《開源安全運維平臺：OSSIM最佳實踐 》李晨光 著? 清華大學出版社出版

內 容 簡 介
在傳統(tǒng)的異構網絡環(huán)境中，運維人員往往利用各種復雜的監(jiān)管工具來管理網絡，由于缺乏一種集成安
全運維平臺，當遇到故障時總是處于被動“救火”狀態(tài)，如何將資產管理、流量監(jiān)控、漏洞管理、入侵監(jiān)
測、合規(guī)管理等重要環(huán)節(jié)，通過開源軟件集成到統(tǒng)一的平臺中，以實現安全事件關聯(lián)分析，可從本書介紹
的OSSIM 平臺中找到答案。本書借助作者在OSSIM 領域長達10 年開發(fā)應用實踐經驗之上，以大量生動
實例闡述了基于插件收集日志并實現標準化，安全事件規(guī)范化分類，關聯(lián)分析的精髓，書中為讀者展示的
所有知識和實例均來自大型企業(yè)中復雜的生產環(huán)境，并針對各種難題給出解決方案。

全書共分三篇，10 章：第一篇（第1~2 章）主要介紹OSSIM 架構與工作原理、系統(tǒng)規(guī)劃、實施關鍵
要素和過濾分析SIEM 事件的要領。第二篇（第3~6 章）主要介紹OSSIM 所涉及的幾個后臺數據庫，重
點強調安全事件分類聚合、提取流程、關聯(lián)分析算法、Snort 規(guī)則分析等技巧。第三篇（第7~10 章）主要
介紹日志收集方法和標準化實現思路以及在OSSIM 中用HIDS/NIDS、NetFlow 抓包分析異常流量的方法，
深入分析了OpenVAS 架構和腳本分析方法。

本書可以作為開源安全技術研究人員、網絡安全管理人員以及高校計算機專業(yè)師生學習參考使用。

本書的篇章結構

書的結構好比框架，而內容則是具體組成元素，本書采用了文字、圖表和范例等形式，
將OSSIM復雜的結構和工作流程直觀地展現給讀者。全書分為三部分，共10 章。

1. 基礎篇

第1章：本章從OSSIM 起源講起，介紹了目前運維人員現狀，逐步談到應用SIEM的必
要性，進而介紹OSSIM 架構與組成原理，另外還介紹了基于插件的日志采集思路，提出標
準化安全事件的全新理念，詳細分析了OSSIM的高可用架構與實現方法。
第2章：本章從OSSIM實施關鍵要素、安裝策略、硬件選型開始，深入分析單機部署，
分布式體系、傳感器設置等重要安裝工作。分析安裝過程以圖文并茂的方式，指出了系統(tǒng)配
置過程，包括實體機、虛擬機不同環(huán)境中的安裝方法及注意事項。最后重點分析了SIEM 事
件控制臺的使用和事件過濾方法。

2. 提高篇

第3章：本章對于OSSIM 開發(fā)人員很有幫助，除了介紹OSSIM 數據庫組成、表結構，
以及系統(tǒng)遷移備份等技巧以外，還包括各種常見MySQL故障等內容。
第4 章：本章從關聯(lián)分析基礎講起，逐步深入到OSSIM 安全事件提取過程，介紹了常
用的關聯(lián)分析算法。還對報警事件的聚合原理做了詳細分析，并結合OSSIM 現狀采用多個
實例講解關聯(lián)規(guī)則和自定義策略的使用方法。
第5 章：本章主要介紹各種OSSIM 系統(tǒng)中的監(jiān)控調試工具的使用，以及系統(tǒng)瓶頸的診
斷方法。
第6 章：本章重點介紹Snort 原理和預處理程序發(fā)揮的作用，包括Snort 報警方法。深
入分析Snort 規(guī)則編寫在OSSIM中的應用技巧以及網絡異常行為分析方法。

3. 實戰(zhàn)篇

第7 章：本章從日志標準化和收集分析方法講起，詳細分析各種服務、網絡設備所產生
的日志，包括Apache、FTP、Squid、DHCP等，并通過實例詳細介紹OSSIM插件開發(fā)過程。
第8 章：本章講解NetFlow 進行異常流量分析的方法，包括NetFlow數據采集和過濾方
法，介紹了分布式環(huán)境中，利用NetFlow 監(jiān)測異常流量的技巧，同時針對OSSIM 中Ntop、
Nagios、NetFlow 三種檢測工具的使用方法進行了對比。最后還介紹了Cacti 和Zabbix 第三
方開源監(jiān)控軟件集成的方法。
第9章：本章從OSSIM控制管理中心角色權限控制講起，全面介紹了OSSIM Web UI的
結構，講解了OSSEC日志分析工具的配置使用和Ａgent的安裝方法。介紹了OSSIM中管理網
絡資產的實例，并對OpenVAS掃描模塊、腳本以及規(guī)則做了深入分析。展示了多個利用OSSIM
進行高級攻擊檢測的實例，以及利用OSSIM進行合規(guī)管理和系統(tǒng)統(tǒng)一報表輸出的方法。
第10 章：本章主要講解基于Web 方式下的抓包及數據包過濾方法，并采用該工具遠程
解決網絡故障的方法，重點介紹了tshark、tcpdump 等抓包工具的高級使用方法，最后以一個
典型IE 瀏覽器的0 day漏洞攻擊的實例來檢驗這種工具所發(fā)揮的作用。

總結

以上是生活随笔為你收集整理的《开源安全运维平台：OSSIM最佳实践》内容简介的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。