開源安全運維平臺 OSSIM 疑難解析 (提高篇)
內容描述
OSSIM(Open Source Security Information Management,開源安全信息管理)系統是一個非常流行和完整的開源安全架構體系,通過將開源產品進行集成,從而提供一種能實現安全監控功能的基礎平臺。
《開源安全運維平臺OSSIM疑難解析:提高篇》精選了作者在OSSIM日常運維操作中遇到的許多疑難雜症,並給出了相應的解決方案。本書共分為12章,內容包括入侵檢測Snort與Suricata,基於主機的入侵檢測—OSSEC,漏洞掃描OpenVAS,Memcache、RabbitMQ與Redis協同工作,日誌採集與分析,關聯分析技術,資產管理,網絡流量與主機高可用監控,NetFlow流量分析,OSSIM前端漢化技巧,壓力測試及性能監控,數據包抓包分析技巧等。
《開源安全運維平臺OSSIM疑難解析:提高篇》精選了作者在非常適合具有一定SIEM(Security Information and Event Management,安全信息和事件管理)系統實施經驗的技術經理或中高級運維工程師閱讀,還可以作為開源技術研究人員、網絡安全管理人員的參考資料。
目錄大綱
第1章入侵檢測Snort與Suricata 1
Q001 Snort檢測規則存儲在何處?如果觸發規則Snort將會產生幾種動作類型?1
Q002 Snort 2.9版本中主要有哪些預處理插件,各有什麼功能?2
Q003如何利用Scapy測試Snort規則?2
Q004 Snort有幾種工作模式,各有什麼特點?4
Q005舉例說明Snort採用什麼規則檢測可疑載荷?9
Q006 Snort如何檢測Chargen/Echo DoS攻擊?9
Q007如何使用Snort的Packet logger模式將捕獲到的信息記錄到磁盤?10
Q008在同一個網段內如何部署多個IDS?10
Q009手動編譯安裝Snort時,需要做哪些準備工作?10
Q010如何在Linux下編譯安裝Snort?11
Q011如何將Snort報警存入MySQL數據庫?15
Q012如何搭建基於BASE的可視化入侵檢測系統?19
Q013 OSSIM的PHP IDS組件採用什麼方法來接收和分析數據?25
Q014 IP碎片攻擊對Snort會產生哪些危害?25
Q015在Snort規則中,msg、content、threshold、reference選項有何含義?26
Q016 OSSIM中如何管理引用類型?28
Q017外部引用在OSSIM安全事件管理中起到什麼作用?29
Q018 OSSIM5中的Suricata支持PF_RING嗎?30
Q019如何利用DARPA 2000數據集重構攻擊場景?31
Q020在Snort中如何使用參數查看數據鏈路層的包頭信息?31
Q021 Snort的輸出插件分為幾類?各有什麼作用?32
Q022 sid-msg.map和gen-msg.map有什麼區別?38
Q023在OSSIM 4.12檢測器中Snort狀態為DOWN,而Suricata為UP,這種狀態正常嗎?
它們能同時為狀態UP嗎?39
Q024網絡主動探測與被動探測有什麼區別?39
Q025如何找出/var/log/suricata目錄下24小時內訪問過的日誌並且找到後立即刪除?40
Q026 Snort傳感器部署在企業網的什麼位置?40
Q027 Suricata與Snort有何區別?41
Q028如何調整Suricata同時處理的數據包的數量?42
Q029如何設置Suricata的運行模式?42
Q030 Suricata事件輸出分為哪幾種?如何記錄匹配的信息?43
Q031當Suricata檢測到可疑數據包時,以二進制格式將其存儲到什麼文件?通過什麼
程序讀取?43
Q032 Suricata通過什麼參數記錄真實客戶機的IP?44
Q033若讓Suricata記錄所有HTTP日誌,則該如何修改配置文件?44
Q034如何保存經Suricata檢測的所有數據包?44
Q035如何啟用Suricata服務的Debug日誌?45
Q036如何將Suricata的報警信息輸出到Syslog文件中?45
Q037數據包在Suricata檢測引擎中是如何匹配的?45
Q038 Suricata檢測引擎的配置屬性分為幾種?45
Q039在多核心OSSIM服務器上如何改善Suricata處理性能?46
Q040在高速復雜的網絡環境中,如何提高Suricata規則檢測時的數據分片傳輸效率?46
Q041在Suricata的stream引擎中對數據包重組需要佔用CPU資源,為了避免無限制地
重組數據包,應該修改什麼參數對其進行限制?47
Q042 Suricata的日誌文件suricata.log保存在什麼路徑中?該路徑由什麼配置文件
定義?48
Q043 OSSIM下Suricata的抓包方式採用AF_PACKET還是PF_RING?48
Q044如何定制Suricata規則?49
Q045如何更新AlienVault NIDS規則和簽名?50
Q046 Snort可作為IPS使用嗎?如何部署?51
Q047在OSSIM 3中,PF_RING有哪幾種工作模式?51
Q048如何啟用新的ET規則?52
Q049如何在OSSIM系統中配置無線入侵系統?52
Q050 OSSIM平台上的iptables模塊在什麼位置?58
Q051舉例說明OSSIM如何發現Nmap掃描行為。58
Q052 AIDE有什麼作用?60
Q053如何在CentOS Linux中安裝AIDE?61
Q054如何在OSSIM中安裝AIDE?62
本章測試64
第2章基於主機的入侵檢測——OSSEC 69
Q055 OSSEC Agent主要由哪些進程組成,各有什麼作用?69
Q056簡述OSSEC Server/Agent工作流程及其關鍵進程的作用。70
Q057什麼是Agent和Agentless監控?70
Q058如何測試OSSEC規則?71
Q059當因磁盤空間不足而造成OSSEC服務故障時,該如何處理?71
Q060分佈式環境下OSSEC和Agent是如何通信的?73
Q061在Linux環境中如何安裝OSSEC Agent?73
Q062 Linux下安裝OSSEC Agent報錯時應如何解決?76
Q063 Nmap掃描和OpenVAS掃描有什麼區別?77
Q064 OSSEC事件報警處理流程是什麼?77
Q065如何在Windows 8環境下安裝OSSEC Agent?78
Q066用於配置OSSEC Agent的文件位於何處?82
Q067當OSSEC Agent無法連接服務器時,該如何處理?82
Q068在Windows Server 2012中如何安裝OSSEC Agent?83
Q069如何在Web中查看OSSEC Agent狀態?88
Q070 OSSEC日誌存儲在什麼位置?89
Q071 Web UI中OSSEC調用規則的後台文件位於何處?90
Q072如何監聽OSSEC Server和Agent之間的數據通信?91
Q073 Windows平台中已安裝了OSSEC Agent,但在OSSIM服務器中沒有接收到
日誌,這怎麼解決?92
Q074 OSSEC客戶端無法連接到OSSEC服務器時,該如何處理?92
Q075 /var/log/suricata/目錄下JSON文件中的各個字段表示什麼含義?92
Q076在OSSEC輸出插件中的特定字符表示什麼含義?93
本章測試94
第3章漏洞掃描OpenVAS 98
Q077 OpenVAS的掃描日誌存放在何處?98
Q078 CVE、NVD、OSVDB、BugTraq、SecurityFocus、CNCVE表示什麼含義?98
Q079 OpenVAS主要進程和配置文件有哪些?100
Q080 OpenVAS腳本採用什麼語言編寫?請描述腳本加載過程。101
Q081 OpenVAS掃描初期如何加載腳本?102
Q082漏洞掃描器中的腳本如何對目標進行安全檢測?102
Q083 OpenVAS的掃描器openvas-scanner調用的私鑰證書文件位於何處,證書由什麼
程序創建?102
Q084 OpenVAS掃描過程分為幾個階段,服務器端有幾個主要模塊,它們之間工作
流程如何?103
Q085 OpenVAS掃描器工作狀態出現Failed提示,表示什麼含義?104
Q086用OpenVAS進行掃描時出現故障如何排除?104
Q087在什麼情況下應終止漏洞掃描任務?107
Q088 Nessus與OpenVAS的掃描效果有什麼區別?108
Q089 OSSIM使用OpenVAS掃描系統時,為何還保留Nessus規則?109
Q090使用alienvault-update命令對系統升級之後出現OpenVAS無法正常工作的情況,
如何解決?110
Q091操作過程中無法連接到漏洞掃描器,這種故障該如何解決?110
Q092漏洞掃描時間過短會發生哪些問題?111
Q093掃描資源池之外的機器會出現什麼情況,如何處理?111
Q094如何手動更新CVE庫?112
Q095 OSSIM系統中設置多長時間的漏洞掃描週期合適?112
Q096 OpenVAS導出報告中針對漏洞分類使用了幾種顏色?各表示什麼含義?113
Q097 X-Scan、Fluxay、Nessus及OpenVAS這幾款掃描軟件有何區別?114
本章測試115
第4章Memcache、RabbitMQ與Redis協同工作117
Q098為何單線程的Redis速度還能這麼快?117
Q099 Memcache的作用是什麼?117
Q100如何增大Redis運行內存?118
Q101如何安裝MemCached監控探針?119
Q102 OSSIM為什麼採用消息中間件?120
Q103 RabbitMQ在OSSIM系統中起到什麼作用?122
Q104如何查詢OSSIM服務器上的消息隊列以及連接信息?122
Q105如何重置RabbitMQ節點?122
Q106如何查看已啟用的RabbitMQ插件?123
Q107 OSSIM中的RabbitMQ如何打開Web管理後台?123
Q108 OSSIM為何要引入Redis內存數據庫,採用key/value存儲?125
Q109 OSSIM服務器使用RabbitMQ有何優勢?126
Q110如何查看Redis服務器實時轉儲收到的請求?127
Q111如何進入或退出Erlang Shell界面?127
本章測試128
第5章日誌採集與分析130
Q112在OSSIM平台上日誌可視化體現在何處?130
Q113 iptables日誌有幾種記錄形式?各有什麼區別?131
Q114如何將iptables日誌轉發到指定文件中?132
Q115如何在Web界面中查看iptables事件?134
Q116如何發現日誌時間被篡改?136
Q117為什麼使用GNS3?137
Q118在實驗環境中使用GNS3有哪些短板?137
Q119 GNS3如何模擬3層交換機?138
Q120如何將GNS3與本地網卡橋接?138
Q121如何用OSSIM採集Squid日誌?139
Q122如何通過Snare將Windows事件轉發至Linux日誌採集服務器?140
Q123如何用Syslog-Slogger測試Syslog服務器?143
Q124如何使用logger發送測試日誌?144
Q125如何模擬Syslog流量?144
Q126 WMI與Snare有什麼區別?146
Q127 OSSIM日誌處理流程是什麼?146
Q128原始安全事件需要具備哪些屬性?147
Q129原始日誌和歸一化事件有什麼不同?149
Q130將Windows日誌轉換為Syslog日誌的工具有哪些?149
Q131如何選擇合適的日誌級別?150
Q132有哪些工具可以將Windows日誌轉換為Syslog?151
Q133如何利用Evtsys工具採集Windows日誌並轉發到Syslog服務器?152
Q134如何收集Apache日誌?153
Q135為什麼在Zabbix服務器上啟用Syslog消息轉發後,服務器會出現卡頓的現象?154
Q136如何利用Rsyslog協議採集日誌?154
Q137如何用Rsyslog將日誌發送到不同的日誌收集器中?155
Q138如何在OSSIM中啟用SNMP服務?155
Q139如何讓Linux客戶機通過Syslog將日誌發送到OSSIM服務器?156
Q140 alerts.log文件中突然產生大量日誌,應如何處理?157
Q141 Syslog中每條消息的最大長度是多少?157
Q142在OSSIM企業版中如何從Web UI中導出日誌?157
Q143安全審計要求日誌保存時間是多久?158
Q144如何通過WMI方式接收日誌?158
Q145如何將VsFTP日誌發送到OSSIM?159
Q146如何將客戶端的sudo日誌重定向到服務器端指定的文件中?161
本章測試162
第6章關聯分析技術164
Q147 OSSIM的關聯分析如何工作?164
Q148安全事件關聯分析的目的是什麼?165
Q149安全事件歸一化處理的步驟是什麼?166
Q150如何通過關聯分析來判斷攻擊?167
Q151 OSSIM如何將網絡安全事件進行分類?167
Q152舉例說明OSSIM關聯分析指令的結構?171
Q153如何新建關聯指令?172
Q154如何查看交叉關聯規則?176
Q155在交叉關聯規則中顯示數據源及插件信息時為什麼比較慢?176
Q156 RISK、PRIORITY、RELIABILITY這3個參數在關聯分析時有何關聯?177
Q157在儀錶盤中,Risk顯示的Risk Metric中C、A值表示什麼含義?178
Q158在評估主機風險時,事件屬性Risk的C、A值會發生哪些變化?這些變化
反映出什麼問題?181
Q159 OSSEC與Snort事件能合併嗎?182
Q160如何聚合OSSEC報警信息?183
Q161如何判斷OSSEC產生的同類報警?184
Q162如何在Web UI中配置關聯指令?185
Q163 OSSIM中關聯規則的基本屬性是什麼,各有何含義?189
Q164 SIEM控制台如何將不同數據源的事件進行聚合處理?191
Q165 OSSIM關聯規則樹由什麼構成?含義如何?192
Q166 OSSIM關聯分析引擎分為幾種類型?可靠性和風險值在裡面起到了什麼作用?195
Q167如何理解安全事件的交叉關聯分析?196
Q168風險評估三要素是什麼?它們之間的關係如何?196
Q169為什麼說可靠性的值是動態變化的?197
Q170如果內網一台郵件服務器的資產值設定為5,而優先級和可靠性的默認值設置為3,那麼這台服務器的風險值為多少?198
Q171 OSSIM關聯引擎有何作用,工作過程是怎樣的?198
本章測試200
第7章資產管理203
Q172 OSSIM平台中需要對資產的哪些特徵進行監控?203
Q173如何為資產賦值?204
Q174 OSSIM中資產列表位於什麼位置?205
Q175資產掃描有6個選項,各表示什麼含義?205
Q176如何設置Nmap掃描週期?206
Q177為什麼掃描192.168.1.0/24網段內的資產時,結果中卻包含其他網段的資產
信息?206
Q178如何通過CSV文件導入資產信息?207
Q179如何設置OCS,使其進行週期性檢測?209
Q180調節資產的可靠性值會對風險產生什麼影響?209
Q181如何在OSSIM 5的Web UI中批量刪除資產?211
Q182在OSSIM中進行資產掃描時,如果定義網段不當則會出現“Scanning network
(172.16.0.0/12) with local Nmap,please wait...”提示,並且掃描停止。這一問題
如何解決?212
Q183 OSSIM中Prads程序的作用是什麼?213
Q184 Prads啟動失敗如何解決?213
Q185當監控的資產過多時,OSSIM系統頁面的刷新為什麼非常慢?214
Q186如何為資產啟用插件?214
Q187在OSSIM中安裝iTop的詳細步驟是什麼?216
Q188如何將OSSIM產生的報警轉發到iTop的CMDB?223
Q189如何限制iTop上傳文件的大小?225
Q190如何在外網訪問iTop站點?225
Q191在iTop安裝過程中若出現“iTop is read-only iTop is temporarily frozen,please
wait…”系統提示,該如何處理?225
本章測試226
第8章網絡流量與主機高可用監控227
Q192在OSSIM中Monit與Nagios服務有什麼區別?227
Q193 RRDTool代表什麼含義,它在OSSIM中起到什麼作用?227
Q194 RRDTool繪圖流程包括哪些內容?228
Q195如何用Nagios監控MySQL?229
Q196如何在命令行下使用Nagios插件?229
Q197如何通過Nagios插件來檢測負載?230
Q198如何利用Nagios插件來檢查交換分區和內存?230
Q199添加Nagios來監控主機後,打開Web UI時報錯該如何處理?231
Q200 Nagios中顯示的返回碼包括哪幾種,各表示什麼含義?232
Q201 Ntop流量採集方式有什麼特點?233
Q202網絡中數據包大小變化的背後隱藏了哪些玄機?Ntop如何統計流量的變化?233
Q203用Ntop分析網絡數據時,需要在交換機上設置端口鏡像嗎?235
Q204如何重置Ntop的admin密碼?236
Q205當OSSIM系統中存在多個傳感器時,如何選擇Ntop的默認傳感器?236
Q206打開Ntop時出現“Sensor not available”提示,應如何處理?237
Q207打開Ntop主界面時速度緩慢,如何處理?237
Q208如何設置Ntop中的流向統計功能?238
Q209若在分佈式系統中為傳感器設置多塊網卡,使用Ntop時提示“Sensor not available
please select for the above dropdown”,該如何處理?239
Q210在Ntop中設置Local Network Traffic Map時出現錯誤提示,應如何處理?239
Q211如何在OSSIM中安裝Ntopng?239
Q212蠕蟲爆發時,流量、協議以及數據包大小會發生哪些異常,Ntop如何感知這些
變化?240
Q213如何監控OSSIM服務器和傳感器中的磁盤、網絡、系統進程及Postfix?242
Q214如何通過Ntop顯示受控服務器的IP流量?244
Q215如何採用phpMyAdmin工具監控OSSIM服務器的流量?245
本章測試246
第9章NetFlow流量分析247
Q216 OSSIM服務器中的NetFlow模塊由幾部分組成,分別有什麼作用?247
Q217 nfdump模塊由哪些進程組成,各有什麼功能?247
Q218 NetFlow數據流存儲路徑定義在什麼文件中?修改配置後若生效該如何處理?248
Q219如何在傳感器中啟用NetFlow功能?248
Q220在OSSIM分佈式系統中,NetFlow數據存儲在服務器端還是傳感器端?249
Q221 OSSIM系統中如何分析NetFlow數據包?249
Q222 “LIST LAST 500 SESSIONS”“TOP 10 SRC IPS”“TOP 10 DST IPS”等參數
表示什麼含義?250
Q223分佈式環境下如何監測NetFlow數據流?250
Q224如何清理NetFlow採集的數據?253
Q225 NetFlow採集的抽樣數據可保存多長時間?254
Q226如何通過命令行讀取NetFlow數據?255
Q227 NetFlow數據集能在Web UI的儀錶盤中顯示嗎?255
Q228在分佈式部署的OSSIM環境中,傳感器如何區別來自不同傳感器的NetFlow
數據?256
Q229在OSSIM平台上利用NetFlow採集路由器流量會對路由器的工作造成影響嗎?257
Q230在OSSIM平台上將NetFlow數據與穀歌地圖結合有什麼優點?257
Q231 NetFlow能否檢測出SYN泛洪攻擊?258
Q232在nfsend進程中出現“Connection refused”報錯時該如何處理?258
Q233 OSSIM如何分析網絡異常行為?259
Q234 sFlow協議有什麼功能?哪些軟件可以分析sFlow的數據包?262
Q235 sFlow與NetFlow的協議有何區別?262
Q236 NetFlow接收不到流數據該如何處理?262
本章測試266
第10章OSSIM前端漢化技巧269
Q237 OSSIM 5.3中的Web UI菜單調用源碼位於何處?269
Q238 locale參數的作用是什麼?如何查詢和修改locale?271
Q239如何漢化OSSIM中的Web UI菜單?271
Q240在漢化OSSIM時需要修改源代碼嗎?275
Q241對於漢化後的Web UI界面,若使用IE 10瀏覽器應該如何選擇編碼方式才能
顯示中文?276
Q242在OSSIM終端界面上如何顯示和輸入中文字符?276
Q243 Windows環境下使用什麼工具編輯PHP文件?需要注意些什麼?277
Q244用SecureCRT遠程連接到OSSIM系統,當直接修改漢化後的PHP代碼時,
瀏覽器中顯示都是亂碼,如何處理?278
Q245如何修改Favicon圖標?278
Q246如何修改Logo圖標?278
Q247如何修改Web UI中的Title標識?279
Q248如何修改選項卡名稱?280
Q249如何更換OSSIM系統的Web UI背景?281
Q250 OSSIM系統中的ADOdb包有什麼作用?它的配置文件在什麼位置?281
Q251在OSSIM Web UI儀錶盤中,雷達圖主要顯示傳感器收集事件的數量。在該
雷達圖中,可以描述多少個不同的傳感器的信息?281
Q252如何將Loading Widget修改成中文字符?282
Q253如何修改OSSIM的Web UI菜單?283
Q254如何修改Web UI儀錶盤的名稱?286
Q255如何修改Alarm數據的300s刷新時間?288
Q256 OSSIM中的Web UI如何實現動態加載頁面?288
Q257如何將UTC(世界標準時間)轉化為本地時間?289
Q258 jQuery插件中的/usr/shre/ossim/www/js/geo_autocomplete.js腳本有什麼作用?289
Q259腳本jquery.dynatree.js有什麼作用?若發生故障會影響Web UI的哪些功能?290
本章測試290
第11章壓力測試及性能監控293
Q260如何利用Netperf測試網絡性能?293
Q261如何使用I/O分析工具dstat?295
Q262如何用sysbench測試數據庫?296
Q263如何用dd工具測試系統I/O性能?297
Q264如何使用OSSIM自帶的性能測試工具?298
Q265如何測試系統的IOPS?299
Q266當OSSIM服務器產生大量套接字連接時,如何查看全局統計信息?300
Q267 OSSIM系統空間不足時如何查找大文件?301
Q268如何檢測OSSIM系統的整體狀態?302
Q269如何使用圖形化監控工具nmon?303
Q270如何用atop監控Linux系統資源和進程?303
Q271如何找出最消耗內存的進程?304
Q272如何測試OSSIM Web UI頁面的響應速度?306
Q273如何對OSSIM系統目錄的大小進行排序?306
Q274如何使用OSSIM的流量監控工具iftop?307
Q275如何利用Apache自帶的ab工具測試OSSIM的響應速度?309
Q276如何詳細了解OSSIM系統進程的網絡帶寬佔用情況?310
Q277 OSSIM下如何使用nload軟件監控流量?310
Q278如何對OSSIM系統進行壓力測試?311
Q279 OSSIM中如何應用hping3進行測試?312
Q280 OSSIM下如何安裝工具Knocker?313
Q281 OSSIM下如何安裝sendip工具?314
Q282 OSSIM中如何安裝Smokeping?316
Q283如何在OSSIM Server上安裝Cacti?318
Q284如何在OSSIM傳感器上安裝Zabbix?320
Q285如何利用Munin工具進行性能監控?321
Q286如何安裝Glances工具?322
本章測試324
第12章數據抓包分析技巧326
Q287如何預防網絡嗅探?326
Q288 SPAN端口鏡像技術有何局限?327
Q289採集數據流分為幾類,各有什麼特點?328
Q290通過Traffic Capture抓包的數據存放在什麼位置?328
Q291若在千兆網絡環境中存儲30天的完整抓包數據,需要多大的硬盤空間?328
Q292協議分析包括哪些內容,常用的分析工具有哪些?329
Q293如何用tcpdump監聽由傳感器發送到端口的數據包?329
Q294如何用tcpdump獲取Syslog數據包?330
Q295如何將tcpdump抓包存入文件?330
Q296採用OSSIM監控千兆網絡環境會遇到哪些問題?330
Q297使用SecureCRT遠程連接到OSSIM進行抓包,如何顯示從網卡eth0獲取的
TCP 22端口之外的全部流量?331
Q298如何利用Traffic Capture遠程排除網絡故障?331
Q299在使用OSSIM Web UI的Traffic Capture時提示“This traffic capture is empty”,
應如何處理?332
Q300 Traffic Capture分析數據包時如何對協議進行過濾?332
Q301 Traffic Capture數據包捕獲的時間範圍是多少?333
Q302 Traffic Capture數據包過濾技巧有哪些?333
本章測試333
附錄Snort安裝包用途及安裝路線335
作者介紹
李晨光
OSSIM佈道師、資深網絡架構師、UNIX/Linux系統安全專家、中國計算機學會高級會員。寫作的《Linux企業應用案例精解》、《UNIX/Linux網絡日誌分析與流量監控》、《開源安全運維平台OSSIM最佳實踐》在圖書市場上具有相當搶眼的表現與口碑,且中文繁體字版本也被輸出到中國台灣地區。
李晨光先生還是51CTO、ChinaUnix、OSchina等社區的專家博主,撰寫的技術博文被國內各大IT技術社區廣泛轉載;還曾多次受邀在國內系統架構師大會和網絡信息安全大會上發表技術演講。