下面列出的《开源OSSIM企业运维疑难问题解析--入门篇》中针对OSSIM日常运维中遇到的问题总结而成下列测试题(局部)。

 

一、多项选择题

1AlienVault OTX 表示开放式威胁交换,OSSIM中将IP信誉评价数据记录在哪个文件中?(  

A/etc/ossim/server/reputation.data            B/etc/ossim/agent/config.cfg


2SIEM全称是什么?( 

A.安全信息与事件管理                                 B.安全信息管理系统


3.下列选项中不属于开源SIEM系统的是哪一项?(  )。

AOSSIM                                                           BopenSOC

Capache metron                                             DHP arcsight


4.下列产品中不属于威胁情报系统的是哪一个?(  

AAlienVault USM Enterprise                        BInsightIDR

CSecuritycenter CV                                       DFireEye

E.Cyveilance                                                       FIBM X-force Exchange

GLogRhythm                                                  HVerisign

IElasticSearch

 

5.要查看TCP 22端口运行了什么进程,应该输入下面哪个命令?( 

Alsof -i :22                                             Bnetstat -na


6OSSIM系统中大量采用了多进程服务,下面不属于多进程的服务是哪项?(  

Aiptables                                                 BMySQL

Cossim-agent                                          Dossim-server

Eossim-framewrok


7OSSIM平台适合部署在下列哪种(些)网络环境中?(  

A.公有云                                                  B.私有云

C.企业内网


8.下列那些行为属于I/O密集型计算?(  

A.包转发                                                  BSnort规则匹配

C.数据库存储


9.能够实现在命令行下以树状结构显示进程的命令是哪个?( 

Aps –ef                                                                             Bpstree  -p

 

10.下列选项中能够在虚拟机下实现网络嗅探功能的虚拟机软件是什么?( 

AXen-Server                                           BKVM

CVMware workstation


11.这面这条命令的作用是什么?(

#find . -maxdepth 1 -type f -size +10M -printf "%f:%s\n" | sort -t ":" -k2

 

A.由小到大列出当前目录大小超过10Mb的文件

B.列出当前目录下10M的文件


12.在宿主机Windows 10系统中已安装了VMware workstation虚拟机软件,下列选项中的哪一个可以同时和VMware虚拟机软件一起运行?( 

AVirtualBox                                            BHyper-V


13为了在OSSIM系统启动时看到详细启动过程,下面哪种方法可以实现?( 

A.开机按下F8键盘

B.开机BIOS自检后引导操作系统时按下Esc


14命令行下更新SCAP库的命令是哪个?(  

Aopenvas-scapdata-sync                    Bopenvas-nvt-sync


15在一台物理服务器中安装OSSIM,下列哪种方法最适合?(  )。

A.磁盘RAID 0模式,采用服务器的CDROM安装

B.磁盘RAID 5模式,采用U盘安装

C.磁盘RAID 6模式,采用移动光驱安装

 

16下列(  )命令中那个不能查看Debian Linux版本号

AUname –a                                            Blsb_release  -a

Ccat /etc/Debian_version


17下列选项中最适合关闭OSSIM系统的方法是( 

Ahalt                                                        Binit 0

Csync;sync;poweroff                           Dshutdown -r now

 

18正确关闭分布式环境OSSIM系统是(  )。

A.先关闭Sensor再关闭Server           B.先关闭Server 再关闭Sensor

 

19对于运行过一段时间的OSSIM系统来说,使用alienvault-update命令后      

A.升级软件对原系统没有任何影响

B.一部分配置文件会被覆盖导致一些服务异常


20OSSIM下安装软件之前必须执行的命令是       

Aapt-get update                                     Bapt-get upgrade


21查看OSSIM属于哪一款Debian版本的命令是     

Acat /etc/issue                                        Bmore /etc/debian_version


22下列命令中无法查看gcc版本的是    

Amore /proc/version                             Buname   -a


23下列命令中无法获取Debian Linux内核版本的是    

Auname –a                                             Bmore /proc/version

Cuname


24.如果希望批量重启ossim-serversquidnagiosnfsenntop等服务最适合采用下列     命令。

Aossim-reconfig                                     Breboot


25OSSIM平台是在Debian Linux系统之上进行优化裁剪的一套大数据处理系统,通过(  )命令可以查看Debian Linux内核版本;通过(  )命令可查看OSSIM版本;通过(  )命令获取Debian Linux系统版本信息;通过(H)命令获取OSSIM对系统的资源限制列表。

Auname –a                                             Buname

Calienvault-about                                 Dalienvault-api about

Ecat /etc/debian_version                     Fcat /etc/issue

Gulimit –n                                               Hulimit -a


26SHELL下执行“image001.png”语句的作用是  

A.按降序排列消耗内存胡和进程      

B.列出最消耗磁盘I/O的进程。

 

27为一台Apache Web服务器扩容,由于进程要比线程更消耗更多的系统开销,通常最有效的方式是( )。

A.增加服务器或扩充群集节点                   

B.增加服务器中的CPU数量

 

28安装时遇到图1表示    

《开源安全运维平台OSSIM疑难解析--入门篇》 课后习题_第1张图片

1  OSSIM安装故障

A.说明系统无法安装网卡驱动          

B.没有网卡驱动


29.命令行下安装nginx出现下面报错信息,下列选项操作正确的是       

image004.png

Adpkg –configure –a                            Bapt-get update


30查询文件/etc/apache2/sites-enabled/alienvault-api.conf隶属于什么软包可以采用下列(   )命令。查询软件包alienvault-api-core中的每个文件安装到系统什么位置可采用下列(   )命令。

Adpkg –L alienvault-api-core             Bdpkg –s alienvault-api

Cdpkg –S /etc/apache2/sites-enabled/alienvault-api.conf

Dapt-cache show alienvault-api-core

 

31使用wget命令下载https://github.com/raw/master/unixbench.sh文件,下列选项中,( )命令是正确的。

Awget —no-check-certificate https://github.com/raw/master/unixbench.sh

Bwget —nossl-certificate  https://github.com/raw/master/unixbench.sh


32包含OSSIM数据库配置(包括用户名、密码及通信端口)信息的文件是( 

A/etc/ossim/ossim.conf                        B/etc/ossim/framework/ossim.conf

 

33.下面这条命的作用是( )。

image006.png

A.产生一个1024字节的空文件        

B.随机产生1万个不同文件名的文件

 

34忘记OSSIM Web UI界面中admin用户的登录密码,可采用下列     命令进行重新设置。

Aossim-reset-passwd admin               

Bpasswd admin

 

35某一天在OSSIM WEB UI仪表控制台上发现SIEMLOG记录曲线发生突变,事件节点在11点,如图2这有可能出现       故障。

《开源安全运维平台OSSIM疑难解析--入门篇》 课后习题_第2张图片

2 SEIMLOG记录曲线发生突变

AOSSIM ServerWeb Service故障       B.客户端停止发送SIEMLOG数据

C.插件不工作                                          DSensor下线


36  在控制台界面由于误操作进入到root:~$_界面,此时输入      命令才能退回#提示符下。

Ajailbreak                                               Bexit


37 某个文件(/etc/file)里面有很多内容,现在想清空该文件,使用(  )命令操作。

Acat  /etc/file > /dev/null                    Bcat /etc/file

 

38关闭OSSIM平台的SSH服务使用下列     命令

Aservice ssh stop                                    B/etc/init.d/ssh stop

 

39配置文件/etc/ossim/ossim_setup.conf记录没有记录下列         内容

A.定义Web 站点根目录                      BMySQL数据库密码

C.防火墙配置                                          D.插件

EOSSIM框架通信地址


40OSSIM中通过ansible的被管理主机,通过       文件定义。

A/etc/ansible/hosts                                B/etc/hosts


41更改配置后,在命令行下重启动Ossim服务的配置命令正确的是(  

Areboot                                                    Bossim-reconfig -c -v -d


42关闭OSSIM平台的SSH服务使用下列       命令

Aservice ssh stop                                    B/etc/init.d/ssh stop


43配置文件/etc/ossim/ossim_setup.conf记录没有记录下列         内容

A.定义Web 站点根目录                      BMySQL数据库密码

C.防火墙配置                                          D.插件

EOSSIM框架通信地址


44OSSIM中通过ansible的被管理主机,通过       文件定义。

A/etc/ansible/hosts                                B/etc/hosts


45更改配置后,在命令行下重启动Ossim服务的配置命令正确的是(     

Areboot                                                    Bossim-reconfig -c -v -d


46AnsibleOSSIM ServerSensor之间重要的配置管理工具,Ansible基于(    )语言开发。基于(    )私钥加密方式认证,私钥文件定义在(   )文件。OSSIM服务器为了向Sensor推送配置文件和接收Sensor传来的系统信息(    )在被控主机Sensor安装Agent

APython                                                  BPerl

C.无需                                                       D.需要E.SSH key

F.口令G./var/ossim/ssl/local/private/cakey_avapi.pem


47查询OSSIMAnsible模块的命令是(    )命令。

A/usr/share/alienvault/api_core/bin/ansible-doc -l

Bansible --list


48OSSIM分布式系统中,删除传感器就(   )该传感器下管理的所有资产。

A.必须删除                                              B.不必删除

 

49查看下列(     )数据源事件报警时可以下载PCAP格式的数据。

ASnort                                                      BOSSEC

CSSH                                                       Dpam.unix


50查看下列(     )数据源事件报警时,无法查看RAW log原始日志。

Asyslog                                                    Bdirective_alert

Cpam_unix D sudo                               Esnort

 

51.为了在命令行下观察OSSIM系统进程的启动过程,可在OSSIM系统开始引导时快速按下(       ),再次按下该键可以返回正常启动模式。

AEsc    B. F2    C. Ctrl+Alt+ F2   D. F3

 

52OSSIM系统安装采用图形界面,为了在命令行下观察安装详细信息可以按下(       )组合键实现。为了进入SHELL状态可按下(    )组合键,重新返回OSSIM安装图形界面可按下(    )组合键。

A. Ctrl+Alt+F1     B.Ctrl+Alt +F2     C. Ctrl+Alt +F3  D. Ctrl+Alt +F5  E.Ctrl+Alt+F7

 

53OSSIM 5启动后长时间停留在图形界面,而没有弹出登录窗口,采用(      组合键可以切换到命令行登录界面。

A . Ctrl+Alt +F3      B.Ctrl+Q        C. Ctrl+Shift+ F

 

54OSSIM正常运行过程,运行级别为(   )级

A1             B.2               C .3              D.4

 

55.在虚拟机VMware Workstation 12 Pro安装OSSIM 5.6系统,新建客户机需要选择(   )操作系统,安装过程中虚拟机(    ),可顺利安装OSSIM系统。

A.      Microsoft Windows      B.CentOS 64        C.Debian 8.x 64  D.Other Linux 

E.必须联网            F.必须断开网络

 

56安装OSSIM 5.x 安装过程中出现“Installation step failed. You can try to run the failing item again from the menu, or skip it and choose something else. The failing step is:Select and ×××tall software”报错提示,安装进程停滞,同时在屏幕右下方显示“Contine”按钮,下列处理方式中正确的是?(  

A. 断开网络重新安装系统

B. 跳过报错提示,点击“Continue”按钮,继续安装系统。

C. 镜像数据不完整,重新下载安装文件,继续安装。

 

57.出现上述问题  的原因是(    

A .虚拟机操作系统类型选择错误。

B. 内存分配太小

C. 磁盘空间不足

DOSSIM配置脚本将Postfix邮件系统别名设置为数字,导致参数配置错误,所以安装进程被中断。

 

58 . OSSIM传感器安装完成,在启动系统过程中一直停留在“startpar:service(s) returned failure: rng-tools Plymouth … failed!”一行,下列(  )方法,可以出现登录界面。

 

A. 按下Ctrl+Alt+ F3组合键

B. 增加系统内存

C. 重新安装系统                                                                                                          

 

59.在一套分布式OSSIM系统中,OSSIM服务器IP= 92.168.11.1,传感器IP=192.168.11.150,服务器和传感器之间可正常网络通信。此时小李希望直接访问传感器,在IE v10.0浏览器地址栏输入https://192.168.11.150,出现页面无法找到的错误提示,导致该该故障的原因是( )。

A.传感器安装不完整 

B.传感器上没有安装Web服务器 

C.没有设置SSL 

D.IE浏览器版本问题

 

60下列选项中      语句用于查询OSSIM数据库中以hosts开头的表。

Ashow tables like ‘host%’;                   Bshow tables ‘host%’;


61XMLeXtensible Markup Language可扩展标记语言)数据是      ,基于正则表达式工作,元素之间的关系通过嵌套方式表达,表现形式灵活。

A.半结构化信息                                     B.结构化信息


62.在WebUIAlarm菜单下的报警分为DeliveryEnvironmental AwarenessExploitationReconnaissanceSystem Compromise五类,下列      命令可以列出这五类报警

ASELECT * FROM `alarm_kingdoms`;   BSELECT * FROM `alarm `;

 

63.在数据库中,按顺序显示所有事件告警分类的命令是( 

Aselect * from `alarm_categories` ORDER By `id`ASC;

Bselect * from `alarm`;


64OSSIM系统配置文件存储在        表中通过      命令调取。

Aacid_event                                           B.alienvault

Cconfig                                                    Dselect * from `config`;

Dselect * from


65下列      命令可以查询API里的数据。

Aselect * from `current_status`;         Bselect * from `system_status`;

 


二、判断题


1 OSSIM是集计算密集型、内存密集型存储密集型的一个大数据分析平台,适合部署在公有云、私有云和企业内网各种网络环境中。(   


2.刚装完OSSIMWeb UI中看不到局域网其他机器的流量或者,观察到的流量很小,这种情况下最有可能的原因是没有在交换机上设置SPAN。(  


3OSSIMtmpfs是一种基于内存的临时文件系统,他的大小通常设置为物理内存的一半。(  


4禁用客户机浏览器上Cookie,依然可以查询Session   


5.命令行下查看ossim版本信息的命令是“alienvault -c –v”(  


6.查询OSSIM关联引擎版本的命令式“ossim-server –v(    )


7OSSIM下的检测器起到收集资源信息及监听当前网段数据包的作用,主要包括NtopPradsSuricataOssec。(   

 

8开源版OSSIM中会出现AV-FREE-FEED类报警,它们代表AlienVault公司免费使用的规则。( 

 

9OSSIM系统中用EPS的大小来衡量OSSIM Server事件关联引擎的处理能力(  

 

10Mysql插件位于/usr/lib/mysql/plugin/目录扩展名为.so 


11OSSIM数据库中的IP地址信息采用点分十进制格式存储(  

 


三、问答题


1IP信誉评价在SIEM系统中起到什么作用?

 

 

2.如何查找TCP 40001端口被什么进程监听?

 

 

3.如何查找/var/log/apache2/access.log这个日志文件正在使用的进程号?

 

 

4为了给一台混合安装的OSSIM 3系统,修改管理IP地址,服务器设置为是单网卡模式,应修改哪些配置文件?

 

5.客户在HPGL380G6服务器上最初有2块硬盘,每块300GB,做了RAID 0之后,可安装并使用Linux系统CentOS。客户又新增了6块磁盘,同时这8块磁盘(容量品牌都相同)设置Raid 5后安装OSSIM系统,则提示找不到硬盘,如何解决此类问题?

 

 

6如果升级过程中出现异常,如何查询升级故障日志?

 

 

7.按正确位置填图。

3 所示为典型企业局域网,请为这张拓扑图设置分布式OSSIM系统,将服务器和传感器的位置进行合理布局以实现监控DMZ区、接入层服务器以及分支办公室服务器的目的。将如何在服务器AF节点上进行OSSIM安装。这里假设各个VLAN之间相通。

《开源安全运维平台OSSIM疑难解析--入门篇》 课后习题_第3张图片

3  OSSIM部署拓扑



8如何一次性重启OSSIM系统中各项服务?

 

 

9如何查询/var/目录下2级子目录的大小,并且按升序(数据从小到大)排列?

 

104里的红圈中Thresholds C=30A=30这两个参数表示什么含义?

《开源安全运维平台OSSIM疑难解析--入门篇》 课后习题_第4张图片

图4   添加网络中的CA

115 中传感器内的Snort服务起到什么作用?ossim agent指的是什么程序?有何作用?

《开源安全运维平台OSSIM疑难解析--入门篇》 课后习题_第5张图片

5   Snort监控拓扑

 

12某公司局域网内出现了APT***,文件服务器内的重要数据被窃取,为了查明原因和网络取证需要,应该在什么位置部署OSSIM系统?请在拓扑图6中标注出来。

《开源安全运维平台OSSIM疑难解析--入门篇》 课后习题_第6张图片

6 ***示意图

 

 

13.如何重启Sensor上的ossim-agent服务?

 

 

14.分布式OSSIM系统,传感器的UUID记录在什么文件?

 

 

15.如何实现将Docker容器进行OSSIM传感器,以实现将容器放在任何客户端系统中?

 

 

16OSSIM采集插件分为几大类,采集插件通过什么协议采集数据?

 

 

17OSSIM通过何种机制将代理采集的LOG发送到OSSIM Server

 

 

18如何将plug×××location定义的文件写入两个文件中?

 

 

 

19SIEM控制台上为什么会显示0.0.0.0的地址?

 

 

 

20.alarm产生的步骤是什么?

 

 

21.OSSIM中将alarm分为几类?

 

 

22.面对SSH登录暴力破解***OSSIM将会发出什么alarm?

 

 

 

23通过MetasploitArmitag两种方式对目标主机进程***实验这两种模式有哪些区别?

 

 

24.如何查询acid事件记录?

 

 

25.如何在OSSIM数据库的alienvault.event表中查询事件记录?

 

 

26OSSIM后台数据库能否可切换为OracleMongoDB吗?

 

 

27.如何查询OSSIM数据库的host开头的表。

 

 

28.如图7所示,OSSIM数据库MySQL出现"Access denied for user 'root'@'localhost' (using password:YES)提示,该如何处理

image019.jpg

7 数据库连接报错信息