237

351如何添加asset groups?. 240

352在下图中为何除了snort之外这不会显示其它数据源?. 240

353.OSSIM WebUI中出现EPS表示什么含义?. 241

本章测试. 241


第九章 可视化Alarm报警. 242


354报警事件如何产生?. 242

355.OSSIM中将报警alarm事件几类,分别表示什么含义?. 242

356如何通过可视化alarm识别网络***?. 246

357.如何在所有告警中,快速找出高风险的告警?. 254

358.Alarm报警分组有什么作用?. 255

359.如何通过Xscan触发Alarm报警?. 256

360.如何通过Metasploit工具触发Alarm报警?. 257

361.如何通过Ossim+Metasploit发掘Windows XP的Ms08-067漏洞? 261

362.如何通过Ossim实现SSH登录失败告警?. 264

363.如何正确识别IDS报警真假?. 267

364.如何将一系列网络***数据自动生成报表?. 268

365如何设置SSH登录报警策略?. 268

366.服务器遭遇暴力破解时会发出何种报警?P550 271

本章测试. 271


第十章 MySQL数据库. 272


367.OSSIM数据库有哪几种各有什么作用?. 272

368.OSSIM后台数据库能否可切换为Oracle或MongoDB吗?. 273

369.采用SecureCRT访问数据库出现乱码是什么原因?. 274

370采用phpmyadmin访问数据库时为什么会出现乱码?. 274

371.在下图所示中,开机时Mysql数据库启动失败failed由什么原因造成?. 275

372.如何在OSSIM服务器上访问数据库?常用命令包含哪些内容?. 275

373.如何查看查OSSIM数据库大小?. 276

374.OSSIM中的SQLite数据库有什么作用?如何访问?. 276

375.RRD Tool与数据库MySQL之间有什么区别?. 276

376.用户能修改Ossim系统中Mysql数据库密码吗?. 277

377.OSSIM5中运行多少Mysql数据库实例?各有什么作用?. 277

378.如何将SQL文件插入到OSSIM数据库中?. 277

379.如何一次性导入SQL文件到数据库中?. 277

380.如何把一个.sql.gz文件导入到数据库中?. 278

381.如何优化数据库的表?. 278

382.当Ossim 4.x系统数据库发生损坏如何重建数据库. 279

383.如何清理SIEM 数据库. 279

384. 如何查询Ossim数据库的host开头的表。. 279

385.如何重置Ossim数据库. 279

386. 如何备份Ossim的SIEM数据库. 280

387.OSSIM数据库如何恢复到出厂设置?. 280

388.影响OSSIM数据库性能因素有哪些?. 281

389.MySQL出现""Access denied for user 'roo'@'localhost' (using password:YES)提示如何处理? 282

390.如何利用mysqlreport来监控数据库性能?. 282

391.系统自动备份时间设定在什么时间?这个时间如何修改?. 283

392.Ossim 中的数据库能否从server 中剥离出来运行在独立的服务器上?. 284

393.Ossim数据库里event数据表和acid_event表中的数据有什么区别?. 284

394.为什么使用“mysql –u root –p pass”命令进入系统后可以使用grant授权而使用ossim-db进入数据库,授权无效呢?  284

395. Ossim 系统中出现“MySQL :ERROR 1040:Too many connections”情况如何处理?. 284

396.如何远程导出Ossim数据库表结构. 284

397.Ossim系统出现acid表错误时如何处理? 285

399在调试MySQL时出现” access denied for user 'root'@'localhost' using password yes”报错该如何处理?  285

400.在使用ossim-db命令时出现mysql“Access denied for user 'root'@'localhost'”的问题如何解决呢?  285

401.如何解决ossim数据库乱码问题?. 285

402.常见Ossim数据库分析工具那几种?各有什么特点?. 285

403.如何模拟负载?. 286

404.Mysql进程占用CPU过高的时候,该从哪些方面下手进行优化?. 287

405.如何记录OSSIM数据库的执行过程?. 288

406.如何用mysqldump备份OSSIM数据库?. 288

407.如何用xtrabackup备份OSSIM 数据库?. 289

408.数据库测试典型用例分析。. 291

409.OSSIM后台数据库MySQL负载高居不下如何处理?. 293

410.如何用MySQL Workbench分析MySQL数据库?. 293

411.OSSIM系统大量使用XML技术来存储数据,XML有何优势?. 299

412.当OSSIM系统数据库发生损坏时,如何重建数据库?. 299

413.如何查询OSSIM数据库的host开头的表?. 299

413.如何修改表alienvault的字段属性?... 295

413.如何对原有表进行增、删、改操作?

414.如何查看OSSIM系统的SIEM数据库备份情况?. 299

415.如何终止OSSIM数据库的僵尸进程? 300

416.如果负载过大在OSSIM 系统中出现“MySQL :ERROR 1040:Too many connections”情况如何处理?  300

417.如何远程导出OSSIM数据库表结构? 301

418.OSSIM系统出现acid表错误时如何处理? 301

419.能修改OSSIM系统中MySQL数据库密码?. 302

420.升级过程中数据库表意外损坏,如何修复?. 302

421.如何清理OSSIM数据库? 303

422.如何加强OSSIM的MySQL数据库安全?. 304

423.如何从数据库中提取未加密的资产ip 地址列表?. 304

424.开源OSSIM系统中WebUI中Active Event Window(days)表示什么含义,该值设定为多大合适?  305

425.如何显示acid_event表中的前5条记录?. 305

426.如何查询WebUI菜单权限设置?. 305

427.如何在数据库中查询报警分类?. 306

428.如何在OSSIM数据库中查询事件分类?. 306

429.如何在OSSIM数据库中查询OSSIM系统配置路径、端口、式样及用户配置信息?. 307

430.如何在OSSIM数据库中查询查询自定义报表类型及调用PHP文件路径?. 307

431.如何在OSSIM数据库中查询仪表盘类型参数定义,引用图片位置? 307

432.如何在OSSIM数据库中查询设备类型记录? 307

433.如何在OSSIM数据库中查询事件记录? 307

434.如何查询acid事件记录?. 308

435.如何查询主机和IP对应条目记录?. 308

436.查询从事件中提取数据,包括data_payload等. 308

437.如何统计acid_event表中sudo事件报警数量?. 309

438.查询网卡厂家MAC地址分配. 309

如何查询插件名称及插件引用?. 309

本章测试. 310


 

第十一章  ***检测Snort与Suricata 18

Q001.Snort检测规则存储在何处?如果一旦触发规则snort将会产生几种动作类型?. 18

Q002.Snort2.9版本中主要有哪些预处理插件,各有什么功能?. 18

Q003如何利用Scapy测试Snort规则. 19

Q004.Snort支持哪几种协议类型?. 19

Q005.Snort有几种工作模式?各有什么特点?. 19

Q006.当snort检测到匹配的数据包时,有几种处理方式?. 23

Q007.Snort通过什么规则来检测可疑载荷?. 23

Q008.Snort如何检测Chargen/echo DOS***?. 23

Q009.如何应用snort的Packet logger模式将捕获到的信息,记录到磁盘某目录下?. 24

Q010.在同一个网段内如何部署多个IDS?. 24

Q011.手动编译安装snort需要做何准备工作?. 24

Q012.如何在Linux下编译安装snort?. 26

Q013.如何将snort告警存入MySQL数据库?. 29

Q014如何将MySQL中的snort报警通过Web方式展示?. 33

Q015.OSSIM 的PHP IDS组件采用什么方法来接收和分析数据?. 34

Q016.IP碎片***对Snort会产生哪些危害?. 35

Q017.请解释下图中Snort规则中msg、content、threshold、reference等选项的含义。. 35

Q018.OSSIM中如何管理引用类型(REFERENCE type)?. 37

Q019.外部引用REFERENCE在OSSIM安全事件管理中起到什么作用?. 38

Q020.OSSIM5中的Suricata支持PF_Ring吗?. 39

Q021.suricata如何进行离线检测?. 40

Q022.如何利用DAPAR2000数据集重构***场景?. 40

Q023.Snort中用什么参数查看据链路层的包头信息?. 40

Q024.Snort的输出插分为几类,各有什么作用?. 42

Q025.Snort有可能产生瓶颈的输出插件有哪些?. 48

Q026.sid-msg.map和gen-msg.map有什么区别?. 48

Q027.OSSIM4.12检测器中snort状态是DOWN,而suricata是UP这种状态正常吗?它们能同时为UP状态吗?  48

Q028.在Snort的配置文件sid-msg.map有何作用?. 49

Q029.网络主动探测与被动探测有什么区别?. 49

Q030如何找出/var/log/suricata目录下24小时内访问过的日志并且找到后立即删除?. 49

Q031.在/etc/snort/rules/local.rules文件添加了条规则,为何不生效呢?. 50

Q032.Snort传感器部署在企业网的什么位置?. 50

Q033.Suricata与Snort有何区别?. 50

Q034.如何手工修改Suricata规则?. 51

Q035.Suricata没运行如何处理?. 52

Q036.如何调整Suricata同时处理数据包的数量?. 52

Q037.Suricata由几个线程和模块组成?OSSIM采用了何种模块输出模式?. 52

Q038。如何设置suricata的运行模式?. 52

Q039.Suricata事件输出分为几种?. 53

Q040.当suricata检测到可以数据包时,会以二进制格式将其存储到文件,文件名叫什么?通过什么程序读取它?  54

Q041.经过多个HTTP代理服务器后的IP将会隐藏(记录代理服务器的IP),suricata通过什么参数来记录真实客户机的IP?  54

Q042.让suricata记录所有http日志该如何修改配置文件?. 54

Q043.如何保存经suricata检测的所有数据包?. 54

Q044.如何启用suricata服务的Debug日志?. 54

Q045.如何将suricata的告警信息输出到syslog文件中?. 55

Q046.数据包在suricata检测引擎(detect-engine)中是如何匹配的?. 55

Q047.Suricata检测引擎的配置属性分几种?. 55

Q048.在一台8核的OSSIM服务器上如何改善Suricata处理性能?. 55

Q049.在高速复杂网络环境中如何提高Suricata规则检测时的数据分片传输效率?. 55

Q050.在suricata的stream引擎中对数据包重组需要占用CPU资源,为了避免无限制的重组数据包,应该修改什么参数对其进行限制?  57

Q051. 能在OSSIM上收到suricata警报,但不能在WebUI上收到为什么?. 57

Q052.系统有两块网卡,一块用作admin管理接口,一块用作嗅探网卡,这个配置保存在什么配置文件中?  57

Q053.suricata的日志文件suricata.log保存在什么路径下?该路径由什么配置文件来定义?. 57

Q054.OSSIM下Suricata 5工作模式是AF_PACKET还是PF_RING?. 57

Q055.OSSIM下的suricata工作在什么抓包方式?. 58

Q056.如何定制suricata规则?. 58

Q057.如何更新AlienVault NIDS规则和签名?. 59

Q058.Snort能作为IPS使用吗?部署方式是什么?. 60

Q059.一键式安装的开源IDS系统有哪些?. 60

Q060..Ossim系统中snort规则库在什么位置?. 60

Q061.PF_RING与ossim有什么联系?. 61

Q062.OSSIM 3中PF_RING有哪几种工作模式?. 61

Q063..如何手工修改Ossim系统的Snort规则?. 61

Q064..在Ossim中Suricata与snort有何区别?. 61

Q065..如何启用新的ET(Emergin Threats)规则?

Q066.如何配置系统中的无线***检测功能?. 62

Q067.IDS系统与网络嗅探器有什么区别?. 67

Q068.将iptables和***检测软件的集成是如何实现?. 68

Q069.Iptables模块在什么位置?. 69

Q070.举例说明OSSIM如何发现nmap扫描?. 69

Q070.如何使Snort忽略来自特定IP地址的流量? 

本章测试. 71


第十二章 基于主机的***检测:OSSEC 74


Q071.OSSEC Agent主要由哪些进程组成各有什么作用?. 74

Q072.简述Ossec server/agent工作流程及其关键进程的作用。. 74

Q072.如何实现通过ODBC方式远程访问OSSIM Server的Mysql数据库?. 75

Q073.OSSIM单台服务器能管理多少OSSEC客户端?. 75

Q074.什么是Agent和Agentless监控方式?. 75

Q075.OSSEC Server重新安装之后 Agent需要重新安装吗?. 75

Q076.OSSEC能接收处理中文日志吗?. 76

Q077.OSSIM 中HIDS控制状态里有Client-syslog、Agentless、Debug三项处于没运行和停用状态,这样正常吗?  76

Q078.如何测试OSSEC规则?. 76

Q079.Ossec Server端通过什么技术将策略文件分发到agent? 77

Q080.由于磁盘空间满,造成OSSEC进程停止故障分析案例。. 77

Q081.画出分布式环境下OSSEC和Agent通讯的数据流图. 78

Q082.一条高风险警报与事件ID=30042,它表示什么含义?. 79

Q083. Linux下如何安装Ossec Agent?. 79

Q084.如何在Debian Linux上安装OSSIM代理?. 82

Q085.Linux下安装ossec agent报错如何解决?. 82

Q086.如何在漏洞扫描任务中排除某个端口或某个IP地址?. 83

Q087.Nmap扫描和Openvas扫描有什么区别?. 83

Q088.OSSEC事件报警处理流程是什么?. 83

Q089.OSSIM的资产扫描模块的界面中怎么没有nmap扫描的按钮?. 84

Q090.如何在Windows 8环境下安装OSSEC Agent?. 84

Q091.负责控制OSSEC Agent的配置文件位于何处?. 88

Q092.出现OSSEC Agent无法连接服务器该如何处理?. 88

Q093.Windows 2012 如何安装Ossec Agent?. 89

Q094.在windows 7/8/2012 上安装ossec agent需要客户端上关闭防火墙吗?. 95

Q095.如何在Web页面查看ossec-agent状态?. 95

Q096.Ossec日志存储在什么位置?. 96

Q097.WebUI中OSSEC调用规则的后台文件位于何处?. 96

Q098.如何监听ossec-server和agent之间的数据通讯?. 97

Q099.安装Ossec Agent时,所生成的EXE二进制文件,是用什么代码写的?. 97

Q100。Windows平台上OSSEC Agent已安装,但在OSSIM Server中没有接收到日志怎么解决?  97

Q101.OSSEC 客户端联机故障排除技巧. 97

Q102.如何读懂/var/log/suricata/目录下JSon文件内容?. 98

Q103.解释下列Ossec的报警简称代码含义 AV     $TIME STAMP RID: :   $RULE ID 规则ID RL:     $RULE LEVEL 规则级别 RG:   $RULE GROUP 规则组 RC:     $RULE COMMENT        它包括$SRCIP    $DSTUSER  $FULLOG  $RULE GROUP $RULEALERT  包括:$HOSTNAME    $LOCATION  $ RULEID  $RULELEVEL  $RULE COMMENT 99

Q104.为什么有时候ossec agent无法下载? 99

本章测试. 99


第十三章 漏洞扫描OpenVAS 103


105.Openvas服务如何单独重新启动?. 103

106.当OSSIM利用OpenVas扫描到漏洞之后,能否自动修复漏洞?. 103

107.OSSIM严重漏洞有哪些?在何处查询?. 103

108.OpenVas的扫描日志存放在何处?. 103

109.CVE、CNCVE 、NVD、OSVDB、BugTraq 、SecurityFocus表示什么含义?. 103

110.OpenVAS主要进程和配置文件有哪些? 105

111.如何理解CVE漏洞库编号?. 106

112.常见漏洞发布网站有哪些?. 106

113.OpenVAs脚本采用什么语言编写?请描述脚本加载过程? 106

114.OpenVAS扫描初期如何加载脚本?. 107

115.漏洞扫描器中的脚本如何对目标进行安全检测?. 107

116.Nmap与Openvas有什么区别?. 108

117.OpenVas的扫描器openvas-scanner调用的私钥证书文件位于何处?. 108

118.OpenVas 服务器端有几个主要模块,它们之间工作流程如何? 108

119.OpenVAs扫描器出现“Failed”报错提示表示什么含义?. 109

120.OpenVAS故障排除方法实例. 110

121.什么情况下应终止漏洞扫描任务? 112

122.命令行下如何更新SCAP库?. 113

123.更新了威胁数据库后,为什么在WebUI中查询不到最新日期的威胁库数据?. 113

124.采用Nessus 与openvas扫描效果有什么区别?. 113

125.OSSIM使用OpenVAS扫描系统,可为何还保留Nessus? 114

126.使用alienvault-update命令对系统升级之后出现Openvas无法正常工作怎么解决? 115

127.无法连接到漏洞扫描器故障时如何解决?. 115

128.漏洞扫描时出现“Failed to authenticate”验证失败问题如何解决?. 116

129.漏洞扫描时间过短会发生哪些问题? 117

130.扫描资源池之外的机器会出现什么情况?如何处理?. 117

131.如何手动更新CVE库?. 118

132.OSSIM系统中设置漏洞扫描周期多长时间合适?. 118

133.用alienvault usm能检测出heartbleed漏洞吗?. 119

134.OpenVAS输出报告中用哪几种颜色对漏洞进行分类,各表示什么含义?. 119

本章测试. 119


第十四章 Memcache、RabbitMQ与Redis协同工作. 122

135为何单线程的Redis速度还能这么快?. 122

136.Memcache的作用是什么?. 122

137.Memcached和memcache分别表示什么含义?. 123

138.memcached具有身份验证功能吗?. 123

139.如何增大Redis运行内存. 123

140.OSSIM中memcached缓存服务是多线程还是单线程?. 123

141.可以通过Memcached缓存哪些内容?. 124

142.如何监控memcached? 124

143.OSSIM为什么采用消息中间件?. 125

144.RabbitMQ通讯端口是什么?. 127

145.RabbitMQ在OSSIM系统中起到什么作用?. 127

146.如何查询OSSIM服务器上消息队列以及连接信息?. 127

147.如何重置RabbitMQ节点?. 127

148.如何查看已启用的RabbitMQ插件?. 128

149.OSSIM中的RabbitMQ如何开启Web管理后台?. 128

150.OSSIM为何要引入Redis内存数据库?采用key/value存储?. 129

151.OSSIM Server使用RabbitMQ有何优势?. 130

152.OSSIM 中哪些数据适合利用缓存? 131

153.如何查询Redis端口是否被占用?. 131

154.如何查看Redis服务器的各项统计信息. 131

155.如何查看Redis服务器实时转储收到的请求?. 131

156.如何进入/退出erlang shell界面?. 132

本章测试. 132


第十五章 日志采集与分析. 134


157.日志数据包括哪些类型?. 134

158.OSSIM平台上日志可视化体现在何处?. 134

160.iptables日志有几种记录形式?各有什么区别?. 135

161.如何将iptables日志转发到指定文件?. 135

162.如何发现日志的时间被篡改?. 137

163.OSSIM的基于日志的报警如何实现?OSSIM中的syslog和OSSEC上传的日志文件之间有什么关联? 137

164.如何构建日志样本采集环境?. 137

165.为什么使用GNS3 138

166.模拟环境中使用GNS3有哪些短板?. 138

167.哪些Cisco IOS镜像适合GNS3仿真环境?. 138

168.GNS3如何模拟三层交换机?. 138

169GNS3如何模拟PIX ASA防火墙?. 138

170.日志量接近1TB如何导出到外部存储?. 138

171.如何将WebUI菜单中的Raw Logger替换为ELK?. 139

172.如何将ELK平台的日志转发到OSSIM平台?. 139

173.如何用OSSIM采集Squid日志?. 139

174.如何通过Snare把Windows事件转发至Linux日志采集服务器?. 140

175.如何用Syslog-Slogger测试syslog服务器?. 142

176.如何用logger发送测试日志?. 143

177.如何模拟真实syslog流量?. 143

178.Snare与WMI有什么区别?. 145

179.简述OSSIM日志处理流程. 145

180.原始安全事件需要具备哪些属性?. 146

181.原始日志和归一化事件有什么不同?. 147

182.如何用蜜罐技术采集***试探日志?. 148

183.将Windows日志转换为syslog日志的工具有哪些?. 149

184.Nginx支持syslog日志转发功能吗?. 149

185.如何选择合适的日志级别?. 149

186.如何识别日志中伪造的时间信息?. 150

187.如何将Windows日志转换syslog?有哪些工具可以实现?. 151

188.如何利用evtsys工具采集Windows日志并转发到syslog服务器?. 151

189.如何收集Apache日志?. 152

190.加密的日志能由Sensor收集并由Server分析吗?. 153

191.如何将Squid的访问日志 access.log 转发到OSSIM?. 153

192.OSSIM接收日志时才有的是syslog协议还是rsyslog协议?它们主要区别是什么?. 154

193.syslog和rsyslog协议能在一台机器上同时使用?. 154

194.如何用Rsyslog将日志发送到不同的日志收集器中?. 154

195.如何在OSSIM中启用SNMP?. 154

196.怎么让Linux客户机通过syslog 发送日志到Ossim Server?. 155

197.为什么 alerts.log 中突然产生大量的 AV - Alert - "1497435138" --> RID: "1003"; RL: "13"; RG: "syslog,errors,"; RC: "Non standard syslog message (size too large)."; USER: "None"; SRCIP: "None"; HOSTNAME:。。。。 这样的日志?  156

198.Syslog 每条消息最大长度是多少呢?. 156

199.OSSIM USM系统中如何从WebUI界面中导出日志?. 156

201.安全审计要求日志保存时间是多久?. 157

202.如何通过WMI方式接收日志?. 157

203.如何将VsFTP日志发送到OSSIM?. 158

本章测试. 160


第十六章 关联分析技术. 162

204.OSSIM的关联分析如何工作?. 162

205.安全事件关联分析目的是什么?. 163

206.安全事件归一化处理的步骤是什么?. 163

207.如何通过关联分析来判断***?. 164

208.OSSIM 如何将网络安全事件进行分类?. 165

209.OSSIM关联策略配置文件在什么位置?. 169

210.举例说明OSSIM关联分析指令的结构?. 169

211.OSSIM关联指令分为几类?. 171

212.如何新建关联指令?. 173

213.如何查看交叉关联规则?. 177

214.在交叉关联规则中显示数据源及插件种类为什么比较慢?. 177

215.Risk & Priority & Reliability三种在关联分析时有何关联?. 178

216.在仪表盘中Risk显示的Risk Metric的C、A值表示什么含义?. 179

217.网络评估在给主机风险评估的Risk的C、A值会发生哪些变化?这种变化反映出什么问题?  181

218.Ossec与Snort 事件能合并吗?. 182

219.如何聚合Ossec 报警信息. 183

220.如何映射同一***模式下snort和ossec产生的重复报警? 184

221.如何判断OSSEC产生同类报警?. 184

222.如何在WebUI界面配置关联指令?. 185

223.详细说明OSSIM关联规则中的属性. 189

224.SIEM控制台是如何将不同数据源的事件进行聚合处理的?. 191

225.请解释关联规则树的内在含义. 191

226.OSSIM关联分析引擎分为几种类型?可靠性和风险值在里面起到了什么作用?. 195

227.如何理解安全事件的交叉关联分析?. 196

228.风险评估三要素是什么,它们之间关系如何?. 196

229.为什么说可信度Reliability的值是动态变化的?. 198

230.内网一台邮件服务器资产值设定为5,Priority和Reliability的默认值设置为3,试问这台服务器Risk值为多少?  198

231.OSSIM中的安全事件是如何实现存储呢?. 199

232.能否将企业版 OSSIM自带的规则导入到开原版中使用?. 201

233.Ossim 的关联分析引擎是否能处理第三方安全产品的日志?. 201

234.OSSIM关联引擎有何作用,工作过程怎样?. 201

本章测试. 203


第十七章 资产管理. 204


235.Ossim平台中需要对资产的哪些特征进行监控?. 204

236.如何为资产赋值?. 205

237.如何WebUI中查看OSSIM操作系统类型和安装软件分类?. 205

238.资产扫描超时问题的解决办法. 206

239.OSSIM中资产列表位于什么位置?. 206

240.资产扫描有6个选项 代表了不同级别,级别越高,扫描速度越快,每种选项表示什么含义?  207

241.如何设置Nmap扫描频率?. 207

242.资产扫描时为什么会出现扫描的操作系统和实际操作系统版本不一致的情况?. 208

243.为什么我扫描192.168.1.0/24网段内的资产可结果包含10.0.0.0/24网段的机器呢?. 208

244.如何通过CSV文件导入资产信息?. 209

245.如何设置OCS检测频率?. 211

246资产的可靠性如何推断出来?有何意义?. 211

247 若要实现总部可以看到所有分公司的资产和事件,分公司只能看到自己的资产和事件,怎么操作?  213

248.在OSSIM5的Web UI中如何批量删除资产?. 213

249.在Ossim进行资产扫描,如果定义网段不当则会出现“Scanning network (172.16.0.0/12) with local Nmap, please wait...”提示,并且一直会停止,如何解决?. 214

250.OSSIM里的prads程序的作用是什么?. 215

251.在下图中所示,Prads启动失败如何解决?. 215

252.当监控资产过多时,系统页面为什么刷新会非常慢?. 216

253.如何为资产启用插件?. 216

254.如何在OSSIM中安装itop? 218

255.如何将OSSIM产生的告警转发到iTop的CMDB?. 225

256.如何限制itop上传文件大小?. 227

257.如何在外网访问itop站点?. 228

258.Itop安装过程中出现“ITop is read-only iTop is temporarily frozen,please wait… ”系统提示,如何处理?  228

本章测试. 228


第十八章 网络流量与主机高可用监控. 229


259.Nagios插件存储在什么位置?什么格式?. 229

260.当调整了Nagios配置文件后,如何检验配置是否正确?. 229

261.在Ossim中monit与Nagios服务有什么区别?. 229

262.RRDtool代表什么含义在OSSIM中起到什么作用?. 229

263.RRDtool绘图流程包括哪些内容?. 230

264.如何用Nagios 监控MySQL?. 230

265.OSSIM 中集成的Nagios插件在什么位置?. 231

266.如何通过Nagios插件来检测负载?. 231

267.如何利用Nagios插件来检查内存和交换分区?. 232

268.添加Nagios监控主机后,打开WebUI界面报错该如何处理?. 232

269.Nagios中显示的返回码包括哪几种表示什么含义?. 234

270.Ntop与SNMP检测网络流量相比有什么优势?Ntop流量采集方式有什么特点?. 234

271.网络中数据包大小的变化的背后隐藏了哪些玄机? Ntop如何统计流量的变化?. 234

272.用Ntop分析网络数据时,需要在交换机上设置端口镜像吗?. 236

273.. 如何重置Ntop的admin密码?. 236

274.在Ntop中通过什么功能来识别本地主机在网络中提供的服务?. 237

275.在Ossim系统中多传感器的情况下如何选择Ntop的默认传感器?. 237

276.打开Ntop时出现“Sensor not available”提示如何处理?. 238

277.打开Ntop主界面缓慢,如何处理?. 238

278.如何设置Ntop的流向统计功能?. 239

279.分布式Sensor中设置多块网卡,在使用Ntop时提示“Sensor not available please select for the above dropdown”该如何处理?  240

280在NTOP设置Loca Network Traffic Map时出现下面的错误提示如何处理?. 240

281.如何在OSSIM中安装Ntop-NG? 240

282.当蠕虫爆发时,其流量协议以及数据包大小分布上都会发生哪些异常Ntop如何感知这些变化?  241

283.如何监控OSSIM Server和Sensor的磁盘、网络、系统进程、Postfix?. 243

284.如何通过Ntop显示每个监控服务器IP流量大小?. 246

285.Ntop的本地流量图产生错误该如何处理?. 247

286.监控系统显示的时间和网络设备里的时间对应不上如何解决?. 247

本章测试. 248


第十九章 NetFlow流量分析. 249


286.为什么不能通过命令行方式,直接重启netflow?. 249

287.重启netflow 为什么没有service netflow restart这条命令?. 249

288.OSSIM服务器中的Netflow模块,由几个工具组成分别有什么作用?. 249

289.Nfdump模块由那些进程组成?各有什么功能?. 249

290.Netflows数据流存储路径在什么配置文件中定义?修改配置后没生效如何处理?. 249

291.怎样才能在数据库中查询到NetFlow的UUID?. 250

292.Sensor中如何启用Netflow功能?. 250

293.在OSSIM分布式系统中Netflow数据存储在Server端,还是Sensor端?. 251

294.OSSIM系统中如何分析Netflow数据包?. 251

295.上图中“LIST LAST 500 SESSIONS、TOP 10 SRC IPS、TOP 10 DST IPS”等参数表示什么含义?  252

296.分布式环境下如何监测Netflow数据流?. 252

297.NetFlow数据是以UDP协议传输还是TCP协议?. 255

298.NetFlow采集数据,需要在交换设备上设置端口镜像吗?. 255

299.相对于基于Payload的恶意代码检测方法而言,NetFlow的检测方法有何优势?. 255

300.OSSIM平台通过NetFlow采集的数据存放在什么位置?. 256

301.如何清理NetFlow采集的数据?. 256

302.NetFlow采集的抽样数据保存多长时间?. 258

303.如何通过命令行读取NetFlow数据?. 258

304.Netflow数据集能显示到Web UI的仪表盘吗?如何操作?. 258

305.在分布式部署OSSIM环境中多个Sensor之间如何区别来自不同Sensor的Netflow数据?. 259

306.OSSIM平台上利用NetFlow收集路由器流量会对路由器正常工作造成影响吗?. 259

307.OSSIM平台上将NetFlow数据与Google地图结合有什么优点?. 260

308.常见流量监测技术有哪些,使用哪些工具检测?. 260

309.NetFlow流量采集对网络有何影响?. 261

310.NetFlow能否检测到SYN flooding***?. 261

311.NetFlow流量采集通讯端口采用TCP还是UDP?. 261

312.出现下图中出现的情况如何处理?. 262

313.OSSIM如何分析网络异常行为?. 262

315.sFlow协议有什么功能?. 265

316.哪些软件可以分析出sflow的数据包?. 266

317.NetFlow 与sFlow 的协议有何区别?. 266

319.NetFlow 故障排除案例. 267

本章测试. 270


第二十章 OSSIM前端汉化技巧. 272


320.从事OSSIM开发需要用到哪些开发工具?. 272

321.OSSIM5.4的Web UI菜单调用源码位于何处?. 272

322.如何查询和修改系统locale?. 274

323.如何汉化OSSIM?. 274

324.OSSIM的WebUI菜单如何汉化?. 275

325.OSSIM汉化版需要修改源代码吗?. 279

326.若希望安装一套中文的OSSIM,可以在界面选择语言是选择ChineseTraditional中文(繁体)呢?  279

327.WebUI汉化后的界面,如使用IE10浏览器应该如何选择编码方式才能显示中文?. 279

328.汉化OSSIM难点在何处?. 280

329.在OSSIM的终端界面上如何能显示和输入中文字符?. 280

330.OSSIM的PHP配置在什么位置?. 280

331.如何查看PHP信息?. 281

332.在WebUI操作中如果出现上传文件超过500KB,提示需要修改什么文件?. 281

333.如何查看PHP中安装了哪些扩展模块?如何查询PHP版本信息?. 281

334.Windows环境下使用什么工具编辑 php文件?需要注意些什么?. 281

335.SecureCRT远程连接到OSSIM系统直接修改汉化PHP代码,在浏览器显示都是乱码?. 282

336.如何修改favicon图标?. 283

337.如何修改Logo图标. 283

338.如何修改WebUI中的Title标识? 283

339.如何修改红色箭头所示的菜单?. 284

340.如何定制报错页面404的代码?. 285

341.下图中SECURITY标签调用的那个PHP文件?. 285

342.SIEM控制台上,后台删除事件的子程序位于何处?. 285

343.如何在Ossim下安装gcc编译工具?. 286

344.如何查看OSSIM语言环境变量?. 286

345.OSSIM系统的WebUI背景如何更换? 286

345..如何添加菜单?

346.如何添加仪表盘配置项中新增字段?

346.OSSIM系统中的GD包有什么作用?. 287

347.OSSIM系统中的ADODB包有什么作用?其配置文件在什么位置?. 287

348.在OSSIM WebUI仪表盘里,雷达图主要表现手机数据源的传感器收集事件的数量,问题是在这个雷达图中,可以描述多少个不同的Sensor?  287

349.在下图所示的雷达图中可描述多少个不同的sensor? 288

350.下图中出现的generating report,please wait…的文字在哪儿修改?. 288

351.下图中椭圆框中文字Gooooooo在哪儿修改?. 289

352.如何将Loading Widget修改成中文字符呢?. 289

353.如何修改OSSIM的WebUI菜单?. 290

354.如何修改WebUI仪表盘的名称,如下图红圈内的字符?. 293

355.下图中的Alarm数据每隔300秒刷新一次,如何修改刷新时间?. 295

356.OSSIM的WebUI如何实现动态加载页面?. 295

357.源码中<meta http-equiv="Content-Type" content="text/html:charset=UTF-8">表示什么含义?  296

358.手机访问的WebUI源码文件位于何处?. 296

359.如何将UTC时间转化为Local时间. 296

360.jquery插件中的/usr/shre/ossim/www/js/geo_autocomplete.js脚本有什么作用?. 297

361.脚本jquery.dynatree.js有什么作用?发生故障会影响WebUI的那些功能?. 297

本章测试. 300


第二十一  压力测试及性能监控. 302


362.如何用tcpreplay重放数据包? 302

363.如何安装I/O分析工具. 302

364.如何用sysbench测试数据库?. 302

365.如何用dd工具测试系统I/O性能?. 303

366.如何使用OSSIM自带性能测试工具?. 304

367.如何在命令行下访问OSSIM站点?. 304

369.如何测试系统的IOPS(Input/Output Per Second)?. 304

370.当OSSIM服务器产生大量sockets连接时,如何查看全局统计信息?. 305

371.OSSIM系统空间不足在哪里查找大型文件?. 306

372.检测OSSIM系统整体状态的命令行工具. 307

373.图形化监控工具nmon如何使用?. 308

374.图形化监控工具xosview如何安装?. 309

375.如何用mytop监控MySQL数据库?. 309

376. 监控Linux系统资源和进程的工具. 312

377.如何找出最消耗内存的进程?. 312

378.如何测试OSSIM WebUI页面的响应速度?. 312

379.如何对OSSIM系统目录大小进行排序? 313

380.OSSIM的流量监控工具iftop 314

381.如何利用Apache自带工具ab测试OSSIM 响应速度. 315

382.如何详细了解OSSIM系统进程的网络带宽占用情况?. 316

383.OSSIM下如何使用nload软件监控流量?. 317

384.为OSSIM系统进行压力测试tcpreplay 317

385.OSSIM中如何应用hping3进行测试?. 318

386.OSSIM下如何安装Knocker工具?. 319

387.OSSIM下如何安装sendip工具?. 320

388.OSSIM如何安装Smokeping? 321

389.如何在 Ossim Server上安装Cacti?. 323

390.OSSIM Sensor上如何安装Zabbix?. 324

391.Ossim是否可以扩展整合ganglia、zabbix等其他流行监控软件数据?. 325

392.如何利用Munin工具进行性能监控?. 325

393.如何安装Glances工具? 326

本章测试. 326


第二十二章 网络嗅探分析技巧. 328


395.如何预防网络嗅探?. 328

396.SPAN端口镜像技术有何局限? 328

397.采集数据流分为几类?有什么特点?. 329

398.通过Traffic Capture抓包存放在哪儿?. 329

399.若在千兆网络环境中存储30天完整抓包数据,需要多大硬盘空间?. 330

400协议分析包括哪些内容?常用分析工具有哪些?. 330

401.如何用tcpdump监听端口间的数据通讯?. 330

402.怎么用Tcpdump分析Syslog数据包?. 331

403.如何用tshark工具实现以每秒间隔,统计 IP 地址 192.168.120.78 的封包、字节数量?. 331

404.如何利用dumpcap工具来捕获ICMP数据包. 331

405. 如何将tcpdump抓包存入文件? 332

406如何嗅探所有40009端口的数据包?如何知道TCP 40009由什么进程在监听?. 332

407.采用OSSIM 监控千兆网络环境会遇到哪些问题?. 332

408.ossim采用了哪些捕获工具?有什么特点?. 332

409.SecureCRT远程连接到OSSIM进行抓包,如何显示从网卡eth0获取的,除了TCP 22端口之外的全部流量?  332

410.ossim的tcpdump采用何种抓包模式?. 332

411.如何利用Traffic Capture功能远程排除网络故障?. 332

412.在使用OSSIM WebUI下的Traffic Capture功能时提示“This traffic capture is empty”如何处理?  333

413.分布式OSSIM系统中,在分析远程某个网段的数据包时,捕获的pcap文件存储在什么位置?  333

414.Traffic Capture分析数据包时如何对协议进行过滤?. 334

415.Traffic Capture数据包捕获的时间范围是多少?. 334

417.如何写一条基于端口的流量过滤,如显示目的TCP端口为22的数据包?. 334

如何写一条基于主机(IP)的流量过滤,显示源IP地址为192.168.150.10的数据包?. 334

如何写一条基于主机(IP)的流量过滤,显示IP地址为192.168.150.10的数据包?. 334

如何写一条基于协议和端口的流量过滤,显示来源为UDP或TCP,并且端口号在3000至5500范围内的数据包?  335

如何写一条过滤规则来显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的数据包? 335

本章测试. 335