zoukankan      html  css  js  c++  java
  • 《开源安全运维平台:OSSIM最佳实践》内容简介

    《开源安全运维平台:OSSIM最佳实践 》

    李晨光 著 

    清华大学出版社出版

    内 容 简 介
    在传统的异构网络环境中,运维人员往往利用各种复杂的监管工具来管理网络,由于缺乏一种集成安
    全运维平台,当遇到故障时总是处于被动“救火”状态,如何将资产管理、流量监控、漏洞管理、入侵监
    测、合规管理等重要环节,通过开源软件集成到统一的平台中,以实现安全事件关联分析,可从本书介绍
    的OSSIM 平台中找到答案。本书借助作者在OSSIM 领域长达10 年开发应用实践经验之上,以大量生动
    实例阐述了基于插件收集日志并实现标准化,安全事件规范化分类,关联分析的精髓,书中为读者展示的
    所有知识和实例均来自大型企业中复杂的生产环境,并针对各种难题给出解决方案。

    全书共分三篇,10 章:第一篇(第1~2 章)主要介绍OSSIM 架构与工作原理、系统规划、实施关键
    要素和过滤分析SIEM 事件的要领。第二篇(第3~6 章)主要介绍OSSIM 所涉及的几个后台数据库,重
    点强调安全事件分类聚合、提取流程、关联分析算法、Snort 规则分析等技巧。第三篇(第7~10 章)主要
    介绍日志收集方法和标准化实现思路以及在OSSIM 中用HIDS/NIDS、NetFlow 抓包分析异常流量的方法,
    深入分析了OpenVAS 架构和脚本分析方法。

    本书可以作为开源安全技术研究人员、网络安全管理人员以及高校计算机专业师生学习参考使用。

    本书的篇章结构

    书的结构好比框架,而内容则是具体组成元素,本书采用了文字、图表和范例等形式,
    将OSSIM复杂的结构和工作流程直观地展现给读者。全书分为三部分,共10 章。

    1. 基础篇


    第1章:本章从OSSIM 起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必
    要性,进而介绍OSSIM 架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标
    准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。
    第2章:本章从OSSIM实施关键要素、安装策略、硬件选型开始,深入分析单机部署,
    分布式体系、传感器设置等重要安装工作。分析安装过程以图文并茂的方式,指出了系统配
    置过程,包括实体机、虚拟机不同环境中的安装方法及注意事项。最后重点分析了SIEM 事
    件控制台的使用和事件过滤方法。

    2. 提高篇


    第3章:本章对于OSSIM 开发人员很有帮助,除了介绍OSSIM 数据库组成、表结构,
    以及系统迁移备份等技巧以外,还包括各种常见MySQL故障等内容。
    第4 章:本章从关联分析基础讲起,逐步深入到OSSIM 安全事件提取过程,介绍了常
    用的关联分析算法。还对报警事件的聚合原理做了详细分析,并结合OSSIM 现状采用多个
    实例讲解关联规则和自定义策略的使用方法。
    第5 章:本章主要介绍各种OSSIM 系统中的监控调试工具的使用,以及系统瓶颈的诊
    断方法。
    第6 章:本章重点介绍Snort 原理和预处理程序发挥的作用,包括Snort 报警方法。深
    入分析Snort 规则编写在OSSIM中的应用技巧以及网络异常行为分析方法。

    3. 实战篇


    第7 章:本章从日志标准化和收集分析方法讲起,详细分析各种服务、网络设备所产生
    的日志,包括Apache、FTP、Squid、DHCP等,并通过实例详细介绍OSSIM插件开发过程。
    第8 章:本章讲解NetFlow 进行异常流量分析的方法,包括NetFlow数据采集和过滤方
    法,介绍了分布式环境中,利用NetFlow 监测异常流量的技巧,同时针对OSSIM 中Ntop、
    Nagios、NetFlow 三种检测工具的使用方法进行了对比。最后还介绍了Cacti 和Zabbix 第三
    方开源监控软件集成的方法。
    第9章:本章从OSSIM控制管理中心角色权限控制讲起,全面介绍了OSSIM Web UI的
    结构,讲解了OSSEC日志分析工具的配置使用和Agent的安装方法。介绍了OSSIM中管理网
    络资产的实例,并对OpenVAS扫描模块、脚本以及规则做了深入分析。展示了多个利用OSSIM
    进行高级攻击检测的实例,以及利用OSSIM进行合规管理和系统统一报表输出的方法。
    第10 章:本章主要讲解基于Web 方式下的抓包及数据包过滤方法,并采用该工具远程
    解决网络故障的方法,重点介绍了tshark、tcpdump 等抓包工具的高级使用方法,最后以一个
    典型IE 浏览器的0 day漏洞攻击的实例来检验这种工具所发挥的作用。

  • 相关阅读:
    Pyinstaller打包程序,运行时提示ModuleNotFoundError: No module named ‘pikepdf._cpphelpers’的解决办法
    Tkinter设置askopenfilename通过filetypes指定只能打开某一种格式的文件时,不能打开文件选择器
    Tkinter设置的回调函数程序运行自动执行,点击按钮没有执行回调函数
    写Python爬虫遇到的一些坑
    【Golang】【Lite IDE】Go语言环境安装及开发工具Lite IDE的安装
    VUE--当前页面请求定时器,其他页面不需要
    Cascader 级联选择器-------------子级全选则传父级, 子级未全选则传子级
    数组去重
    上传头像后导航栏中头像同步(Vue中监听sessionStorage)
    ui-app打包创建新证书
  • 原文地址:https://www.cnblogs.com/brucexia/p/5540012.html
Copyright © 2011-2022 走看看