《开源安全运维平台OSSIM最佳实践》实验环境下载

《开源安全运维平台OSSIM最佳实践》实验环境下载 

 

由清华大学出版社首发、当当、京东自营店、天猫、亚马逊均有销售。

                                        

  OSSIM开源安全交流QQ群: 179084574 wKioL1e1YTbQxdezAAAcVNoBcHk605.jpg 

     经多年潜心研究开源技术,历时三年创作的《开源安全运维平台OSSIM最佳实践》一书已出版。该书用100多万字记录了,作者10多年的IT行业技术积累,重点展示了开源安全管理平台OSSIM在大型企业网运维管理中的实践。国内目前也有各式各样的开源安全运维系统,经过笔者对比分析得出这些工具无论在功能上、性能上还是在安全和稳定性易用性上都无法跟OSSIM系统想媲美,而且很多国内的开源安全运维项目在发布1-2年后就逐步淡出了舞台,而OSSIM持续发展了十多年。

《开源安全运维平台OSSIM最佳实践》实验环境下载_第1张图片

前  言

一、为什么要写作本书


1. 现状


日常工作中,运维人员大部分时间和精力都用于处理简单、重复的问题,由于故障预警机制不完善,往往故障发生后才会进行处理,运维人员经常处于被动“救火”状态。
没有高效的管理工具支持,就很难快速处理故障。市面上有很多运维监控工具,例如商业版的、 Solarwinds、ManageEngine以及WhatsUp等,开源的MRTG、Nagios、Cacti、Zabbix、OpenNMS、Ganglia等。由于它们彼此之间没有联系,即便部署了这些工具,很多运维人员并没有从中真正解脱出来,成千上万条警告信息堆积在一起,很难识别问题的根源,结果被海量日志所淹没,无法解脱出来。
另外在传统运维环境中,当查看各种监控系统时需要多次登录,查看繁多的界面,更新管理绝大多数工作主要是手工操作,即使一个简单的系统变更,需要运维人员逐一登录系统,若遇到问题,管理员便会在各种平台间来回查询,或靠人肉方式搜索故障关键词,不断的重复着这种工作方式。企业需要一种集成安全的运维平台,满足专业化、标准化和流程化的需要来实现运维工作的自动化管理,通过关联分析及时发现故障隐患。


2. 手工整合的演化过程


在人工管理初期,主要依靠一些简单的Shell脚本完成一些基础工作,后来虽然采用Cacti来做性能监控,Nagios做主机监控、PHP+SSH等方式进行管理,但各种运维工具仍无法实现数据共享,此时整个防御体系面对网络威胁“反应迟钝”,每当故障来袭,总是“马后炮”,难以查找***者的踪迹,就好像一个人总被蚊子叮咬,想打蚊子可手眼又跟不上的感觉。
经过分析后,开始尝试将资产管理模块、***检测模块、流量监控模块、漏洞扫描模块集成到一台服务器中进行统一管理,实现了标准化日志、统一处理等任务,在系统改造中以下问题尤为突出:
 wKioL1dFNeeSF4aVAABHYeBx2j0882.gif     安装时软件依赖问题难以解决。
 wKioL1dFNeeSF4aVAABHYeBx2j0882.gif      各子系统界面重复验证和界面风格不统一。
wKioL1dFNeeSF4aVAABHYeBx2j0882.gif       各子系统之间数据无法共享。
 wKioL1dFNeeSF4aVAABHYeBx2j0882.gif      无法实现数据之间关联分析。
 wKioL1dFNeeSF4aVAABHYeBx2j0882.gif       无法生成统一格式的报表。
wKioL1dFNeeSF4aVAABHYeBx2j0882.gif        缺乏统一的仪表板以展示重要信息。
 wKioL1dFNeeSF4aVAABHYeBx2j0882.gif       系统维护难度增大。
将这些开源工具集成比较困难,该方案架构并不合理,出现了性能瓶颈,对于安全事件的关联分析、合规管理及知识库查询依然无法实现。


3. 终极工具——OSSIM集成安全运维的平台


发现一个好的管理平台并不是偶然,管理员从最原始的命令行的运维时代,进化到统一管理平台,的确要走很多弯路,其实这一过程就是普通管理员到专家的蜕变。只有经历过磨难的管理员才能深刻体会到这一点。一款优秀的安全运维平台,需要将事件与IT 流程相关联,筛选出运维人员最关心的事件,提高工作效率。
目前能满足上述要求的开源产品只有OSSIM系统,它是由Alienvault公司开发,现分为开源OSSIM和商业版USM两种,通过该平台实现对用户操作规范的约束和对计算机资源进行监控,包括服务器、数据库、中间件、存储备份、网络基础设施,通过自动监控管理平台实现故障综合处理和集中管理,能够为您的网络构建起一套敏感的、全方位的中枢神经系统,达到感知网络威胁的效果。

二、创作过程


说起来,我和OSSIM还是挺有缘分。研究生时曾开发过开源统一安全管理平台项目,主要目标是将不同网络设备和服务器的日志,通过标准化转化为事件,然后统一进行日志分析与设备联动。在完成这个项目过程中,主要参考OSSIM源代码,先后尝试了基于统计、基于距离和基于决策树的算法,破解了网络安全事件聚合的难题,
这些年,先后为几十家单位成功部署了OSSIM系统,并提供技术支持。在OSSIM项目实施过程中不断总结遇到的各种问题,曾今在研究OSSIM的道路上,不但软件不太好找,而且技术资料匮乏,只能靠自己不断钻研和摸索,软件经过三年的技术沉淀与积累,终于撰写出600多页的OSSIM技术教程。

全书规划成三篇,共十章内容,这些内容包含OSSIM系统的各种知识和技巧,使读者今后再遇到问题能够举一反三。即使OSSIM更新升级后,读者也能结合书中介绍的概念和操作方法,同样能够掌握,那么本书的目标就达到了。
从事IT工作的人都比较忙,很少有完整的时间能清闲下来,对于一般人而言没有时间,就是最好的幌子,而善于利用时间的人往往能够利用各种间隙,进行创作构思。在本书创作中并不是一帆风顺,有时候为了验证一个技术问题,需要反复实验,为了一句话需要经过反复推敲。
初稿出炉,必须经过不断修改润色,才适合阅读,本书刚刚写完时才500多页,但是在一遍又一遍的修改笔误和错别字之后,萌发出新的想法,每复查一遍,我都会对原稿做一些改动,数量上要数第一次改动扩充最大,以后逐渐减少,直到满意为止。
本书不是什么神功秘籍,无法让你在短时间内从一个小白变成一个牛人。书中以OSSIM 4.8平台为基础进行讲解,同样适合4.6 - 4.15多个版本,OSSIM将各种开源软件合理的融入进来,并把本人多年OSSIM实施经验以案例的形式表达出来。学习OSSIM的道路并不是一帆风顺,希望读者朋友再遇到困难时,本书能够为您答疑解惑。

三、篇章结构
书的结构好比框架,而内容则是具体组成元素,本书采用了文字、图表和范例等形式,将OSSIM复杂的结构和工作流程直观的展现给读者。全书分为三部分,共10章。


1. 基础篇


第1章:本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。
第2章:本章从OSSIM实施关键要素、安装策略、硬件选型开始,深入分析单机部署,分布式体系、传感器设置等重要安装工作。分析了安装过程以图文并茂的方式,指出了系统配置过程,包括实体机,虚拟机不同环境中的安装方法及注意事项。最后重点分析了SIEM事件控制台的使用和事件过滤方法。


2. 提高篇


第3章:本章对于OSSIM开发人员很有帮助,除了介绍OSSIM数据库组成、表结构,以及系统迁移备份等技巧,以外还包括各种常见MySQL故障等内容。
第4章:本章从关联分析基础讲起,逐步深入到OSSIM安全事件提取过程,介绍了常用的关联分析算法。还对报警事件的聚合原理作了详细分析,并结合OSSIM现状采用多个实例讲解关联规则和自定义策略的使用方法。
第5章:本章主要介绍各种OSSIM系统中的监控调试工具的使用,以及系统瓶颈的诊断方法。
第6章:本章重点介绍了Snort 原理和预处理程序发挥的作用,包括Snort报警方法。深入分析Snort规则编写在OSSIM中的应用技巧以及网络异常行为分析方法。

3. 实战篇


第7章:本章从日志标准化和收集分析方法讲起,详细分析各种服务、网络设备所产生的日志,包括Apache、Ftp、Squid、Dhcp等,并通过实例详细介绍OSSIM插件开发过程。
第8章:本章讲解Netflow进行异常流量分析的方法,包括Netflow数据采集和过滤方法,介绍了分布式环境中,利用Netflow监测异常流量的技巧,同时针对OSSIM中Ntop、Nagios、Netflow三种检测工具的使用方法进行了对比。最后还介绍了Cacti和Zabbix第三方开源监控软件集成的方法。
第9章:本章从OSSIM控制管理中心角色权限控制讲起,全面介绍了OSSIM Web UI的结构,讲解了Ossec日志分析工具的配置使用和Agent的安装方法。介绍了OSSIM中管理网络资产的实例,并对Openvas扫描模块、脚本以及规则做了深入分析。展示了多个利用OSSIM进行高级***检测的实例,以及利用OSSIM进行合规管理和系统统一报表输出的方法。
第10章:本章主要讲解基于Web方式下的抓包及数据包过滤方法,并采用该工具远程解决网络故障的方法,重点介绍了tshark、tcpdump等抓包工具的高级使用方法,最后以一个典型IE浏览器的0 day漏洞***的实例来检验这种工具所发挥的作用。

四、本书约定
(1)关于版本
本书软件的安装环境为Debian Linux 6.0(Squeeze),内核为2.6.32。在安装其他软件时,必须符合该版本要求。
(2)关于菜单的描述
OSSIM的前台界面复杂,书中经常会用一串带箭头的单词表达菜单的路径,例如Web UI 的Dashboards→Overview→Executive,表示Web界面下鼠标依次经过菜单Dashboards、Overview最后到达Executive仪表板。
(3)路径问题
本书中除特别说明,所涉及路径均指在OSSIM系统下的路径,而不是其他的Linux发行版。终端控制台指通过root登录系统,然后输入“ossim-setup”启动OSSIM终端控制台的界面&#

你可能感兴趣的:(运维,ui,人工智能)