《开源安全运维平台:OSSIM最佳实践 》
李晨光 著
清华大学出版社出版
内 容 简 介
在传统的异构网络环境中,运维人员往往利用各种复杂的监管工具来管理网络,由于缺乏一种集成安
全运维平台,当遇到故障时总是处于被动“救火”状态,如何将资产管理、流量监控、漏洞管理、入侵监
测、合规管理等重要环节,通过开源软件集成到统一的平台中,以实现安全事件关联分析,可从本书介绍
的OSSIM 平台中找到答案。本书借助作者在OSSIM 领域长达10 年开发应用实践经验之上,以大量生动
实例阐述了基于插件收集日志并实现标准化,安全事件规范化分类,关联分析的精髓,书中为读者展示的
所有知识和实例均来自大型企业中复杂的生产环境,并针对各种难题给出解决方案。
全书共分三篇,10 章:第一篇(第1~2 章)主要介绍OSSIM 架构与工作原理、系统规划、实施关键
要素和过滤分析SIEM 事件的要领。第二篇(第3~6 章)主要介绍OSSIM 所涉及的几个后台数据库,重
点强调安全事件分类聚合、提取流程、关联分析算法、Snort 规则分析等技巧。第三篇(第7~10 章)主要
介绍日志收集方法和标准化实现思路以及在OSSIM 中用HIDS/NIDS、NetFlow 抓包分析异常流量的方法,
深入分析了OpenVAS 架构和脚本分析方法。
本书可以作为开源安全技术研究人员、网络安全管理人员以及高校计算机专业师生学习参考使用。
本书的篇章结构
书的结构好比框架,而内容则是具体组成元素,本书采用了文字、图表和范例等形式,
将OSSIM复杂的结构和工作流程直观地展现给读者。全书分为三部分,共10 章。
1. 基础篇
第1章:本章从OSSIM 起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必
要性,进而介绍OSSIM 架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标
准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。
第2章:本章从OSSIM实施关键要素、安装策略、硬件选型开始,深入分析单机部署,
分布式体系、传感器设置等重要安装工作。分析安装过程以图文并茂的方式,指出了系统配
置过程,包括实体机、虚拟机不同环境中的安装方法及注意事项。最后重点分析了SIEM 事
件控制台的使用和事件过滤方法。
2. 提高篇
第3章:本章对于OSSIM 开发人员很有帮助,除了介绍OSSIM 数据库组成、表结构,
以及系统迁移备份等技巧以外,还包括各种常见MySQL故障等内容。
第4 章:本章从关联分析基础讲起,逐步深入到OSSIM 安全事件提取过程,介绍了常
用的关联分析算法。还对报警事件的聚合原理做了详细分析,并结合OSSIM 现状采用多个
实例讲解关联规则和自定义策略的使用方法。
第5 章:本章主要介绍各种OSSIM 系统中的监控调试工具的使用,以及系统瓶颈的诊
断方法。
第6 章:本章重点介绍Snort 原理和预处理程序发挥的作用,包括Snort 报警方法。深
入分析Snort 规则编写在OSSIM中的应用技巧以及网络异常行为分析方法。
3. 实战篇
第7 章:本章从日志标准化和收集分析方法讲起,详细分析各种服务、网络设备所产生
的日志,包括Apache、FTP、Squid、DHCP等,并通过实例详细介绍OSSIM插件开发过程。
第8 章:本章讲解NetFlow 进行异常流量分析的方法,包括NetFlow数据采集和过滤方
法,介绍了分布式环境中,利用NetFlow 监测异常流量的技巧,同时针对OSSIM 中Ntop、
Nagios、NetFlow 三种检测工具的使用方法进行了对比。最后还介绍了Cacti 和Zabbix 第三
方开源监控软件集成的方法。
第9章:本章从OSSIM控制管理中心角色权限控制讲起,全面介绍了OSSIM Web UI的
结构,讲解了OSSEC日志分析工具的配置使用和Agent的安装方法。介绍了OSSIM中管理网
络资产的实例,并对OpenVAS扫描模块、脚本以及规则做了深入分析。展示了多个利用OSSIM
进行高级攻击检测的实例,以及利用OSSIM进行合规管理和系统统一报表输出的方法。
第10 章:本章主要讲解基于Web 方式下的抓包及数据包过滤方法,并采用该工具远程
解决网络故障的方法,重点介绍了tshark、tcpdump 等抓包工具的高级使用方法,最后以一个
典型IE 浏览器的0 day漏洞攻击的实例来检验这种工具所发挥的作用。