下面列出的《开源OSSIM企业运维疑难问题解析--入门篇》中针对OSSIM日常运维中遇到的问题总结而成下列测试题(局部)。
一、多项选择题
1.AlienVault OTX 表示开放式威胁交换,OSSIM中将IP信誉评价数据记录在哪个文件中?( )
A./etc/ossim/server/reputation.data B./etc/ossim/agent/config.cfg
2.SIEM全称是什么?( )
A.安全信息与事件管理 B.安全信息管理系统
3.下列选项中不属于开源SIEM系统的是哪一项?( )。
A.OSSIM B.openSOC
C.apache metron D.HP arcsight
4.下列产品中不属于威胁情报系统的是哪一个?( )
A.AlienVault USM Enterprise B.InsightIDR
C.Securitycenter CV D.FireEye
E.Cyveilance F.IBM X-force Exchange
G.LogRhythm H.Verisign
I.ElasticSearch
5.要查看TCP 22端口运行了什么进程,应该输入下面哪个命令?( )
A.lsof -i :22 B.netstat -na
6.OSSIM系统中大量采用了多进程服务,下面不属于多进程的服务是哪项?( )
A.iptables B.MySQL
C.ossim-agent D.ossim-server
E.ossim-framewrok
7.OSSIM平台适合部署在下列哪种(些)网络环境中?( )
A.公有云 B.私有云
C.企业内网
8.下列那些行为属于I/O密集型计算?( )
A.包转发 B.Snort规则匹配
C.数据库存储
9.能够实现在命令行下以树状结构显示进程的命令是哪个?( )
A.ps –ef B.pstree -p
10.下列选项中能够在虚拟机下实现网络嗅探功能的虚拟机软件是什么?( )
A.Xen-Server B.KVM
C.VMware workstation
11.这面这条命令的作用是什么?( )
#find . -maxdepth 1 -type f -size +10M -printf "%f:%s\n" | sort -t ":" -k2
A.由小到大列出当前目录大小超过10Mb的文件
B.列出当前目录下10M的文件
12.在宿主机Windows 10系统中已安装了VMware workstation虚拟机软件,下列选项中的哪一个可以同时和VMware虚拟机软件一起运行?( )
A.VirtualBox B.Hyper-V
13.为了在OSSIM系统启动时看到详细启动过程,下面哪种方法可以实现?( )
A.开机按下F8键盘
B.开机BIOS自检后引导操作系统时按下Esc键
14.命令行下更新SCAP库的命令是哪个?( )
A.openvas-scapdata-sync B.openvas-nvt-sync
15.在一台物理服务器中安装OSSIM,下列哪种方法最适合?( )。
A.磁盘RAID 0模式,采用服务器的CDROM安装
B.磁盘RAID 5模式,采用U盘安装
C.磁盘RAID 6模式,采用移动光驱安装
16.下列( )命令中那个不能查看Debian Linux版本号
A.Uname –a B.lsb_release -a
C.cat /etc/Debian_version
17.下列选项中最适合关闭OSSIM系统的方法是( )
A.halt B.init 0
C.sync;sync;poweroff D.shutdown -r now
18.正确关闭分布式环境OSSIM系统是( )。
A.先关闭Sensor再关闭Server B.先关闭Server 再关闭Sensor
19.对于运行过一段时间的OSSIM系统来说,使用alienvault-update命令后 。
A.升级软件对原系统没有任何影响
B.一部分配置文件会被覆盖导致一些服务异常
20.在OSSIM下安装软件之前必须执行的命令是
A.apt-get update B.apt-get upgrade
21.查看OSSIM属于哪一款Debian版本的命令是
A.cat /etc/issue B.more /etc/debian_version
22.下列命令中无法查看gcc版本的是
A.more /proc/version B.uname -a
23.下列命令中无法获取Debian Linux内核版本的是
A.uname –a B.more /proc/version
C.uname
24.如果希望批量重启ossim-server、squid、nagios、nfsen、ntop等服务最适合采用下列 命令。
A.ossim-reconfig B.reboot
25.OSSIM平台是在Debian Linux系统之上进行优化裁剪的一套大数据处理系统,通过( )命令可以查看Debian Linux内核版本;通过( )命令可查看OSSIM版本;通过( )命令获取Debian Linux系统版本信息;通过(H)命令获取OSSIM对系统的资源限制列表。
A.uname –a B.uname
C.alienvault-about D.alienvault-api about
E.cat /etc/debian_version F.cat /etc/issue
G.ulimit –n H.ulimit -a
26.在SHELL下执行“”语句的作用是 ( )
A.按降序排列消耗内存胡和进程
B.列出最消耗磁盘I/O的进程。
27.为一台Apache Web服务器扩容,由于进程要比线程更消耗更多的系统开销,通常最有效的方式是( )。
A.增加服务器或扩充群集节点
B.增加服务器中的CPU数量
28.安装时遇到图1表示 。
图1 OSSIM安装故障
A.说明系统无法安装网卡驱动
B.没有网卡驱动
29.命令行下安装nginx出现下面报错信息,下列选项操作正确的是 。
A.dpkg –configure –a B.apt-get update
30.查询文件/etc/apache2/sites-enabled/alienvault-api.conf隶属于什么软包可以采用下列( )命令。查询软件包alienvault-api-core中的每个文件安装到系统什么位置可采用下列( )命令。
A.dpkg –L alienvault-api-core B.dpkg –s alienvault-api
C.dpkg –S /etc/apache2/sites-enabled/alienvault-api.conf
D.apt-cache show alienvault-api-core
31.使用wget命令下载https://github.com/raw/master/unixbench.sh文件,下列选项中,( )命令是正确的。
A.wget —no-check-certificate https://github.com/raw/master/unixbench.sh
B.wget —nossl-certificate https://github.com/raw/master/unixbench.sh
32.包含OSSIM数据库配置(包括用户名、密码及通信端口)信息的文件是( )
A./etc/ossim/ossim.conf B./etc/ossim/framework/ossim.conf
33.下面这条命的作用是( )。
A.产生一个1024字节的空文件
B.随机产生1万个不同文件名的文件
34.忘记OSSIM Web UI界面中admin用户的登录密码,可采用下列 命令进行重新设置。
A.ossim-reset-passwd admin
B.passwd admin
35.某一天在OSSIM WEB UI仪表控制台上发现SIEM和LOG记录曲线发生突变,事件节点在11点,如图2这有可能出现 故障。
图2 SEIM和LOG记录曲线发生突变
A.OSSIM Server的Web Service故障 B.客户端停止发送SIEM和LOG数据
C.插件不工作 D.Sensor下线
36 .在控制台界面由于误操作进入到root:~$_界面,此时输入 命令才能退回#提示符下。
A.jailbreak B.exit
37 .某个文件(/etc/file)里面有很多内容,现在想清空该文件,使用( )命令操作。
A.cat /etc/file > /dev/null B.cat /etc/file
38.关闭OSSIM平台的SSH服务使用下列 命令
A.service ssh stop B./etc/init.d/ssh stop
39.配置文件/etc/ossim/ossim_setup.conf记录没有记录下列 内容
A.定义Web 站点根目录 B.MySQL数据库密码
C.防火墙配置 D.插件
E.OSSIM框架通信地址
40.OSSIM中通过ansible的被管理主机,通过 文件定义。
A./etc/ansible/hosts B./etc/hosts
41.更改配置后,在命令行下重启动Ossim服务的配置命令正确的是( )
A.reboot B.ossim-reconfig -c -v -d
42.关闭OSSIM平台的SSH服务使用下列 命令
A.service ssh stop B./etc/init.d/ssh stop
43.配置文件/etc/ossim/ossim_setup.conf记录没有记录下列 内容
A.定义Web 站点根目录 B.MySQL数据库密码
C.防火墙配置 D.插件
E.OSSIM框架通信地址
44.OSSIM中通过ansible的被管理主机,通过 文件定义。
A./etc/ansible/hosts B./etc/hosts
45.更改配置后,在命令行下重启动Ossim服务的配置命令正确的是( )
A.reboot B.ossim-reconfig -c -v -d
46.Ansible是OSSIM Server与Sensor之间重要的配置管理工具,Ansible基于( )语言开发。基于( )私钥加密方式认证,私钥文件定义在( )文件。OSSIM服务器为了向Sensor推送配置文件和接收Sensor传来的系统信息( )在被控主机Sensor安装Agent。
A.Python B.Perl
C.无需 D.需要E.SSH key
F.口令G./var/ossim/ssl/local/private/cakey_avapi.pem
47.查询OSSIM的Ansible模块的命令是( )命令。
A./usr/share/alienvault/api_core/bin/ansible-doc -l
B.ansible --list
48.在OSSIM分布式系统中,删除传感器就( )该传感器下管理的所有资产。
A.必须删除 B.不必删除
49.查看下列( )数据源事件报警时可以下载PCAP格式的数据。
A.Snort B.OSSEC
C.SSH D.pam.unix
50.查看下列( )数据源事件报警时,无法查看RAW log原始日志。
A.syslog B.directive_alert
C.pam_unix D sudo E.snort
51.为了在命令行下观察OSSIM系统进程的启动过程,可在OSSIM系统开始引导时快速按下( )键,再次按下该键可以返回正常启动模式。
A.Esc B. F2 C. Ctrl+Alt+ F2 D. F3
52.OSSIM系统安装采用图形界面,为了在命令行下观察安装详细信息可以按下( )组合键实现。为了进入SHELL状态可按下( )组合键,重新返回OSSIM安装图形界面可按下( )组合键。
A. Ctrl+Alt+F1 B.Ctrl+Alt +F2 C. Ctrl+Alt +F3 D. Ctrl+Alt +F5 E.Ctrl+Alt+F7
53.OSSIM 5启动后长时间停留在图形界面,而没有弹出登录窗口,采用( ) 组合键可以切换到命令行登录界面。
A . Ctrl+Alt +F3 B.Ctrl+Q C. Ctrl+Shift+ F
54.OSSIM正常运行过程,运行级别为( )级。
A.1 B.2 C .3 D.4
55.在虚拟机VMware Workstation 12 Pro安装OSSIM 5.6系统,新建客户机需要选择( )操作系统,安装过程中虚拟机( ),可顺利安装OSSIM系统。
A. Microsoft Windows B.CentOS 64 位 C.Debian 8.x 64位 D.Other Linux
E.必须联网 F.必须断开网络
56.安装OSSIM 5.x 安装过程中出现“Installation step failed. You can try to run the failing item again from the menu, or skip it and choose something else. The failing step is:Select and ×××tall software”报错提示,安装进程停滞,同时在屏幕右下方显示“Contine”按钮,下列处理方式中正确的是?( )
A. 断开网络重新安装系统
B. 跳过报错提示,点击“Continue”按钮,继续安装系统。
C. 镜像数据不完整,重新下载安装文件,继续安装。
57.出现上述问题 的原因是( )。
A .虚拟机操作系统类型选择错误。
B. 内存分配太小
C. 磁盘空间不足
D.OSSIM配置脚本将Postfix邮件系统别名设置为数字,导致参数配置错误,所以安装进程被中断。
58 . OSSIM传感器安装完成,在启动系统过程中一直停留在“startpar:service(s) returned failure: rng-tools Plymouth … failed!”一行,下列( )方法,可以出现登录界面。
A. 按下Ctrl+Alt+ F3组合键
B. 增加系统内存
C. 重新安装系统
59.在一套分布式OSSIM系统中,OSSIM服务器IP= 92.168.11.1,传感器IP=192.168.11.150,服务器和传感器之间可正常网络通信。此时小李希望直接访问传感器,在IE v10.0浏览器地址栏输入https://192.168.11.150后,出现页面无法找到的错误提示,导致该该故障的原因是( )。
A.传感器安装不完整
B.传感器上没有安装Web服务器
C.没有设置SSL
D.IE浏览器版本问题
60.下列选项中 语句用于查询OSSIM数据库中以hosts开头的表。
A.show tables like ‘host%’; B.show tables ‘host%’;
61.XML(eXtensible Markup Language可扩展标记语言)数据是 ,基于正则表达式工作,元素之间的关系通过嵌套方式表达,表现形式灵活。
A.半结构化信息 B.结构化信息
62.在WebUI中Alarm菜单下的报警分为Delivery、Environmental Awareness、Exploitation、Reconnaissance、System Compromise五类,下列 命令可以列出这五类报警
A.SELECT * FROM `alarm_kingdoms`; B.SELECT * FROM `alarm `;
63.在数据库中,按顺序显示所有事件告警分类的命令是( )
A.select * from `alarm_categories` ORDER By `id`ASC;
B.select * from `alarm`;
64.OSSIM系统配置文件存储在 表中通过 命令调取。
A.acid_event B.alienvault
C.config D.select * from `config`;
D.select * from
65.下列 命令可以查询API里的数据。
A.select * from `current_status`; B.select * from `system_status`;
二、判断题
1. OSSIM是集计算密集型、内存密集型存储密集型的一个大数据分析平台,适合部署在公有云、私有云和企业内网各种网络环境中。( )
2.刚装完OSSIM在Web UI中看不到局域网其他机器的流量或者,观察到的流量很小,这种情况下最有可能的原因是没有在交换机上设置SPAN。( )
3.OSSIM中tmpfs是一种基于内存的临时文件系统,他的大小通常设置为物理内存的一半。( )
4.禁用客户机浏览器上Cookie,依然可以查询Session( )
5.命令行下查看ossim版本信息的命令是“alienvault -c –v”( )
6.查询OSSIM关联引擎版本的命令式“ossim-server –v”( )
7.OSSIM下的检测器起到收集资源信息及监听当前网段数据包的作用,主要包括Ntop、Prads、Suricata、Ossec。( )
8.开源版OSSIM中会出现AV-FREE-FEED类报警,它们代表AlienVault公司免费使用的规则。( )
9.OSSIM系统中用EPS的大小来衡量OSSIM Server事件关联引擎的处理能力( )
10.Mysql插件位于/usr/lib/mysql/plugin/目录扩展名为.so( )
11.OSSIM数据库中的IP地址信息采用点分十进制格式存储( )
三、问答题
1.IP信誉评价在SIEM系统中起到什么作用?
2.如何查找TCP 40001端口被什么进程监听?
3.如何查找/var/log/apache2/access.log这个日志文件正在使用的进程号?
4.为了给一台混合安装的OSSIM 3系统,修改管理IP地址,服务器设置为是单网卡模式,应修改哪些配置文件?
5.客户在HPGL380G6服务器上最初有2块硬盘,每块300GB,做了RAID 0之后,可安装并使用Linux系统CentOS。客户又新增了6块磁盘,同时这8块磁盘(容量品牌都相同)设置Raid 5后安装OSSIM系统,则提示找不到硬盘,如何解决此类问题?
6.如果升级过程中出现异常,如何查询升级故障日志?
7.按正确位置填图。
图3 所示为典型企业局域网,请为这张拓扑图设置分布式OSSIM系统,将服务器和传感器的位置进行合理布局以实现监控DMZ区、接入层服务器以及分支办公室服务器的目的。将如何在服务器A~F节点上进行OSSIM安装。这里假设各个VLAN之间相通。
图3 OSSIM部署拓扑
8.如何一次性重启OSSIM系统中各项服务?
9.如何查询/var/目录下2级子目录的大小,并且按升序(数据从小到大)排列?
10.图4里的红圈中Thresholds C=30、A=30这两个参数表示什么含义?
图4 添加网络中的C、A值
11.图5 中传感器内的Snort服务起到什么作用?ossim agent指的是什么程序?有何作用?
图5 Snort监控拓扑
12.某公司局域网内出现了APT***,文件服务器内的重要数据被窃取,为了查明原因和网络取证需要,应该在什么位置部署OSSIM系统?请在拓扑图6中标注出来。
图6 ***示意图
13.如何重启Sensor上的ossim-agent服务?
14.分布式OSSIM系统,传感器的UUID记录在什么文件?
15.如何实现将Docker容器进行OSSIM传感器,以实现将容器放在任何客户端系统中?
16.OSSIM采集插件分为几大类,采集插件通过什么协议采集数据?
17.OSSIM通过何种机制将代理采集的LOG发送到OSSIM Server?
18.如何将plug×××中location定义的文件写入两个文件中?
19.SIEM控制台上为什么会显示0.0.0.0的地址?
20.alarm产生的步骤是什么?
21.OSSIM中将alarm分为几类?
22.面对SSH登录暴力破解***OSSIM将会发出什么alarm?
23通过Metasploit和Armitag两种方式对目标主机进程***实验这两种模式有哪些区别?
24.如何查询acid事件记录?
25.如何在OSSIM数据库的alienvault.event表中查询事件记录?
26.OSSIM后台数据库能否可切换为Oracle或MongoDB吗?
27.如何查询OSSIM数据库的host开头的表。
28.如图7所示,OSSIM数据库MySQL出现"Access denied for user 'root'@'localhost' (using password:YES)提示,该如何处理?
图7 数据库连接报错信息